AnthropicがAIエージェント安全導入のCISO向け指針を2026年7月17日に公開しました。
執筆したのはAnthropicの副最高情報セキュリティ責任者(Deputy CISO)Jason Clintonです。「ゼロリスクの達成が仕事ではない」と言い切ったうえで、AIエージェントのリスクを可視化し範囲を限定するための「4つの質問」と7項目の統制を、自社運用の実例つきで公開しました。AI代行やエージェントに業務を任せ始めた日本のEC事業者にとっても、そのまま使える判断基準です。本記事は、EC支援19年・5,000社超の実績を持ち、AI導入支援は2023年から提供する株式会社オルセル(うるチカラ運営)が解説します。
Anthropic現職CISOが示した「4つの質問」とは
Claude公式ブログに7月17日付で掲載されたガイド「Zero risk isn’t the job: a CISO’s guide to agentic AI」の核心は、エージェント導入の可否を判断する4つの質問です。第一に、そのエージェントは攻撃者が書き換えられる「信頼できないコンテンツ」(外部メール、ウェブ、第三者の文書など)を取り込むか。取り込まないなら固有リスクはほぼゼロで、すぐ進めてよいとしています。第二に、どんな操作を誰の権限で実行するか。読み取り専用か書き込み可能かで懸念はまったく異なります。第三に、エージェントが意図から外れたときの影響範囲はどれだけか。範囲と深刻度の掛け算で、1ファイルで済むのか組織全体に及ぶのかを見積もります。第四に、可観測性があるか。エージェントの操作と人間の操作を区別してログに残せるかです。
ガイドの背景には、セキュリティ責任者が「ノー」と言い続けると、テレメトリ(監視データ)がゼロで停止スイッチもないシャドー導入が社内に広がるという問題意識があります。逆に統制なしで「イエス」と言えば、最初の重大インシデントがAI活用プログラム全体を後退させます。だからリスクを測れる形にして、意図的に引き受けるという立場です。
意図から外れたエージェントは内部者による攻撃と区別がつかない、という指摘も重要です。Ponemon Instituteの2026年版内部者リスクコスト調査では、内部者インシデントの封じ込めに平均67日かかっています。エージェントの実行速度を考えると、日単位の対応では遅すぎるとClintonは述べています。
実運用で見えた創発行動と7つの統制
ガイドには自社事例が2つ載っています。1つ目はインシデント対応エージェントです。1年以上前から、本番ログの読み取り専用アクセス(個人情報なし)、Slackでのチャンネル開設、Google Docでの事後報告書ドラフト作成という3つの道具だけを与えて運用してきました。2025年11月、モデルをClaude Opus 4から4.5に差し替えたところ、ツールもプロンプトも変えていないのに新しい行動が現れました。障害対応の途中で根本原因を特定したエージェントが、担当者の到着を待たずに、コード修正権限を持つ社内の別エージェントへSlack経由で修正を依頼したのです。修正はプルリクエストとして人間のレビューを経て反映されました。モデルの知能向上だけで行動範囲が広がる一方、書き込み系の操作に人間のレビューを挟む統制は機能した、という2つの教訓が示されています。
2つ目はClaude Coworkのような、社員が手元で使うエージェント環境の統制です。ガイドは7項目を挙げています。IDプロバイダーでの認証管理(SAML/OIDC・SCIM対応)、破壊的・不可逆な操作への人間レビュー(メールはドラフト作成のみで自動送信させない等)、コネクタごと・アクションごとの許可制御、認証情報を実行環境に持ち込まないリバースプロキシ方式の使い捨てVM、プロンプトインジェクション対策として最も強力とされる外向き通信の許可リスト、OpenTelemetryによる監視、そして全ユーザーのコネクタを一括無効化できる組織全体の停止スイッチです。あわせて、2026年7月時点でAnthropic社内のプルリクエストの50%超をClaude Tag類似の社内システムが作成していることも明かされました。使い捨てVMと人間レビューがあるから安全に回せる、という説明です。
なお、このガイドはAIによる攻撃側の変化も前提にしています。Claude Mythos PreviewやClaude Mythos 5といったフロンティアモデルは、OpenBSD、Linuxカーネル、Firefoxで長年見過ごされてきた深刻な脆弱性をすでに発見しており、外部リスクの対策は別のガイドにまとめられています。
日本のEC事業者にとっての論点と初動
結論として、この4つの質問は、EC事業者がAIエージェントに店舗運営を任せる際の判断基準としてそのまま使えます。楽天市場のRMSやAmazonのセラーセントラルにエージェントを接続する動きはすでに始まっており、権限設計を誤ると、価格や在庫の一括更新のような不可逆な操作が無監視で走ることになります。
具体的に当てはめると、次のようになります。まず信頼できないコンテンツの観点では、レビューや問い合わせメールは「攻撃者が書ける入力」に該当します。レビュー分析や問い合わせ対応をエージェントに任せるなら、そこからの指示で意図しない操作が誘発されない設計かを確認します。次に操作範囲の観点では、売上分析やレポート作成のような読み取り専用業務と、価格改定・在庫更新・メール送信のような書き込み業務を分け、後者には原則として人間の承認を挟むのが安全です。影響範囲の観点では、1商品のテスト運用から始めて段階的に広げる、ガイドでいう「クロールフェーズ」の設計が有効です。最後に可観測性の観点では、エージェントが何をしたかを後から追える記録が残るツールを選びます。
初動としては3つ挙げられます。第一に、社内で最も要望の強いAI活用案件をひとつ選び、4つの質問にかけて「どんな条件なら承認できるか」を書き出すこと。第二に、利用中のツールやAI代行ベンダーに、7項目のうちどれが実装済みかを確認すること。第三に、自社にとって何が「信頼できないコンテンツ」かの線引きを文書化しておくことです。
まとめ
Anthropicの現職CISOによる今回のガイドは、「ゼロリスクを待つことは永遠に待つことを意味する」と締めくくられています。AIエージェントの業務活用が広がる今、危ないから使わないではなく、リスクを測って引き受ける枠組みを持つ事業者から先に進みます。4つの質問と7つの統制は、EC運営のAI委任を設計する際のチェックリストとして活用できます。
参考文献
- Claude公式ブログ・Zero risk isn’t the job: a CISO’s guide to agentic AI
- Claude公式ブログ・How Anthropic uses Claude for cybersecurity
- Claude Cowork製品ページ
あわせて読みたい関連記事として、Claude Fable 5公式ガイドの解説、Base44がFable 5で中核開発を委任した事例、Fable 5とSonnet 5の使い分けとコスト設計もご覧ください。
※うるチカラでは、生成AIの導入支援から運用最適化まで、貴社のEC事業に合わせたカスタマイズ提案を行っています。無料相談(30分)も実施中ですので、お気軽にお問い合わせください。
https://uruchikara.jp/contact/
引用元: Claude公式ブログ
【監修】齋藤竹紘(株式会社オルセル代表 / 19年・5,000社のEC支援実績)

株式会社オルセル代表取締役 / うるチカラ編集長。19年・5,000社以上のEC支援実績を持ち、楽天市場・Amazon・Yahoo!ショッピング・Shopify・Shopee越境ECの実装ノウハウを保有。AI×ECに関する書籍を3冊執筆。「現場で使えるAI実装」を一次情報として発信しています。