マイクロソフトの最新レポート「Cyber Pulse」により、企業テクノロジーにおける劇的なパラダイムシフトが明らかになった。Fortune 500企業の80%が、すでに業務プロセスへアクティブなAIエージェントを組み込んでいるというのだ。これらのデジタルワーカーは、テック大手のみならず金融や小売など幅広い分野に浸透しており、その多くは専門知識を持たない一般の従業員がローコードツールを用いて構築している。しかし、この急速な普及に管理体制が追いつかず、IT部門の目が届かない「シャドーAI」が台頭する要因となっている。

決められたルールに従う従来のソフトウェアとは異なり、エージェントは自律的に行動し、意思決定を行い、さらには他のエージェントと相互作用する能力を持つ。この動的な性質はリスクの所在を根本から変えるため、検証されるまですべてのリクエストを潜在的な脅威とみなす「ゼロトラスト」モデルへの移行が不可欠だ。企業には、機密ファイルへのアクセスを制限された人間の従業員と同様に、エージェントに対しても特定のタスク実行に必要なデータのみを許可する「最小権限アクセス」の適用が強く求められている。

レポートは、オブザーバビリティ（可観測性）こそが防御の最前線であると強調する。中央登録システムやリアルタイムの可視化ダッシュボードを整備することで、企業は誰がエージェントを所有し、どのデータに接触しているかを厳密に追跡できるからだ。ガバナンス（ルールの設定）とセキュリティ（ルールの執行）を明確に区別するこのアプローチは、AIの安全性を単なるコンプライアンスの障壁ではなく、企業の競争優位性へと変える鍵となるだろう。

マイクロソフトの新しい発表によると、世界のビジネスのやり方が大きく変わり始めています。世界で最も有名な大きな会社（Fortune 500企業）のうち、なんと80%が、すでに自分の代わりに仕事をしてくれる「AIの助手（AIエージェント）」を使いこなしているというのです。これらのAIは、銀行やお店など色々な場所で活躍しています。しかも、難しいコンピューターの言葉を知らなくても、パズルのように簡単にAIを作れる道具（ローコード・ノーコードツール）があるため、普通の会社員の人たちが自分でAIを作って仕事に役立てています。しかし、AIが広まるスピードが速すぎて、会社の管理が追いつかず、会社が把握していない「秘密のAI（シャドーAI）」が勝手に使われるという困った問題も起きています。

普通のコンピューターソフトは「言われたことだけ」をやりますが、このAIの助手は「自分で考えて判断し、他のAIと相談して動く力」を持っています。とても便利ですが、放っておくと勝手な行動をしてしまうかもしれません。そこで専門家は、どんなお願いもまずは疑って、安全かどうかを必ず確認する「誰も信じない仕組み（ゼロトラスト）」を取り入れるべきだと言っています。人間が会社の秘密の書類を勝手に見られないのと同じように、AIにも「その仕事に必要なデータだけ」を見せるという厳格なルール（最小権限アクセス）が必要なのです。

また、報告書では、AIが今どこで何をしているかをいつでも見ることができる状態（可観測性）にすることが、一番の守りになると伝えています。誰がAIを作って、どのデータを使っているのかをひと目でわかるようにまとめる仕組み（中央登録システム）を作ることが大切です。AIを正しく動かすための「ルール（ガバナンス）」と、そのルールを守らせる「守備（セキュリティ）」をしっかり分けることで、AIを安全に使いこなすことができ、その会社は他の会社よりも強くなれるはずです。