Microsoft Defender、AIエージェント向けランタイム保護機能を発表—プロンプトインジェクション攻撃に対応

AIエージェントが自然言語で指示を受けるようになった今、メール1通、文書1つが企業システムへの侵入口になる時代が到来しています。Microsoftが発表した新技術は、この「見えない攻撃」をリアルタイムで防ぐ、AIセキュリティの転換点となるかもしれません。

Microsoftは2026年1月23日、Microsoft Copilot StudioのAIエージェントに対するランタイムセキュリティ保護機能について発表した。Microsoft Defenderの研究者であるドール・エドリーとウリ・オレンによる研究成果である。

AIエージェントは自然言語入力のみで機密データへのアクセスや特権アクションを実行できるため、脅威アクターによる攻撃のリスクがある。Microsoft DefenderはWebhookベースのランタイムチェックを通じて、ツール呼び出し時にリアルタイムでセキュリティチェックを実行し、各アクションを許可またはブロックする。

記事では3つの攻撃シナリオを提示している。1つ目はメールトリガーワークフローでの悪意のある指示インジェクション、2つ目はSharePoint文書を介したプロンプトインジェクションによるデータ流出の試み、3つ目は公開チャットボットに対する機能偵察の試みである。

From: From runtime risk to real‑time defense: Securing AI agents – Microsoft

【編集部解説】

今回のMicrosoftの発表は、AIエージェントのセキュリティ対策において極めて重要な転換点を示しています。なぜなら、2025年にプロンプトインジェクション攻撃が前年比540%も急増し、AIシステムにおける最も深刻な脅威として浮上しているからです。

AIエージェントのセキュリティリスクは、従来のサイバー攻撃とは本質的に異なります。通常のソフトウェアはコードの脆弱性を狙われますが、AIエージェントは「自然言語」そのものが攻撃ベクトルになります。攻撃者が巧妙に作成したプロンプトをメールや文書に埋め込むだけで、エージェントを騙して機密データを流出させたり、意図しない操作を実行させたりできてしまうのです。

この問題の深刻さは数字にも表れています。現在、企業の72%がAIエージェントを実装または拡大していますが、包括的なAI専用のセキュリティ対策を持つ企業はわずか29%に過ぎません。さらに、AIセキュリティインシデントを経験した組織の97%が、適切なアクセス管理メカニズムを欠いていたという衝撃的なデータもあります。

Microsoftが今回提示したWebhookベースのランタイム保護は、この課題に対する実践的な解決策です。重要なのは「ビルド時」ではなく「ランタイム時」、つまりエージェントが実際にアクションを実行する瞬間に検査とブロックを行う点にあります。これにより、設計段階では想定できなかった攻撃パターンや、動的に変化する脅威にも対応できます。

この技術はMicrosoft Defenderだけでなく、Noma Security、Cyera、Zenityといった複数のセキュリティベンダーとも統合されており、業界全体でエコシステムが形成されつつあります。学術研究でも、多層防御アプローチによって攻撃成功率を73.2%から8.7%に削減できることが実証されています。

AIエージェント市場自体は、2025年の72.9億ドルから2034年には1,391.9億ドルへと年平均成長率40.5%で拡大する見込みです。しかし、エンタープライズリーダーの53%、実務者の62%がセキュリティを最大の課題として挙げており、この課題を解決しなければ市場の健全な成長は望めません。

2026年は「AIエージェントセキュリティ市場が確立される年」になると予測されています。Microsoftのこのアプローチはまさにそのタイミングでリリースされた、時宜を得た技術革新と言えるでしょう。

【用語解説】

AIエージェント
自然言語で指示を受け取り、自律的に複数のタスクを実行するAIシステム。従来のチャットボットと異なり、外部ツールやデータベースに接続し、メール送信やファイル操作など実世界のアクションを実行できる。

ランタイム保護
ソフトウェアやAIシステムが実際に動作している最中（ランタイム）にセキュリティチェックを行う手法。開発時やビルド時の検査だけでは対応できない動的な脅威をリアルタイムで検出・防御する。

Webhook
あるアプリケーションで特定のイベントが発生したときに、別のアプリケーションへ自動的に通知を送る仕組み。今回のケースでは、AIエージェントがツールを呼び出す際にMicrosoft Defenderへセキュリティチェックのリクエストを送信する。

プロンプトインジェクション
AIシステムに対する攻撃手法の一種。悪意のある指示を自然言語で埋め込むことで、AIを騙して意図しない動作をさせる。メールや文書に隠された指示が攻撃ベクトルとなる。

ドール・エドリー、ウリ・オレン
Microsoft Defender Security Researchの研究者。今回のAIエージェントランタイムセキュリティに関する研究を主導した。

【参考リンク】

Microsoft Copilot Studio（外部）
企業向けカスタムAIエージェント構築プラットフォーム。コーディング不要でビジネスプロセスを自動化するエージェントを作成できる。

Microsoft Defender（外部）
統合セキュリティソリューション。エンドポイント、クラウドアプリ、ID、データを保護し、AIエージェント向けランタイム保護機能を提供。

Noma Security（外部）
AIセキュリティ特化スタートアップ。Microsoft Copilot Studioと統合してランタイムガードレール機能を提供。

Cyera（外部）
データセキュリティプラットフォーム企業。AIエージェントがアクセスするデータの可視化と保護を専門とする。

Zenity（外部）
ローコード/ノーコードアプリケーションとAIエージェントのセキュリティソリューションを提供。Microsoft統合を実現。

【参考記事】

The 2025 Prompt Injection Threat Landscape（外部）
2025年にプロンプトインジェクション攻撃が前年比540%急増したことを報告。AIセキュリティインシデント組織の97%が適切なアクセス管理を欠いていた。

5 Predictions for AI Agent Security in 2026（外部）
企業の72%がAIエージェント実装中だが、包括的AI専用セキュリティ対策を持つ企業は29%のみ。2026年のトレンド予測。

New Research Uncovers Top Challenges in Enterprise AI Agent Adoption（外部）
エンタープライズリーダーの53%、実務者の62%がセキュリティをAIエージェント導入の最大課題として挙げた調査研究。

Agentic AI Market Size, Share | Forecast Report [2026-2034]（外部）
AIエージェント市場が2025年の72.9億ドルから2034年には1,391.9億ドルへ年平均成長率40.5%で拡大する見込み。

Securing AI Agents Against Prompt Injection Attacks – arXiv（外部）
多層防御アプローチでプロンプトインジェクション攻撃成功率を73.2%から8.7%に削減できることを実証した学術論文。

What’s shaping the AI agent security market in 2026（外部）
2026年がAIエージェントセキュリティ市場が確立される年になるとの予測。企業のセキュリティ投資動向を分析。

Prompt Injection Attacks: The Most Common AI Exploit in 2026（外部）
プロンプトインジェクションが2026年時点で最も一般的なAI攻撃手法となっている実態を解説。具体的な攻撃パターンと対策。 

【編集部後記】

AIエージェントが業務の自動化を進める一方で、自然言語そのものが攻撃の入り口になるという現実は、私たちが想像していた以上に複雑な課題ですね。みなさんの組織では、AIツールを導入する際にランタイムセキュリティまで検討されているでしょうか。便利さと安全性のバランスをどう取るか、一緒に考えていきたいテーマです。

もし導入を検討されているなら、この記事が少しでも参考になれば幸いです。未来のテクノロジーと向き合う際、私たちはどんな視点を持つべきなのか、ぜひみなさんの考えもお聞かせください。