Cato AIセキュリティプラットフォームでAIセキュリティ設定・検証してみた ~エージェント向けAIセキュリティ編~

Cato AIセキュリティプラットフォームにて、エージェント向けAIセキュリティの提供が新たにスタートしました。
これまではChatGPTやGemini等のAIツールを利用する際のユーザー向けAIセキュリティや、独自に構築したAIアプリケーションを保護する
アプリケーション向けAIセキュリティが提供されていましたが、いよいよAIエージェントへの防御も可能となり、
より多様なユースケースへの対処が期待されます。

本記事では、エージェント向けAIセキュリティのうち、ローカルAIエージェントセキュリティについて、実際の設定内容・検証をもとに解説していきます。

なお、過去に「Cato AIセキュリティプラットフォーム」とは何かについては、以下で解説させていただいております。

また、ユーザー向けAIセキュリティアプリケーション向けAIセキュリティに関する検証記事も投稿しておりますので、ぜひ合わせてご確認ください。

 

エージェント向けAIセキュリティ概要

設定や検証に入る前に、まずはAIエージェント特有のセキュリティリスクや、CatoのAIエージェント向けセキュリティの概要について、簡単に説明します。

AIエージェントは、他のAIツールと異なり、自律的に試行・動作し、ツール、データ、および外部システムと対話するという特徴があります。
これにより、通常のAIツールを超えたセキュリティリスクが発生します。以下はそのうちのいくつかの例です。

No. 脅威 説明
1 AIに特化した攻撃 プロンプトインジェクション、ジェイルブレイク(脱獄)、複数回のやり取りで少しずつ誘導するマルチターン攻撃など、エージェントの動きを乗っ取ろうとする攻撃がある。
エージェントはツールが返してきたデータ経由でも攻撃されることがあるため、経路すべてに注意する必要がある。
2 シャドーエージェント 無許可のAIエージェントが従業員によってIT承認なしでインストールされ、利用される。ローカルPC内で動作するので、通常のAIセキュリティ検知対策では防ぐことが難しい。
3 MCPサーバーのリスク 悪意のある、または誤って構成されたMCPサーバーが、機密データを公開したり、不正なコマンドを実行したり、エージェントのワークフローに脆弱性を導入する可能性がある。
4 ガバナンスの欠如 配備されているエージェント接続されているツール、およびアクセス可能なデータの可視化が難しい。

 

このような脅威を防ぐためには、エージェント向けAIセキュリティに特化した対応が必須となります。
Catoのエージェント向けAIセキュリティはこれに対して、以下3種類のAIエージェントに対して、それぞれセキュリティ機能を提供しています。

No. 種類 説明
1 ローカルAIエージェントセキュリティ ユーザーエンドポイントで実行されるサードパーティ製エージェントに対する
セキュリティ。インストール済みのエージェントの可視化や、接続済みMCPサーバー実行中のアクティビティの可視化・制御等を行うことができます。 
2 管理AIエージェントセキュリティ AWS Bedrock、Microsoft Copilot Studio などの管理 AI プラットフォーム上で稼働する AI エージェントに対するセキュリティ。 エージェント可視化や、データソースおよびツールへのアクセス、実行時動作の制御等を行うことができます。
3 カスタムAIエージェントセキュリティ LangChain、OpenAI Agents SDK、またはLLMプロバイダへの直接API呼び出しなどのフレームワークを使用して構築したエージェントに対するセキュリティ。これらのエージェントは業務ワークフローに深く統合されており、機密データとツールにアクセスできるので、ランタイムの可視性と保護が必要。

今回はこれらのエージェントのうち、特に開発者にとっては最近では必須のツールともいえる
ローカルAIエージェントへのセキュリティについて、Cato側でどのように設定し、どのような制御が可能なのかについて、検証していきます。

 

ローカルAIエージェントの可視化

まずは、ローカルAIエージェントの可視化機能についてみていきます。

Catoのエージェント向けAIセキュリティを用いれば、ローカル端末にてインストール済みのエージェントの可視化やエージェントの設定内容やその中で接続されているMCPサーバ可視化等が実現できます。

設定方法

設定については、「Scout」と呼ばれるツールを、エージェントを可視化したいPCにインストールする必要があります。

以下でその導入方法について、詳細に解説します。

設定~Scoutのインストール~

まずは、Catoコンソール上から、Scoutを入手して自身のPCにインストールしていきます。

[AI Securty]タブ – [Scout]メニューを開き、[Install]ボタンを選択します。

するとWindows向け、Mac向けそれぞれに応じたインストール用のコードが表示されるので、自身の環境に合わせてコピーします。
その後、今回は検証目的のため、Powershellで管理者権限でスクリプト実行してインストールしました。
以下画像のように、「Detailed information reported successfully」と出ればインストール完了です。
※なお、大量のユーザーに配布する場合にはMDMツール等を用いて展開する必要があるかと思います。

上記により、ローカルにて動作するAIエージェントがCatoに送信されるようになりました。

なお、Scoutは頻繁にCatoより内容の更新があり、かつ新たにPCにインストールされたエージェントを素早く可視化する意味でも、
6時間ごとの再実行が推奨されています。

検証~可視化できる内容の確認~

今回ScoutをインストールしたPCには、以下2つのローカルAIエージェントがインストールされていました。

・Kiro
・Cursor

では、Scoutインストール後、実際にどのようにCatoコンソール上でAIエージェントが表示・確認できるか確認してみましょう。

[AI Securty]タブ – [Agent Inventory]メニューを開くと、以下画像のように、
・利用されているエージェントAIの種類
・ユーザー
・利用PCのホスト名
等が確認できることがわかりました。

誰がどのPCにどんなAIエージェントをインストールしているのかわかるのはありがたいですね!

次に、より詳細な情報を確認するために、表示されているAIエージェントを選択します。
まずは、Kiroから確認してみます。
すると、画像のように、特に詳細情報は表示されていないことが確認できます。

このように、実は現時点で詳細まで可視化ができるAIエージェントには限りがあります。
具体的には、よく開発者が利用する「ClaudeCode」や「Codex」、「Cursor」については、より詳細まで確認が可能です。

そこで次に、Cursorの方を確認してみます。
すると以下画像のように、まず表示される[Overview]タブで、利用者や利用PCに加え、以下の情報が確認できます。
・ライセンスタイプ
・エージェントがどのツール・コマンドを使って動いているかの概要(アイコン)

 

利用者がどのライセンスでエージェントを利用しているか確認できるのは、シャドーAIエージェント防止につながりますね!

次に、[MCP]タブも見ていきましょう。
すると、以下画像のように、現在AIエージェントで利用されているMCPが表示されることが確認できました。
MCPサーバ名・種類・エイリアス・スコープ
・MCPサーバを設定しているConfigのパス

各ユーザーが個別にAIエージェントに設定したMCPサーバが可視化できるのは、AIツールの管理の観点から非常に魅力的だと感じました。

最後に[Permission]タブも確認していきます。
画像のように、Cursor特有の設定内容がAdmin、Userそれぞれで表示されています。
ファイル削除保護、Web 検索の自動承認、ワークスペースの外にあるファイルへの操作保護等
※Cursorは検証目的の利用のため、今回はデフォルト設定です。実際に案件等で利用される際は、個別に設定を行うことを推奨します。

このように、AIエージェント内部の設定内容を可視化できることは、エージェント特有のリスク(意図せぬファイル削除、情報漏洩等)に備える意味で、
非常に有用だと感じました。

以上がScoutで実施できる可視化機能の設定・検証内容でした。

 

ローカルAIエージェントのリアルタイム実行の制御

Scoutの設定により、利用しているAIエージェント及び設定・MCPサーバ等の可視化は実現できました。

Catoのエージェント向けAIセキュリティでは、このような可視化に加え、各種ユーザープロンプトはもちろん、
モデルの出力、ツールの呼び出し、ツールのメッセージ等すべてを対象に実行時ポリシーを適用し制御することが可能です。
以下ではその具体的な手法と検証内容について、まとめていきます。

現時点(2026.07.03)で、ポリシー適用に対応しているAIエージェントは以下の3つです。
・ClaudeCode
・Codex
・Cursor
現状では、上記以外のエージェントは可視化はできても、ポリシー適用による制御は実施できないためご注意ください。
なお、今後対象は随時追加される予定です。
 

設定方法

ポリシーによる制御を行うためには、まず先ほどインストールしたScoutに加え、
Hooksを利用可能にする必要があります。このHooksによりAIエージェントに対するリアルタイムの制御が可能になります。
Hooksの展開後、[Agents Policy]にてポリシーを作成し、各エージェントへポリシーを適用することになります。

 

設定① Hooksの展開

ではまず、Hooksを利用可能にしましょう。

[AI Securty]タブ – [Scout]メニューを開き[Settings]を選択します。
その後表示される画面で、[Local Agent Controls]をONにします。
ONにすると、[Enforcement Scope]にてHooksの適用範囲が選択可能となるので、ユーザー単位やユーザーグループ単位など、
適切な範囲を設定します。(今回はユーザーで設定)

設定出来たら、[Save]を選択しましょう。
これでHooksの有効化は完了です。

※ClaudeCodeの場合は、Advanced Configurationにて、ツール・コマンドの制限やデフォルト権限設定などの制御が追加で可能のようです。

 

設定② Agents Policyの設定

Hooksの展開ができたので、次に実際にポリシーを適用していきます。

ポリシーの設定は、[AI Securty]タブ – [Agents Policy]メニューを開き、[New]を選択します。

すると、[User Message Rule][Tool Use Rule]を選択する画面になるので、
それぞれ用途に応じて使い分けます。
・User Message Rule:プロンプト内容を制御したい場合
・Tool Use Rule:エージェントが利用するツールや操作等を制御したい場合
設定項目は以下の通りです。

なお、設定するエンジンプロファイルは、ユーザー向けAIセキュリティ、アプリケーション向けAIセキュリティに設定した内容と同一のものを利用できます。

No. 設定項目 説明 選択可能な内容
1 General ポリシー名・ポリシーの説明 自由に設定
2 User/Groups ポリシーを設定するユーザー/グループ Any(全ユーザー)
特定ユーザー(複数選択可)
特定ユーザーグループ(複数選択可)
3 Applications ポリシーを設定するAI Claude Code/Codex/Cursor
4 Tools
(Tool Ruleのみ)
ポリシーを設定するツールを選択 Any
Tools:
ツール名を指定
Approval Status:
承認済み、未承認から選択
MCPs:
MCPサーバを指定
Raw Tool Names:
コーディングエージェント上の正確なツール名
5 Engine Profile ポリシーに適用する
エンジンプロファイル
 エンジンプロファイルを自由に選択
※一部プロファイルは現状利用不可(EU AI Act等)
6 Action ポリシー合致したユーザーアクションへの対応 アクション
 Block(ブロック・可視化も行う)
 Monitor(可視化のみ)                    

設定ができたら、[Add]を選択します。

その後、元の画面に戻ってくるので[Save]を選択すると、設定は完了です。

検証

では、実際にAIエージェント(Cursor)を動かしながら検証していきます。

今回検証に当たり、機密情報を検出するエンジンプロファイル(Sensitive Identifiers)を設定したポリシーを適用しました。
そしてそのポリシーを[User Message Rule]に適用し、どのように制御が走るのかを確認しました。

まずはCursorのプロンプトにメールアドレス等の、エンジンプロファイルにマッチする内容を含めて送信します。
すると画像のように「detected as emil」と返され、何らかの制御が働いているように見えます。

そのほかにも、どのようにAIエージェントの動作がCatoから見えるのか確認するために、適当なファイル作成等実施しました

その後、Catoコンソールで[AI Securty]タブ – [Agents Sessions]メニューを開きます。
本画面で以下のような内容の確認が可能です。
・インタラクション数
・どの時間に最も利用があるか
・セッションの会話履歴(Sessionsタブ)
・エージェントがどのようなツールを用いてどのような操作をしたか(Eventsタブ)


次に、詳細な履歴を確認するために、確認したいセッションを選択します。

まずは、先ほどエンジンプロファイルに検知されるような内容を送信したセッションを見ていきます。
すると、以下画像のように、実行したプロンプトと、ブロックしたエンジンプロファイル名、及びブロックユーザー⇒Cursorへ直接送信し、
ブロックたことを示す処理の流れ(画像右側)
が表示されていることが確認できます。

これにより、[User Message Rule]に設定したポリシーが正しく適用されていることが確認できました。

また、先ほどファイル作成を指示したほうのセッションを確認すると、以下画像のように、GrepやRead・Writeなど、
ファイル作成までにかかった操作及び各操作のInputやOutputが表示されていることが確認できます。

このように、エージェント上の動作もトレースしてくれることが確認できますね。

以上で検証を終了します。

 

まとめ

AIエージェントを利用する際のセキュリティ対策は独自性が高く、非常に難しいものです。

今回紹介させていただいたCatoのエージェント向けAIセキュリティ機能を利用することによって、
ローカルにインストールしたAIエージェントについて、以下のような対策が可能であり、AIエージェント特有の脅威への対応時に非常に役立つと感じました。

 

対応可能なニーズ例
1.
従業員が個別にインストールしているAIエージェントの可視化
2.AIエージェントに送信したプロンプト内容及びエージェント動作(MCP等のツールの利用、実行したコマンド・作成したファイル等)の追跡
3.AIエージェントに対する、あらゆる通信経路(ユーザーのアクション+ツールからの返答等)への一元的なポリシー設定・制御(ex:機密情報を送信・取得する操作はブロック)等
 

最後までご覧いただき、ありがとうございました。

×
タイトルとURLをコピーしました