AIBIZ
規制・社会

AIエージェントの医療導入で増すセキュリティリスク

#AIエージェント#セキュリティ#医療AI#プロンプトインジェクション#レッドチーミング#OpenAI
記事バナー画像

POINT

  • Amazonが医療AIアシスタントを公開。処方箋管理や診察予約まで担う「自律型エージェント」が一般利用者に届き始めた
  • OpenAIはAIセキュリティ企業Promptfooを買収(2026年3月9日)、翌日にはMandiant創業者のKevin MandiaがArmadinを設立し約190億円を調達。業界の最前線が「安全性」に急速に集中している
  • AIエージェントが「代わりに動く」からこそ生じる攻撃面と、企業・医療現場での実務リスクを整理する

「代わりにやっておく」AIが増えるほど、何が危なくなるのか

AIが質問に答えるだけなら、最悪の場合は誤情報を信じてしまうリスクに留まる。しかしAIエージェントは違う。ユーザーの代わりに外部システムへアクセスし、予約を入れ、処方箋の更新を処理し、決済を動かす。判断と実行が一体化した存在だ。

Amazonが公開した医療AIアシスタントは、健康記録の説明から処方箋の更新手続き、診察予約の手配まで一括して担う。一見すると利便性の塊だが、裏返せば、このエージェントが誤動作したり外部から操作されたりした場合、患者の医療データと処方行為が同時に侵害される。

「便利さ」と「リスクの大きさ」は同じ機能の表と裏にある。エージェントの権限が広がるほど、その権限を奪われたときの被害も広がる。

業界トップが「防衛」に動いた3月の2日間

2026年3月の2週間に、象徴的な出来事が立て続けに起きた。

まず3月9日、OpenAIがAIセキュリティ企業Promptfooを買収したと発表した。Promptfooは2024年設立で、大規模言語モデル(LLM)のセキュリティ上の弱点をテストするオープンソースツールを提供してきた企業だ。Fortune 500企業の25%以上が利用し、累計調達額は2300万ドル、2025年7月時点の評価額は8600万ドルとされる。OpenAIは取引金額を非公開としたが、買収後はAIエージェント向け企業プラットフォーム「OpenAI Frontier」にPromptfooの技術を統合すると明言した。

具体的には、疑似攻撃テスト(レッドチーミング)の自動実行、エージェントの処理フローに潜むリスクの評価、コンプライアンス要件に照らした行動監視の3点をOpenAIは挙げている。

翌3月10日には別の動きがあった。2004年にMandiantを創業し、2022年にGoogleへ54億ドルで売却したKevin Mandiaが、新会社Armadinを設立し、シード・Series A合計で1億8990万ドルを調達したと発表した。Accel主導でGV、Kleiner Perkins、Menlo Ventures、In-Q-Telらが参加する布陣だ。Armadinの目標は、AIによる攻撃に自律的なAIエージェントで対抗すること。MandiaはCNBCで「自律型AIハッカーは近い将来に登場する。攻撃側にAIがあれば、攻撃は数分で完了し得る」と警告している。

防御側もAIを使わなければ間に合わない——その前提がすでに業界の共通認識になりつつある。

2026年3月 AIエージェント安全性をめぐる動向
3月9日 OpenAIがセキュリティ企業「Promptfoo」を買収 ・AIエージェント向けプラットフォーム「OpenAI Frontier」へ統合予定 ・Promptfoo: Fortune 500の25%以上が利用、累計調達2300万ドル 3月10日 Amazonが医療AIアシスタントを公開 Kevin Mandiaが新会社「Armadin」を設立 ・シードとSeries Aの合計で1億8990万ドルを調達 ・自律型AIエージェントで脅威を学習・対応するサイバーセキュリティ専業 3月9日 OpenAIが「Promptfoo」買収 ・「OpenAI Frontier」へ統合予定 ・Fortune 500の25%以上が利用 ・累計調達2300万ドル 3月10日 Amazonが医療AIアシスタント公開 ・サイト・アプリで提供開始 K. Mandiaが「Armadin」設立 ・合計1億8990万ドルを調達 ・自律型AIエージェントで脅威に  対応するサイバーセキュリティ専業
わずか2日間で、業界トップ企業と著名な起業家によるAI防衛・セキュリティ関連の動きが立て続けに発表された。

AIエージェント特有の攻撃面はどこにあるか

従来のソフトウェアセキュリティと何が違うのか。3つの点で整理できる。

プロンプトインジェクション

外部から入力されたテキスト——メール本文、Webページ、ドキュメント——の中に悪意ある指示を埋め込み、エージェントに意図しない操作をさせる攻撃だ。人間なら「これは指示ではなく文章だ」と判断できるが、LLMはテキストを処理する際に命令と文脈を区別しにくい。医療AIが患者の入力した病歴テキストを読み取る場面を想像すれば、攻撃面の広さが見えてくる。

権限の連鎖的な乗っ取り

エージェントが複数のツールやAPIを呼び出す際、一つのステップへの侵入が次のステップの権限を自動的に引き継ぐ構造になりやすい。処方箋システムへのアクセス権を持つ医療AIが侵害された場合、その権限は処方行為全体に及ぶ。

判断の不透明性

エージェントがなぜその判断をしたか、事後に説明しにくい。コンプライアンス上の問題が起きたとき、原因の特定と責任の所在が曖昧になる。Promptfooが「エージェントの処理フローをリスク評価する」機能を提供していた理由はここにある。

従来AIとAIエージェントのリスクプロファイル比較
従来のAI (回答生成型) AIエージェント (自律実行型) 最悪の障害シナリオ 誤情報の提供 不適切な回答の生成など ! 実行権限の乗っ取り 処方・決済・予約などの不正操作 攻撃面の広さ 限定的 主に直接入力による攻撃 ! 広い プロンプトインジェクション等に脆弱 侵害時の影響範囲 限定的 単一システム内に留まる ! 連鎖的 複数ツール・APIの権限に波及 責任の所在 比較的明確 入力と出力の関係が単純 ! 不透明 判断プロセスのブラックボックス化 セキュリティテスト 比較的容易 単一の入出力テストが中心 ! 困難 複雑なワークフローの評価が必要 従来のAI AIエージェント 最悪の障害シナリオ 誤情報の提供 不適切な回答など ! 実行権限の乗っ取り 処方・決済の不正操作 攻撃面の広さ 限定的 主に直接入力 ! 広い 外部テキスト経由に脆弱 侵害時の影響範囲 限定的 単一システム内 ! 連鎖的 複数ツール・APIに波及 責任の所在 比較的明確 入出力関係が単純 ! 不透明 判断がブラックボックス化 セキュリティテスト 比較的容易 単一テストが中心 ! 困難 複雑な評価が必要
AIエージェントは自律的に外部ツールを操作するため、従来のAIに比べて全項目でセキュリティリスクが増大します。

企業・医療現場が導入前に確認すべきこと

特に医療・金融・法務など個人データと実行権限が交わる領域では、「とりあえず試す」では済まなくなっている。導入前に問うべき点を整理した。

  • エージェントに付与する権限の範囲を最小化しているか(読み取り専用か、書き込み・実行まで許可しているか)
  • 外部入力がエージェントの行動を変えるリスク(プロンプトインジェクション)をテストしているか
  • エージェントの行動ログを事後に監査できる仕組みがあるか
  • 想定外の動作が発生したとき、自動的に処理を停止するフェイルセーフが設定されているか
  • 利用する基盤モデルの提供元が、エージェント向けのセキュリティ評価体制を持っているか

OpenAIがPromptfooを買収してOpenAI Frontierに統合しようとしているのは、これらの問いに「プラットフォーム側が答えを提供する」という方向性だ。ただし、プラットフォームが安全性を担保しても、権限設計や運用フローは導入側の責任として残る。

「攻撃側にAIがあると攻撃が数分で完了し得る」——Kevin Mandia(Armadin創業者、元Mandiant CEO)がCNBCで語ったこの言葉は、防御側の時間感覚が根本から変わったことを示している。AIエージェントの導入を検討する組織は、セキュリティ評価をリリース後の後付けではなく、設計段階の前提条件として組み込む必要がある。

まとめ

AIエージェントが「質問に答える」から「代わりに動く」へ移行した瞬間、セキュリティは後から考える話ではなく、導入可否を決める条件になった。OpenAIのPromptfoo買収とArmadinの約190億円調達は、その条件が市場でも価格付けされ始めたことを示している。導入を検討するなら、権限設計・ログ監査・フェイルセーフの3点を仕様書に書き込む段階から始めるべきだ。

参照元