.png&w=96&q=75){kind=small}
Cognizantは、企業がAIとエージェント型システムを安全に拡大するための「Cognizant Secure AI Services」を発表した。AIの設計・開発・テスト・デプロイだけでなく、本番稼働中の挙動監視まで含めて、証拠に基づく信頼を作るサービスとして位置づけている。
企業AIは、チャットボットから業務フローを実行するエージェントへ進んでいる。そこで問題になるのは、AIが何を根拠に判断し、どのAPIを呼び、どのデータへ触れたのかを追跡できるかだ。
「Provable trust」とは何か
Cognizantは、AIシステムの信頼を前提として置くのではなく、証跡、追跡可能性、継続的な保証で示すべきだとしている。従来のセキュリティは決定論的なソフトウェアを守る前提だったが、AIは文脈で振る舞いが変わる。プロンプト操作、モデル改ざん、エージェントの誤作動が、確信を持った誤った行動につながる可能性がある。
構成要素 | 役割 |
|---|---|
Agent Development Lifecycle | 設計、開発、テスト、デプロイ、変更管理に保護を組み込む |
Neuro Cybersecurity | AIと企業システムのシグナルを統合し、脅威対応と監査証跡を支える |
Cognizant Trust | ポリシー実行、トレーサビリティ、コンプライアンス整合を継続的に支援する |
ランタイム監視が重要になる理由
AIエージェントは、本番環境で外部アプリ、API、社内データに接続する。開発時のテストだけでは、実運用中の文脈変化や入力操作に対応できない。Cognizantの発表は、AIセキュリティをモデル評価だけでなく、稼働中の行動制御と監査証跡に広げる動きといえる。
日本企業への示唆
生成AIの全社導入では、最初から高度な自律処理を許すより、読み取り専用、限定API、承認必須、全ログ保存の形で始めるのが現実的だ。AIエージェントごとに、担当業務、アクセス可能なデータ、失敗時の停止条件、責任者を定義する必要がある。
注意点
「AIセキュリティサービス」を導入しても、社内の権限設計が曖昧なままでは効果は限定的だ。人間の職務分掌、データ分類、外部委託先の権限、監査ログの保存期間まで含めて設計しないと、AIだけを監視しても抜け穴が残る。
参考:Cognizant発表
.png&w=384&q=75)
