AIエージェントが本番運用に入るほど、プラットフォームごとにバラバラな監視体制が足かせになります。
この記事では、NetziloがAmazon Bedrock AgentCore向けに拡張したAIエージェント統制機能の内容と、既存の可観測性機能との違いを整理します。
この記事でわかること
- Netzilo AIDRがAgentCoreで何を監視・検知・遮断するのか
- Bring Your Own Governance(BYOG)が解く課題
- 対応プラットフォーム一覧と検知対象の脅威
- AWS標準のAgentCore Observabilityとの役割分担
本番エージェントに求められる「統制」の意味
生成AIエージェントは、クラウド上のランタイムだけでなく、オーケストレーションフレームワーク、開発者の端末、スマートフォン、オンプレミス環境まで動き回ります。Netziloは2026年7月1日の発表で、こうした拡大を「エージェントが新たなエンタープライズのエッジになる」と位置づけています。
課題は、各プラットフォームが公開するテレメトリやポリシーフックに依存すると、フレームワークを変えるたびに可視性と強制力が欠け落ちる点です。セキュリティチームは、エージェントの実行場所に関係なく、観測(Observe)・検知(Detect)・対応(Respond)を一貫して行える仕組みを求めています。
Netzilo AIDRがAgentCoreに追加した機能
Netziloは、AI Detection & Response(AIDR)プラットフォームのガバナンスとランタイム強制機能を、Amazon Bedrock AgentCoreを含む主要なAIエージェント基盤(ハーネス)へ拡張しました。AgentCoreはAWSが提供するエージェント構築・運用基盤で、CrewAIやLangGraphなどのオープンソースフレームワークと連携し、ツール実行や権限管理を担います。
今回の拡張で、Netziloは各プラットフォームのネイティブ機能だけに頼らず、エージェント本体に行動グラフと強制レイヤーを載せる方式を採用しています。これにより、ハーネスや実行環境が変わっても、同じレベルの行動可視性・検知・相関分析・対応が維持されます。
ランタイム行動グラフで見える化するもの
AIDRはセッション中のエージェント行動をランタイムグラフとして記録します。対象には次が含まれます。
- ツール呼び出し
- ファイル読み取り
- ネットワークリクエスト
- スキル取得
- 複数段階にわたるアクションの連鎖
単体では無害に見える操作も、グラフ上で相関させるとリスクの兆候として浮かび上がります。Netziloは、プロンプトインジェクション、間接的なプロンプトインジェクション、ツールポイズニング、ケイパビリティハイジャック、権限昇格、複数段階のデータ流出を検知対象として挙げています。
Governance-as-Codeとキルスイッチ
AIDRは決定論的なGovernance-as-Code制御を適用し、侵害されたエージェントをリアルタイムで隔離または終了できます。プロンプト単位の監視や静的なアクセス制御にとどまらず、エージェントのワークフォース全体に対するランタイム制御プレーンとして機能します。
Netziloは、従来のEDR(エンドポイント検知応答)やSIEM(セキュリティ情報イベント管理)ではカバーしきれない可視性のギャップを埋めると説明しています。エージェントが自律的にツールを呼び出し、外部へ通信する行為は、従来型のセキュリティ製品の設計前提とずれやすいためです。
対応プラットフォームはAgentCoreだけではない
今回の発表で明示された対応ハーネスは次のとおりです。
- Amazon Bedrock AgentCore
- Microsoft Foundry
- Microsoft Copilot Studio
- CrewAI
- LangGraph
- Google Vertex AI
- ユーザー端末・モバイル上で直接動作するエージェント
- オンプレミス上のハーネス
企業が複数のエージェント基盤を併用する場面を想定し、ポータブルな統制モデルを前面に出しています。NetziloのCEO Egemen TAS氏は、「AIエージェントのガバナンスは、どのプラットフォームがどの統合ポイントを公開するかに依存できない」と述べ、エージェントがどこで動いても統制が追従すべきだと強調しています。
AWS標準機能との違い
Amazon Bedrock AgentCore自体にもObservability機能があり、OpenTelemetry(OTEL)形式のテレメトリをAmazon CloudWatchのGenAI Observabilityダッシュボードへ送ります。AgentCore Runtime上のエージェントは追加設定なしで計装され、モデル呼び出し、トークン使用量、ツール実行、レイテンシなどを追跡できます。
一方、Netzilo AIDRは可観測性に加え、行動グラフに基づく脅威検知とランタイムでの強制停止を担います。AWSの機能がパフォーマンス監視とデバッグに軸を置くのに対し、AIDRはセキュリティオペレーション向けの検知・対応レイヤーとして位置づけられます。両者は排他的ではなく、運用監視とセキュリティ統制を分担する構成が想定されます。
オープンソースの検知ルールも公開
NetziloはGitHubでnetzilo/aidr-sigmaリポジトリを公開し、AIDR向けのSigma検知ルールをコミュニティ管理しています。ルールはプロンプトインジェクション、認証情報へのアクセス、データ流出、MCP設定の改ざんなど、エージェント特有の脅威をカバーします。単一イベントでは検知できない多段攻撃には、Starlarkスクリプトで行動グラフを走査する方式も用意されています。
ゼロトラストとデータ主権の文脈
Netziloは、AgentCoreを含むエージェント基盤を導入する企業に対し、データ・ポリシー・強制力を組織の管理下に置く統制モデルを提示しています。プライバシー、データ主権、運用制御を維持しながら、自律型AIエージェントへゼロトラストの原則を拡張する、という位置づけです。
BYOG(Bring Your Own Governance)は、クラウド事業者やフレームワーク提供者の統制機能に丸ごと依存せず、自社のセキュリティ基準をエージェントへ持ち込む考え方です。パイロットから本番へ移行する企業にとって、基盤を増やしても統制が薄れないことは、導入判断の条件になりつつあります。