医療などの規制の厳しい分野でエージェンティックAI（自律型AI）を導入する場合、その推論の柔軟性は大きな利点となる一方で、本質的な予測不能さがセキュリティ上の懸念事項となっている。従来の安全対策はアプリケーション内にロジックを埋め込む「ラッパーコード」に依存することが多く、これでは監査が困難だ。さらに、敵対的な入力や予期せぬ推論パスによってエージェントの論理が操作された場合、システム全体が脆弱性にさらされるリスクがあった。

Amazon Bedrock AgentCoreは、ポリシーの適用をエージェントの外部に完全に切り離すことで、この課題を解決する。高速な処理と数学的な自動分析を目的に設計された認可言語「Cedar」を活用することで、開発者はエージェントに対して厳格な境界線を設定できるようになった。これらのポリシーはゲートウェイ層で強制されるため、データベースやAPI、外部ツールへのリクエストは、エージェントがアクションを実行する前に必ず決定論的なルールに照らして照合される。

このシステムでは、日常的な英語の記述からCedarポリシーを生成できるため、複雑なビジネス要件を技術的な制御へとスムーズに移行できる。例えば医療現場において、特定のユーザーの身元や権限がリクエストと一致しない限り、エージェントが患者の記録にアクセスしたり予約を入れたりすることを確実に阻止する。これにより、基盤となるモデルが指示をどのように解釈したかにかかわらず安全性が保証される、「デフォルト・デナイ（原則拒否）」の体制が構築されるのだ。

病院などの大切な場所で働く「AIのお手伝いロボット(AIエージェント)」は、自分で考えて動けるのがすごいところですが、時々予想外の行動をしてしまうのが心配な点でした。これまでは、安全のためのルールがロボットのプログラムの中に隠れていて、正しく守られているかチェックするのが難しかったのです。

Amazonが新しく作った「エージェントコア(AgentCore)」という仕組みは、ルールの見張りをロボットの「外側」に置くことにしました。「シーダー(Cedar)」という、数学のように正確で素早い「ルール専用の言葉(認可言語)」を使って、ロボットが動ける範囲をきっちり決めます。ロボットがデータベースを見たり、何かを実行しようとしたりする時は、必ずその「門(ゲートウェイ)」を通らなければならず、ルールに合わないことは絶対にできないようになっています。

この仕組みのすごいところは、人間がふつうの言葉で書いたルールを、システムが自動で難しいプログラムの言葉に直してくれることです。たとえば病院なら、「このお医者さん以外は患者さんのデータを見せちゃダメ」というルールを作れます。たとえAIが勘違いしてデータを見ようとしても、門番が「あなたは許可されていません」と止めてくれるのです。これで、どんな時でも安心してAIを使えるようになります。