1. AIと仕事の仕組み化ラジオ
  2. AIエージェント日次速報 2026..
AIエージェント日次速報 2026年6月25日版 AIエージェント運用は「秘密情報を読ませない」設計に移り始めた
2026-06-25 15:16

AIエージェント日次速報 2026年6月25日版 AIエージェント運用は「秘密情報を読ませない」設計に移り始めた

2026年6月25日時点で、Codex / Claude Code / Antigravity / Manus / Genspark / HermesAgent / OpenClaw まわりの一次情報と信頼できる関連情報を確認しました。 今日は、AIエージェント運用における「秘密情報の扱い」として整理します。 6月22日は、通知と操作を分けることを見ました。 6月23日は、接続経路を棚卸しすることを見ました。...

感想

まだ感想はありません。最初の1件を書きましょう!

00:01
もし明日、あなたの会社で一番優秀な AI アシスタントが、ライバル企業からの質問に対して、あなたの会社の未公開プロジェクトのデータを、うっかり親切に要約して答えちゃったらって、想像してみてください。
いや、それはもう想像するだけで背筋が凍りますね。
本日の深堀り特集へようこそ。
今日はですね、あなたがAIを便利に使えば使うほど、実はすぐそばまで忍び寄っている、親切すぎる情報漏洩の防ぎ方について深堀りしていきます。
はい、よろしくお願いします。
今回のミッションなんですけど、AIに何を任せるか、ではなくて、AIに何を見せないか。
もっと言えば、何を読ませないかという、実務における新常識のアップデートになります。
本日の情報源は、2026年6月25日版のAIエージェント日記速報です。
へぇ、このテーマは本当に今、実務のサイレンス線で急激に議論が進んでいるところなんですよ。
そうなんですね。AIのセキュリティというと、これまでは、勝手にファイルを消させないとか、勝手に外部に送信させないみたいな行動を制限することにばかり目が向けられてきましたよね。
はいはい、おっしゃる通りです。
でも今起きているのは、制限するんじゃなくて、そもそも読めない場所を作るっていう、全く逆のアプローチへのパラダイムシフトなんです。
全く逆のアプローチですか?
ええ、悪いことをさせないから、そもそも読ませないへの変化ですね。
なるほど。そのシフトを象徴するような動きとして、最近クロードコードという開発ツールのアップデートがありましたよね。
ああ、ありましたね。バージョン2.1.187ですね。
ここで、サンドボックスクレデンシャルズという設定が追加されたんです。
これって、AIを隔離された安全な環境、いわゆるサンドボックスの中で動かしていたとしても、システムの認証情報とか、秘密の環境変数をAIが読めないようにブロックする機能なんですよね。
まさにその通りです。これ実はすごく重要なアップデートでして、これまでの常識だと、サンドボックスっていう安全な箱の中に入れているんだから、
その中でAIがどんなファイルを見ても大丈夫だろうって、なんとなく思われがちだったんですよ。
ああ、確かに。箱から出られないなら安全だろうと。
ええ、でもそれは大きな間違いだったんです。
ってことは、これって例えるなら、ものすごく優秀だけどちょっと口の軽い新人アシスタントを雇ったとして、
はいはい。
絶対に外から覗かれない金庫室の中で作業させるのは良いけれど、その部屋の机の上に会社の全パスワード一覧表を置きっぱなしにしているようなものですよね。
いや、本当にその例えの通りですよ。金庫室の中だからって、仕事に関係のない機密情報まで見せていい理由にはならないんです。
なるほどですね。つい安全な場所だから大丈夫って思っちゃいますけど。
そうなんです。なぜ皆さんがそう勘違いしがちかというと、人間とAIとでは、読むっていう行為の意味が根本的に違うからなんですよ。
03:04
読む行為の意味が違う。それってどういうことですか。
人間にとって読むって単なるインプットじゃないですか。目で見て、頭で理解して、それで終わりですよね。
ええ、そうですね。
でもAIにとっては、読み取った情報っていうのは即座に次の作業の入り口になってしまうんです。
ああ、なるほど。入り口ですか。
はい。読んだ情報を勝手に要約するかもしれないし、気を利かせて別のファイルに書き込んじゃうかもしれないですよね。
はいはいはい。
ログに残したり、外部のツールに渡すときの判断材料にしちゃう可能性だってあるわけです。
はあ、なるほど。人間にとって読むはインプットだけど、AIにとって読むはすでにアウトプットの始まりなんだ。
そういうことです。読み取りそのものが作業の一部に直結しているんですよ。
だから、見ていいけど使っちゃダメだよって言い聞かせるより、そもそも読ませないことが最大の防御になるんです。
いやー、それはすごく腹落ちしました。見ていいけど使うなっていうのはAIには通用しないんですね。
そういうことです。
でも読ませないことが大事だっていうのはすごくよくわかるんですけど、なぜ今になって各社が急激にこの対策を強化しているんでしょうか。
AIが読むことの危険性って昨日今日始まった話じゃないですよね。
それはですね、AIの作業場所がここ数ヶ月で急激に複雑化しているからなんです。
複雑化ですか?
ええ。例えばコーデックスの6月のアップデートなんかを見るとわかりやすいんですが、
はい。
AIももう一つの画面でチャットを返すだけの存在じゃないんですよ。ローカルのポソコンとクラウドのサーバーを行き来したりとか、
はいはい。
ブラウザを直接操作したり、複数のサブエージェントが裏で同時に動いたりしているんです。
つまり一つの画面から飛び出してあちこち動き回るようになったってことですね。
まさにそうです。複数の実行場所をまたぐ存在に進化しているんです。
そういえばアンチグラビティっていうAIツールの更新でも、派手な新機能じゃなくてプロジェクトの状態管理とか移行の修正みたいな地味なアップデートが続いているのが気になっていました。
ええ。その地味に見えるプロジェクトの境界線を整備するってことが、今のAIにとってめちゃくちゃ重要なんですよ。
プロジェクトの境界線ですか?
はい。AIが複数の場所でいろんな作業をこなすようになると、今自分がどのプロジェクトのどの情報を使って動いているのかが、AI自身にも曖昧になりがちなんです。
ちょっと待ってください。正直に言うとですね。
はい。
私はこれまで、社内の未公開資料もネット上の公開情報も全部同じプロジェクトに放り込んで、AIに横断的に検索させた方が便利だと思ってたんですよ。
ああ、なるほど。
なんかこう、社内データとこの最新のニュースつながりますねみたいに、AIが点と点をつないでくれるんじゃないかって期待してて、なぜわざわざ分ける必要があるんですか?
いや、そう思われがちですよね。全部つなげた方が賢い答えが出そうですし。
06:00
ですよね。
でも、そこが最大の落とし穴なんです。境界線が曖昧なオープンスペースでAIを動かすと何が起きるか想像してみてください。
オープンスペースでですか?
例えば、あなたがAIにネット上の公開情報を元にして当たり障りのないブログ記事を書いてと頼んだとしますよね。
はい。よくある作業ですね。
でも、もし同じプロジェクト空間に来期の極秘の売上予測のデータが置いてあったらどうでしょう?
AI自身に悪意はなくてもですね、文章の文脈を整えようとする過程で、その極秘情報のニュアンスをうっかりブログ記事に混ぜ込んじゃう可能性があるんですよ。
うわ、それは怖すぎますね。なんかこのブログ、うちの来期の戦略をやたら正確に予言してるぞみたいに外から見られちゃうわけだ。
そうなんですよ。防音室を分けていなかったばかりに、公開用の作業をしているAIの耳に秘密の数字が聞こえちゃっている状態ですね。
だからこそ、アンチグラビティがやっているように、プロジェクトの境界イコールセキュリティの境界として明確に分ける設計がトレンドになっているんですね。
ええ、そういうことです。ただ、話はここでは終わらなくてですね。
まだあるんですか?
はい。プロジェクトを分ければ安心化というと、そうもいかなくなってきています。
どういうことでしょう?
AI自身がですね、私たちの日常的なツールに直接入り込んでくるようになっているからです。
ああ、最近よく聞くデジタル社員とかAI社員みたいな動きですね。
そうです。例えば、ジェンスパークなんかは、AI Employee、つまりAI社員として、私たちのメールとかカレンダー、ブラウザに直接アクセスして仕事を終わらせる方向に向かっていますよね。
はいはい。便利ですよね、あれ。
さらに、エルメスエージェントの最新版のリリースを見ると、アイメッセージとかスラック、ディスコード、あとはエンジニアが使うコマンドラインなんかからも、複数の入り口でAIが動くようになっています。
ええ、いろんなところから話しかけられるんですね。
ええ。あと、オープンクローっていうツールなんかは、フライトのチェックインとか予定の調整まで、実際の作業者として動き回るようになっています。
それは気になりますね。スラックやメールから直接、明日の資料をまとめといてみたいに、AIに頼み事ができるのは最高に便利なんですけど。
ええ。
でも、ちょっと待てよ。人間同士のチャットって、つい気を抜いて、あの案件のパスワードだけどさ、なんて平気で書いちゃいますよね。
そうなんですよ。そこが一番怖いところでして。
入り口が増えるってことは、秘密が漏れる穴も増えるってことか。
まさにその通りです。エンジニアの方なら、コマンドラインのアクセス権限をAIに渡すってことが、ブレーキのない車のハンドルを渡すようなものだってすぐわかると思うんです。
なるほど。でも、エンジニアじゃなくても同じことで、あなたがテキストメッセージで奥さんに送った銀行の暗証番号を連携しているAIが、情報として勝手に読み取っちゃうかもしれないんです。フィッシングのリスクなんかも当然高まりますし。
いやー、それは完全に失格でした。自分が意識してAIのチャットボックスに入力した情報だけじゃなくて、日常のコミュニケーションの裏側までAIが読める場所にいるってことですよね。
09:08
だからこそですね、AIエージェントをただの便利ツールとして扱うのは、もうやめなきゃいけないんです。
ツールじゃないなら何として扱うんですか?
人間の作業者と同じように扱うべきなんです。例えば、最小権限の原則を守るとか、個人用と業務用の環境もきっちり分けるとか。
なるほど。新入社員にオフィスのマスターキーをいきなり渡さないのと同じですね。
誰が何をしたか、監査ログを残したり、緊急停止の仕組みを用意したり、そういう人間に対するのと同じレベルの警戒感が必要です。
そういえば、この境界線の問題って個人のパソコンの設定だけの話じゃないですよね。
マヌスっていうAIツールに関して、メタ社が社内のシステムからマヌスを切り離したっていう報道がありましたよね。
これ別に政治的な意図とかじゃなくて、純粋なセキュリティの事実として。
はい、非常に重要な視点です。
これはAIエージェントがどの企業のサーバーで動いていて、どこにアクセス権を持っているのかっていう組織の境界や規制の境界に関わる話なんです。
企業レベルでの情報の切り離しですね。
アプリの設定だけじゃなくて、企業という大きな枠組みでもAIのアクセス権をどう管理するかが見直されている時期なんですよ。
なるほどな。ここまで聞いてですね、リスナーの皆さんは少し不安になってしまったかもしれないんですよね。
そうかもしれませんね。
じゃあ明日から自分の仕事でAIを使う時、具体的にどうすればいいのって。私も今自分のパソコンに入っているAIツールの連携を全部切りたくなっていますし。
まあ気持ちはわかりますが、過剰に怖がる必要はないんですよ。
そうですか。
今日ここまでの話を踏まえて、資料の今日の実行メモから、明日から実務で使える5つの情報隔離ルールを抽出してきたので、これを一緒に見ていきましょう。
それは助かります。ぜひ教えてください。
これを実践するだけで、AIの導入がぐっと現実的で安全になりますよ。順番に行きましょう。まず、ルールの1。
はい、ルールの1。
認証情報、いわゆるAPIキーとかパスワードですね。
はい。
これは絶対に読ませない。
絶対に読ませない。
ええ。どうしても必要な場合は、短期間で限定的なスコープの権限だけを渡します。
なるほど。さっきのゲスト用の入管証みたいなものですね。
まさにそれです。1日だけ使えるゲストカードを渡すイメージですね。続いてルールの2。個人情報です。
個人情報。
これは極力絞るか、匿名化してから読ませるようにしてください。
匿名化って例えばどういうことですか?
例えば、クライアントとのZoom会議の文字起こしをAIに要約させるとしますよね。もし会議中にクライアントが緊急連絡先として携帯番号を言っていたらどうなりますか?
ああ、そのまま要約させると、AIが親切心で、社内のパブリックなスラックにその電話番号をバッチリ載せちゃうかもしれないってことか。
ええ、大問題ですよね。だからAIに文章を渡す前に、電話番号や本名を別の記号に置き換えるマスク処理をするステップが必要なんです。
12:10
誰のデータか分からなくても、文脈さえあればAIは要約できますもんね。
そうなんですよ。そしてルールの3。未公開情報です。社内の計画とかですね。
はいはい。
これは公開情報と同じ場所、つまり同じプロジェクトで扱わないことです。
これはさっきの防音質を分けるって話ですね。
ええ、完全に切り離して混ざるのを防ぐわけです。そしてルールの4。本番環境の操作権限です。
操作権限?
これはいきなり渡さないこと、読み取り、下書き、限定的な書き込み、そして実行というように段階を踏むのが鉄則です。
ああ、これすごく実践的ですね。まずは過去のメールを読むだけ、次は返信の下書きを作らせるだけ、人間がチェックしてOKを出して初めて送信ボタンを押させるみたいな。
その通りです。新入社員に仕事を任せていくプロセスと全く一緒ですよね。
本当ですね。まずは先輩の横で見なさいってやつだ。
ええ。そして最後ルールの5はログを残すです。
ログを残す?
何を読み込んで何を実行したのかを後から確認できるようにしておくことですね。
なるほど。車のドライブレコーダーみたいなものですね。
はい。もし何か問題が起きたとき、ログがなければなぜAIがその秘密情報をしゃべってしまったのか、原因究明ができませんからね。
パスワードはゲスト用にする、個人情報はマスクする、未公開情報とは部屋を分ける、権限は下書きから、そしてドライブレコーダーをつける。
はい。
この5つのルールを決めるだけで、なんだか明日から過剰に怖がることなくAIに仕事を頼めそうな気がしてきました。
そう思っていただけたら嬉しいです。きちんと境界線を引いて管理すれば、AIは本当に頼もしいパートナーになりますからね。
ありがとうございます。さて、本日の深掘りもあっという間に終盤です。
はい。
今日の結論をまとめると、AIに何をやらせるかを夢見る前に、まず何を見せないかのリストを作る。これにつきますね。
ええ、全くその通りです。
見えないものは誤って使われないということですもんね。
そうですね。
最後に、今これを聞いているあなたにですね、一つだけ想像してみてほしいことがあるんです。
何でしょうか。
今、あなたの目の前にあるパソコンのデスクトップとか、開きっぱなしのチャット画面を思い浮かべてみてください。
はい。
もし明日、そこにつながっているAIエージェントの記憶がですね、何かの白紙で全部つつむけになってしまったとしたら、あなたが一番パニックになる情報はどれですか。
いやー、それはドキッとしますね。
もしかすると、今日がそのファイルをAIの見えない場所へ移すベストなタイミングかもしれないんですよ。
ふふ、今日からすぐに行動したくなる素晴らしい問いかけですね。
ありがとうございます。本日の深掘り特集はここまでです。
日々の情報過多な社会の中で、これからもあなたと一緒に情報の波を深く潜って、本当に役立つ知識を見つけていきたいと思います。
15:08
はい。また深い議論ができるのを楽しみにしています。
それでは、また次回の深掘りでお会いしましょう。ありがとうございました。
ありがとうございました。
15:16

コメント

スクロール