米商務省が調達指針 AIエージェント安全性で初のRFI

この記事の要約

政府調達にAIエージェントを組み込むには、モデル単体ではなく外部ツール連携を含むシステム全体の安全性基準が必要とされている。

このRFIは、AIの責任分解点を巡りクラウド事業者や開発企業間で曖昧になっていた領域を定義する契機となる。

省庁横断的な調達基準の策定は、モデル性能からセキュリティ保証を含むシステム提案力へとAI企業間の競争軸を転換させる。

米国商務省の国立標準技術研究所（NIST）内に設置されたAI標準・革新センター（CAISI）は2025年7月、AIエージェントシステムのセキュリティ確保に関する情報提供依頼（RFI）を公式発表した。回答期限は9月12日まで設定されており、産業界・学術界・セキュリティコミュニティから広く意見を募る。このRFIは、自律的に動作するAIエージェントを政府調達に組み込む前段階として、連邦政府が初めて策定を目指す技術指針の土台となる。

CAISIの動きは、国防総省や国土安全保障省など複数機関が個別にAIエージェントの試験導入を進める中で、省庁横断的な安全基準の空白を埋める狙いがある。NISTはこれまでもAIリスク管理フレームワークを主導してきたが、そこでは主にモデル単体の評価が中心だった。今回のRFIは、ツール呼び出しや外部APIとの連鎖的相互作用を行うエージェント特有の振る舞いを対象としており、ガバナンスの対象がモデルからシステム全体へと拡張される点に構造的転換がある。

AIエージェントを調達対象にする政府の事情

連邦政府がAIエージェントの調達を急ぐ背景には、行政サービスにおける人手不足と高度化するサイバー脅威への対応がある。社会保障局では給付審査の一次処理、国防総省では兵站計画の補助など、すでに複数の概念実証が進行中だ。CAISIの親組織であるNISTは、2023年10月の大統領令第14110号にもとづき、連邦情報システムでのAI安全基準策定を義務づけられている。今回のRFIはその履行期限をにらんだものである。

AIエージェントの政府利用が遅れれば、米国全体のAI産業にも影響が及ぶ。政府調達は大規模言語モデルを提供するOpenAI、Anthropic、Google DeepMind、そしてそれらをエンタープライズ向けにパッケージ化するMicrosoft、Palantir、Scale AIといった企業にとって、数十億ドル規模の安定収益源になり得る。調達基準が未整備のままでは各機関が調達を控えるため、企業側の先行投資回収が遅れる構造だ。CAISIのRFIは、この滞りを解消する触媒として機能する。

情報提供依頼が示すセキュリティ評価のレイヤー構造

今回のRFIは、AIエージェントのセキュリティを三層構造で把握しようとしている。第一層はモデル自体の堅牢性であり、プロンプトインジェクションや脱獄攻撃への耐性が問われる。第二層はエージェントが外部ツールやAPIを呼び出す際の認証・認可の設計で、ここではOAuth 2.0やAPIキーの管理方式が焦点となる。第三層は複数エージェント間の連携や、人間の承認を含むワークフロー全体の監査証跡確保である。

この三層構造が意味するのは、セキュリティ責任の分界線がクラウド基盤事業者、モデル提供者、アプリケーション開発者、そしてシステムインテグレーターの間で曖昧になってきた現実だ。Amazon Web ServicesやMicrosoft Azureといったクラウド事業者は、自社の責任共有モデルではカバーしきれないエージェント特有のリスクに直面している。NISTのRFIは、責任範囲を明確化する契約文言の雛形づくりにも影響を与える。

モデル競争からシステム競争への移行

CAISIがエージェントシステム全体を評価対象に据えたことで、AI企業間の競争軸がモデルの性能一辺倒から、セキュリティ保証を含めたシステム提案力へとシフトする可能性が強まった。Anthropicは早くからConstitutional AIやモデル憲章による安全性設計を打ち出しており、政府調達において有利な立場を築こうとしている。OpenAIも2025年春からエージェント向けのSafetyクラス分類を導入したが、今回のRFIはその分類が連邦基準と整合するかの試金石になる。

半導体レイヤーにも間接的な影響が及ぶ。エージェントの安全性検証には推論時により多くの計算資源が必要となるため、NVIDIAのH200やAMDのMI300Xといった高性能GPUへの需要がさらに高まる。政府調達案件が増えれば、セキュリティ検証用コンピュートを大量に確保できるクラウド事業者が受注競争で優位に立つ。この動きは、すでに過熱するデータセンター投資に追い風となる。

日本企業への影響も無視できない。経済産業省と情報処理推進機構（IPA）はNISTのAIリスク管理フレームワークを参照した国内ガイドライン整備を進めており、今回のRFIが最終的な推奨基準となれば、日本版エージェント安全基準にも反映される公算が大きい。とくに大手システムインテグレーターが手がける行政向けAI導入案件では、準拠すべき仕様が早期に定まることで開発計画の前倒しが可能になる。

広がるエージェント固有の脅威と対応

RFIが特に注意を促している脅威の一つが、間接的プロンプトインジェクションである。これはエージェントが参照したWebページやメール本文に悪意ある指示を埋め込み、API経由で機密情報を外部送信させる攻撃だ。2024年にはGoogle DeepMindや複数の大学研究チームがこの脆弱性を実証しており、実運用における対策の欠如が指摘されてきた。CAISIのRFIは、こうした研究成果を実装基準に落とし込む役割を担う。

別の論点として、マルチエージェント環境での責任追跡性がある。たとえばカスタマーサポート業務で三つのAIエージェントが連携し、誤った払い戻し処理が発生した場合、どのエージェントの判断が誤っていたのかを特定する仕組みが求められる。RFIはブロックチェーンを用いた不変ログや、暗号論的検証可能な意思決定記録の実現可能性についても情報提供を求めている。この点はPalantirやChainalysisのようなデータ解析・フォレンジック企業の技術と交差する領域だ。

今後の焦点は調達契約と国際標準化

CAISIは今回のRFIで収集した情報をもとに、2026年初頭までにAIエージェントセキュリティの実務指針を発行する計画である。その後の焦点は、この指針が連邦調達規則（FAR）にどこまで組み込まれるかだ。FARに明記されれば、政府と取引する全ベンダーに遵守義務が発生し、実質的な業界標準として機能する。すでに国防総省のCMMC（サイバーセキュリティ成熟度モデル認証）が国防産業に広範な影響を与えた前例があり、同様の波がAIエージェント市場にも訪れる。

さらに欧州連合のAI法とNIST基準の相互運用性が次の争点になる。欧州は域内での高リスクAIシステムに対し、人間による監視と説明責任を要求している。NISTのエージェント指針がこれと整合しなければ、グローバル展開するAI企業に二重規制のコストを強いることになる。CAISIのRFIの成否は、米国発のAI安全基準が国際的に通用するかどうかのリトマス試験紙でもある。