AOIFUTURE

AI AGENT SECURITY REFERENCE

LEARN → ASSESS → VERIFY

AIエージェントの「安全です」を、検証できる形にする。

プロンプトだけでは、削除、送信、コード実行、資金移動を止められない。ここでは、AIエージェントの脅威をコントロールへ、コントロールを要件へ、要件をPASS/FAILへつなぎます。

このリファレンスとチェックリストは、特定システムの安全性を認証するものではありません。対象範囲を定め、確認すべき境界と残すべき証跡を整理するための公開資料です。

START HERE / 記号の読み方

この4つだけ分かれば、記号は読めます。

TH、CT、REQ、VTは、専門家だけが使う暗号ではありません。同じ問題を「何が怖いのか」から「どう確かめるか」までたどるための目印です。

TH

脅威Threat

何が起こりうる?

攻撃者の目的や侵入経路ごとに、「どういう種類の問題か」を整理する分類です。TH-01からTH-10まであります。

TH-02 ツールの悪用と権限昇格

CT

対策Control / コントロール

何で防ぐ?

脅威に対して置く防御策の種類です。本書では「コントロール」と呼びます。CT-01からCT-15まであり、最小権限や隔離など、防御の考え方を表します。

CT-05 最小権限と職務分離

REQ

要件Requirement

何が満たされればよい?

対策を、ある/ない、満たす/満たさないと判定できる文章にしたものです。REQ-000からREQ-054までの安定した識別子を使い、SHALLは必須、SHOULDは理由を記録したうえで判断する強い推奨です。

REQ-011 ツールを最小権限にし、入力を実行前に検証する

VT

検証テストVerification Test

どう確かめる?

要件を実際に確認するテストです。Manualの基本判定はPASS/FAILです。Kitでは、対象外などをFAILと区別するためSKIPを記録する場合があります。SKIPは合格ではありません。Sは設定を見る静的検査、Dは実際に試す動的検査、Eはログ確認、Aは運用手続きの確認を表します。

VT-S-011-SHELL S=静的検査、011=関連要件、SHELL=検査対象

ひとつの例でつなぐ

  1. TH-02ツールを悪用され、削除や送信、コード実行などの実害が起きるかもしれない。
  2. CT-05そこで、ツールの権限を必要最小限に絞る対策(コントロール)を置く。
  3. REQ-011「各ツールは最小権限で、入力の型・必須項目・許容範囲を実行前に確認する」と、真偽を判定できる要件にする。
  4. VT-S-011-SHELLKit固有の静的テストでshellツールの設定を確認する。これだけで入力拒否の挙動まで証明したことにはならないため、ManualのVT-D-011のような動的テストも組み合わせる。
番号を暗記する必要はありません。矢印は一対一の変換でも、総合点でもなく、「なぜこの対策・要件・テストが必要なのか」を後からたどるための対応関係です。一つの脅威に複数の対策が必要なことも、一つの要件を複数のテストで確かめることもあります。FAILは「そのテスト条件を満たさなかった」という記録であり、それだけでシステム全体が危険だと断定するものではありません。SKIPも合格ではなく、そのテストを判定対象から外した理由を別に確認する必要があります。

CHOOSE A PATH

読むだけで終わらせないための3つの入口

全体像が必要な人、今日確認したい人、証跡を残したい人。同じ情報を、目的に合わせて使い分けられます。

01 / LEARN

書籍と章別リファレンス

なぜ必要かを理解し、脅威・コントロール・要件・検証のつながりを読む。

02 / ASSESS

実践チェックリスト

自分の構成について、Yesではなく「確認できるか」を問い直す。

03 / VERIFY

Evidence Demo

PDF、JSON、manifest、RFC 3161 timestampが、どのように一つの検証記録になるかを見る。

BOOK REFERENCE

フィールドマニュアルを章ごとにたどる

公開中の独立リファレンスは第5章から開始しています。ほかの章は要点を確認したうえで、無料書籍の該当章へ進めます。

CHAPTER 01

エージェントセキュリティという問題

モデルの出力ではなく、ツールを通じて行使される権限と結果を脅威モデルの中心に置く。

無料書籍の目次から読む ↗
CHAPTER 02

脅威分類

TH-01からTH-10まで。攻撃者の目的と侵入経路で、エージェント固有の脅威を整理する。

無料書籍の目次から読む ↗
CHAPTER 03

コントロール分類

名前を付けた脅威に対して、何を実装し、どの境界を閉じるのかを定義する。

無料書籍の目次から読む ↗
CHAPTER 04

アイデンティティと権限

人間とエージェントの資格情報を分け、短寿命・狭いスコープ・追跡可能な委譲を設計する。

無料書籍の目次から読む ↗
CHAPTER 05

ツールとアクションの安全性

許可リスト、入力検証、サンドボックス、承認ゲート、MCPの変更検知で実害の境界を守る。

公開リファレンスを読む >
CHAPTER 06

信頼できないコンテンツ・RAG・メモリ

取得コンテンツと長期記憶を、来歴・信頼レベル・TTL・可逆性を持つデータとして扱う。

無料書籍の目次から読む ↗
CHAPTER 07

モニタリング・評価・インシデント対応

ツール呼び出し、承認、外部送信、委譲を再構築できるログと、停止・失効・復旧の経路を作る。

無料書籍の目次から読む ↗
CHAPTER 08

ランタイムセキュリティポスチャ

異常時に能力を段階的に縮小し、レビューなしに暗黙復帰しない状態機械を設計する。

無料書籍の目次から読む ↗
CHAPTER 09

要件仕様

コントロールをREQ識別子とRFC 2119のSHALL/SHOULDで、真偽を判定できる要求へ変える。

無料書籍の目次から読む ↗
CHAPTER 10

検証とテスト

VT-S・VT-D・VT-E・VT-Aで、要件を反復可能なPASS/FAILと保持できる証跡へ変える。

無料書籍の目次から読む ↗
CHAPTER 11

ガバナンスとコンプライアンス

リスクの所有者、例外、監督、レビュー記録を、技術的なテスト結果と接続する。

無料書籍の目次から読む ↗

FROM ONE CHECK TO THE WHOLE SURFACE

無料の確認と、有料の検証実行を分ける

Webhook Check

Webhook署名検証の4ケースだけを、Python標準ライブラリで実行する無料ツール。まず一つの境界でPASS/FAILを体験できます。

Verification Kit

より広い検証を実行し、機械可読JSON、人が読めるPDF、digest manifest、timestamp responseを保持するための実践パッケージです。

Kitが示すのは、何を・いつ・どの結果で検証したかという記録です。システム全体の安全性や、監査担当者による受容を保証する証明書ではありません。