Trend Micro(TrendAI)が2026年3月30日に公開したリサーチ From Anarchy to Authority: Closing the Governance Gap in Agentic AI は、Agentic AI(自律型AIエージェント)のガバナンスについて、これまでとは別の場所に問題があると指摘している。
この記事は、そのリサーチを紹介するためのものではない。
Trend Microが指し示した問題を起点に、AIガバナンスの議論がこれからどこへ向かうのかを考えるためのものだ。
結論を先に置いておく。
企業が最後に設計しなければならないのは、エージェント同士の相互作用(Interaction)ではなく、判断(Judgment)である。
Trend Microは何を問題視しているか
Trend Microの出発点は、ソフトウェアの前提が変わったという認識にある。
これまでのサイバーセキュリティは、ひとつの前提の上に築かれてきた。
ソフトウェアは、人間が決めたことを実行する。
Agentic AIでは、この前提が成り立たない。
Agentic AIは、計画し、推論し、判断し、そして実行する。
APIを呼び出し、機密データにアクセスし、ワークフローを起動し、他のシステムと連携する。
しかもその動作は決定論的ではない。
反復的なループの中で、新しい入力やツールの出力、変化する文脈に適応していく。
自律的に適応するように設計されているため、行動は当初の指示を超えて展開しうる。
ここでTrend Microが強調するのは、制御点(control point)が移動したという点だ。
多くのセキュリティ対策は、モデルを守る、アプリケーションを守る、エンドポイントを守る、という発想を延長しようとする。
しかしエージェントは単一の境界の中で動かない。
リスクは、エージェントがどう通信するか、判断がどう伝播するか、Intent(意図)がどうAction(行動)へ翻訳されるか、という場所に宿る。
Trend Microはこの場所を Interaction Layer(相互作用層)と呼ぶ。
エージェント、ツール、モデル、データのあいだをつなぐ通信基盤であり、指示が渡され、Context(文脈)が交換され、Intentが形成され、Actionが引き起こされるI/Oチェックポイントである。
そしてこの層は、今のところほとんど統治されていない。
なぜ従来のセキュリティでは足りないのか
従来のセキュリティは、守るべき境界を前提にしていた。
エンドポイントやアプリケーションという境界があり、そこを固めれば内側は守られる、という構図である。
Agentic AIはこの構図を崩す。
ひとつの操作された指示が、不均衡な影響を引き起こすからだ。
プロンプトインジェクション、ツールの悪用、データ汚染。
そのいずれかが起点になれば、初期アクセスからデータの持ち出し、システム全体の侵害までが連鎖的に広がりうる。
エージェントに行動する権限を与えながら、その行動がどう展開するかをセキュリティチームが見られない。
Trend Microはこれを、統治の空白として問題にしている。
だからこそTrend Microは、最小権限(least-privilege)に加えて最小エージェンシー(least-agency)を掲げる。
エージェントが持つツール、スキル、拡張機能を、サプライチェーン上のリスクとして扱う。
そして監視すべきはエンドポイントではなく、相互作用と通信のフローだとする。
なぜGovernance Gatewayという考え方が必要なのか
Trend Microが提示する答えが、Agentic Governance Gateway である。
行動が生成されるまさにその点で、振る舞いを統治するという発想だ。
Governance Gatewayが担う役割は、記事の中で具体的に挙げられている。
エージェントがどこに存在し何にアクセスできるかを発見する(Discover)。
どう相互作用するかを観察する(Observe)。
その背後にあるContextとIntentを理解する(Understand)。
意図した結果から逸脱したときに検知する(Detect)。
ポリシーを適用し、危険な行動を止める(Enforce)。
そして重要な判断点で、人間の承認を差し込む(Introduce human approval at critical decision points)。
Interaction Layerを可視化し、制御し、必要なときに介入する。
これがGovernance Gatewayの骨格である。
同じ方向を、政府も向いている。
政府は、自律的に動くAIエージェントに対して、誤作動やプライバシー侵害のリスクを念頭に、人間の判断を介在させる仕組みづくりを開発企業などに求めている。
総務省・経済産業省が2026年3月31日に公表した AI事業者ガイドライン Ver.1.2 にも、それは示されている。
同ガイドラインはAIエージェントを「特定の目標を達成するために、環境を感知し自律的に行動するAIシステム」と定義したうえで、自律的に動作するがゆえに、判断が必要となる事項を重要度に応じて整理し、適切に対象を選定したうえで、人間の判断を適切に介在させる仕組みの構築が重要だと明記した。
企業のリサーチと政府のガイドラインが、独立に同じ結論へたどり着いている。
エージェントの行動の流れの中に、人間の判断点を差し込むこと。
ここまでは、方向として一致している。
しかし、それでもなお残る問題がある
本題はここからだ。
Interaction Layerを可視化し、危険な行動を止め、重要な判断点で承認画面を差し込む。
それらをすべて実装したとして、最後に残る問いがある。
その承認を、誰が行うのか。
どこまでをエージェントに任せ、どこからを人間が引き受けるのか。
この問いは、相互作用を制御しても消えない。
承認点を「どこに置くか」は設計できても、その承認を「誰の権限で引き受けるか」は別の問題だからだ。
企業は「承認画面」を実装できる。
しかし、承認画面は判断主体を定義しない。
部長が押すのか。
担当者が押すのか。
AI運用責任者が押すのか。
あるいは押すこと自体が形式化し、Human-in-the-Loopが形骸化するのか。
承認というUIは作れても、判断権限(Authority)は設計されない。
AI事業者ガイドライン Ver.1.2は、この難しさに触れる材料も残している。
同ガイドラインは、AIエージェントの自律的な判断を適切に監査するには説明可能性が重要だとしつつ、LLMが示す根拠は内部の決定ロジックの説明ではなく、もっともらしい理由を出力しているに過ぎない、と明記した。
つまり、相互作用や説明を可視化できたとしても、そこから「誰がその判断の責任を引き受けるのか」は自動的には決まらない。
可視化は、判断の所在を教えてくれない。
Interaction(相互作用)を設計することと、Authority(判断権限)を設計することは、別の作業である。
Trend MicroのInteraction Layerも、ガイドラインが求める人間の判断点も、「判断が行われる場所」までは指し示す。
しかし「誰がその判断を引き受けるのか」という権限の線引きは、各企業に委ねられたまま残されている。
この線引きを、無自覚のまま放置せず、意図的に引くこと。
その対象を名づけるなら、Decision Design™︎になる。
ここから先で扱うこと
ここまでで、AIエージェントのガバナンスには、Interaction Layerの制御だけでは埋まらない空白があることを見てきた。
その空白は、判断権限(Authority)の設計にある。
続きでは、Decision Designが何を設計する概念なのかを、構造をそろえて説明する。
Trend MicroのInteraction Layerと何が違うのか。
Governance、DX、Automation、AI Ethicsと、どこで線を引くのか。
そして採用選考、与信、医療、行政、社内承認といった現場で、Decision Boundary™︎が具体的にどう引かれるのか。
概念だけでは終わらせない。
Decision Design™︎とは何か
Decision Design™︎は、判断という行為そのものを設計対象とする思想だ。
その中心にあるのが、Decision Boundary™︎という概念である。
誰が決めるのか。
どこまでを任せ、どこからを引き受けるのか。
その線を、無自覚のまま放置せず、意図的に設計すること。
それがDecision Designである。
Decision Designは、判断結果を設計する概念ではない。
判断プロセスを設計する概念でもない。
判断権限そのものを設計対象とする。
以下、3つの問いに同じ構造で答える。
何を設計するのか
判断権限(Authority)の配置を設計する。
どの判断をAIエージェントに委ね、どの判断を人間が引き受けるか。
その委譲と引き受けの境界(Decision Boundary)を、明示的に引く。
「なんとなく現場任せ」でも「なんとなくAI任せ」でもなく、境界の位置を意思決定として決める。
何ではないのか
モデルの精度を上げることではない。
相互作用を可視化することでもない。
承認フローの画面を作ることでもない。
守るべき原則を宣言することでもない。
これらはいずれも判断の「場所」や「精度」や「見え方」を扱うが、判断の「権限」そのものを配置してはいない。
どの問題に対する概念なのか
自律的に動くシステムに対して、判断権限がどこにあるかが未設計のまま放置される、という問題に対する概念である。
AIエージェントが行動できるようになったとき、多くの現場では「どこまでを任せたか」が明文化されないまま運用が始まる。
Decision Designは、その空白を設計対象として引き受ける。
詳細版について
本稿は、公開範囲を基に構成したInsynergyの日本語サイト版です。詳細な議論と実装上の考察はnoteの詳細版で解説しています。