OECD AI：集合的AIセキュリティにはG7調整が必要 — プロンプトインジェクション、エージェントセキュリティ、モデルポイズニングが優先事項

OECD AI Wonk出版チャンネルは2026年5月21日、Cyrus de Rivoire、Étienne de Leusse、Elizabeth Seger、Frederic Buttsによる”Establishing the shared foundations for collective AI security”と題する政策レポートを公表した。G7閣僚会議を前に公式OECD立場として発表されるこのレポートは、調整された国際的なAIセキュリティ上の脅威への対応がどうあるべきかのフレームワークを設定している。

なぜAIセキュリティは従来のサイバーセキュリティの枠を超えるのか？

OECDレポートの著者たちはAIシステムが従来のソフトウェアとは本質的に異なるセキュリティ問題をもたらすと論じている。3つの重要な理由がある。

第一に、再利用可能な攻撃パターン — あるモデルに有効なプロンプトインジェクション攻撃は、最小限のコストで別のモデル向けに改変できることが多い。これは従来のエクスプロイトとは根本的に異なる。従来のエクスプロイトは通常特定のソフトウェアバージョンに結びついている。攻撃者は従来のセキュリティには存在しなかった規模の経済を得る。

第二に、エージェントの自律性 — AIエージェントはツールに自律的にアクセスし、コードを実行し、メモリを読み書きし、外部APIと通信する。従来のアクセス制御モデル（RBAC、ACL）はツールを創造的に組み合わせることができる自律的なアクターのために設計されていない。

第三に、データレベルのモデルポイズニング — 2025-2026年の研究は、トレーニングコーパス内の少数の巧みに設計されたドキュメントが異なる規模のモデルを危険にさらすことができることを示している。これは従来のサイバーセキュリティにはこのような形で存在しないサプライチェーン攻撃ベクターだ。

OECDは具体的に何を推奨しているか？

レポートは3つのアプローチを推奨している。

1. 脅威の共通フレームワーク — 国家間で脅威インテリジェンスを共有するOECD-GPAIメカニズム。CERT/CSIRTモデルに類似するが、AI脅威（プロンプトインジェクションカタログ、既知のポイズニングベクター、新しいエージェントエスケープパターン）に特化している。

2. 標準化されたセキュリティテスト — NIST、ETSI、その他の標準設定機関を通じて。プロンプトインジェクション堅牢性、エージェント分離、データ来歴検証をテスト可能なメトリクスにするという考え。SSL LabsメソドロジーでTLSテストが標準化されたのと同様だ。

3. 官民連携 — 政府（規制機関）、産業界（モデルとエージェントを構築する人々）、学術界（攻撃と防御を研究する人々）の間の協力の正式なフレームワーク。G7フォーラムが主要な調整メカニズムとして提案されている。

これはAI企業にとって実際に何を意味するか？

フロンティアモデル（OpenAI、Anthropic、Google DeepMind）を構築する企業にとって、OECDの立場は脅威データの共有への規制圧力が高まることを示唆している。個々の企業はもはやセキュリティ問題を機密として扱うことができなくなる — エコシステム内の他のアクターへの開示の正式な義務が生じるだろう。

企業ユーザーにとって、このレポートはエージェントガバナンスという問題を提起する — AIエージェントが企業システムで何をするかをどう制御するか、どのツールを使用してよいか、その行動をどう記録するか。これはAIシステムの監視困難性に関するAISIの最近のレポートと重なり合い、2026-2027年の規制状況を昨年よりもはるかに活発なものにしている。

OECDレポートは政策文書であり技術仕様ではない — しかし来る G7閣僚サミットのアジェンダを設定しており、今後数ヶ月のグローバルAIセキュリティに関するすべての議論の参照点となるだろう。