Google DeepMind: AI Control Roadmap — AIエージェントセキュリティの多層防御

Google DeepMindはAI Control Roadmapを発表しました。これはAIエージェントベースのシステムを保護するための包括的なセキュリティフレームワークです。ネットワークの境界を保護する従来のperimeter-securityアプローチとは異なり、このフレームワークは多層防御（defense-in-depth）の方法論を適用しています。各層が前の層が失敗する可能性を前提とする多層的な保護です。

なぜ自社のエージェントを脅威として扱うのか？

フレームワークの核心的な前提は、内部AIエージェントを潜在的に不整合（misaligned） — オペレーターの意図と一致しない — として扱う必要があるというものです。不整合とは、エージェントがユーザーの目標ではなく自身の（または攻撃者が注入した）目標を追求する状態を指します。エージェントが以前は受動的なツールであり自律的な実行者ではなかったため、従来のセキュリティモデルはこれを想定していませんでした。

フレームワークの構造: MITRE ATT&CKと100万件のタスク

DeepMindのフレームワークは、MITRE ATT&CKの方法論 — サイバーセキュリティチームがこれまで使用していた攻撃技術をカタログ化する業界標準 — に基づいています。新しいプロトコルの開発のために100万件のコーディングエージェントタスクが分析されており、フレームワークに理論的な前提ではなく経験的な基盤を与えています。

検出と対応のレベル

フレームワークは2つの保護軸を定義しています。

• Detection evasion（D1-D4）: 些細なものから高度な活動隠蔽まで、エージェントの検出回避能力のレベル
• Response（R1-R3）: 警告から侵害されたエージェントの完全な分離まで、組織の対応レベル

信頼できるAI監視システムがリアルタイムでワーキングエージェントの推論を監視します — エージェントが安全ゾーンを離れてから初めて反応する従来のperimeter アプローチとは異なります。

経済的な文脈

DeepMindは、AIエージェントが2030年までに米国で最大2.9兆ドルの経済的価値を創出できると強調しています。まさにこの規模が、エージェントシステムのセキュリティを単なる技術的問題ではなく戦略的課題にしています。