AI Agent が企業のワークフローに組み込まれ始めている中で、「エージェントにどこまでの権限を持たせるべきか」「ユーザーの操作として実行されるべきなのか、エージェント自身の権限で実行されるべきなのか」といった設計判断に悩まれている方は多いのではないでしょうか。従来のアプリケーションとは異なり、エージェントは自律的にツールを呼び出し外部リソースへアクセスするため、認証・認可の設計にも新しい考え方が必要になります。

こうした課題に取り組む開発者・セキュリティエンジニアの皆様を対象に、2026 年 5 月 22 日、AWS 麻布台ヒルズオフィスにて「Security for App Builders #2」を開催しました。ご参加いただきました皆様には、改めて御礼申し上げます。

本ブログでは、当日の各セッションの概要をお伝えするとともに、発表資料を公開いたします。AI Agent のアイデンティティ制御に関心をお持ちの方にとって、設計の出発点となる情報が得られる内容になっていますので、ぜひご覧ください。

Security for App Builders とは

「Security for App Builders」は、アプリケーション開発者・セキュリティエンジニアを対象としたセキュリティイベントシリーズです。アプリケーション開発や SDLC におけるセキュリティの原理原則とプラクティスを、セッションとハンズオンを通じて学んでいただくことを目的としています。

昨年 11 月に実施した第一回では「Coding Agent が生成したコードの安全性をどう確保するか」を扱いました。第二回となる今回は、エージェント自体の開発をテーマとして取り上げ、自律的にアクションを起こす段階で必要になる 認証・認可・監査可能性 に焦点を当てています。

イベント概要

エージェント型 AI は、従来のソフトウェアと生成 AI の特徴を併せ持ちます。ユーザーの指示に基づいて自律的にツールを呼び出し外部リソースへアクセスする一方で、その挙動は非決定論的です。この自律性を維持しつつ、決定論的なセキュリティ制御を与えるためにはアイデンティティ（認証・認可）の設計が重要になります。

本イベントでは、AWS セッション・お客様事例・ハンズオンを通して、AI Agent における基本となる考え方、実際のお客様での実践例を学び、AWS のマネージドサービスでの実現方法を体験いただきました。セッション終了後にはネットワーキングの時間も設け、各社のプロダクトセキュリティに関心を持つ方同士での情報交換が行われました。ご参加いただきました皆様には、改めて御礼申し上げます。

以下、各セッションの概要と当日の様子を紹介いたします。

セッションの紹介

AWS Session : AI Agent のアイデンティティ制御

アマゾン ウェブ サービス ジャパン合同会社 技術統括本部 デジタルサービス技術本部 シニアソリューションアーキテクト 柴田 龍平

最初のセッションでは、AI Agent のセキュリティの考え方とその基礎となるアイデンティティについてベースとなる考え方についてお話しました。

エージェントティック AI は自律的にツールを呼び出し、人間の数十〜数百倍の速度でアクションを実行します。これにより生産性が大きく向上する反面、エージェントが予想外の動作をしないような制御も必要になります。ただし、LLM の内部にはセキュリティを強制するメカニズムが存在しないため、プロンプトでルールを与え、行動を制限するような実際には効果は限定的です。そこで、エージェントの外部に決定論的なコントロールを導入するというアプローチがセキュリティの出発点となります。その外部コントロールの中核となるアイデンティティについて「誰として認証されるのか」「何を許可し何を禁止するか」「その操作を後から追跡できるか」── この 3 つをAWS 上で設計するために Amazon Bedrock AgentCore Identity / Policyや AWS Verified Permissions がどのように活用いただけるかを解説を行いました。

セッション資料

Customer Session : Cedar × AI Agent の認可基盤 – ポリシー設計とアーキテクチャ

株式会社エクサウィザーズ アーキテクト 小島 和也 氏

続いてのセッションでは、エクサウィザーズの小島氏より、Cedar を用いた AI Agent の認可基盤についてお話しいただきました。

「飲み会の幹事をエージェントに任せたら、役員の非公開スケジュールまで読めてしまうとよくないですよね？」という問いかけから始まり、場合によっては上書きされうるプロンプトでは行動が縛れない以上、「認可（Authorization）」の仕組みで縛るというアプローチを説明いただきました。その具体的な実現として、①鍵を縛る（エージェントが持つクレデンシャルをユーザー本人のものに制御する）②呼び出し方を縛る（ツール 1 本ずつに認可をかける）③相手そのものを縛る（エージェントの起動自体を制御する）── という三層の認可モデルを Cedar で実装し、さらに業務管理者が GUI で Business Policy を 1 件作成するだけで裏側の Cedar Policy が自動生成される Translation Layer により、ポリシーの爆発を防ぎつつ非エンジニアでも運用できる基盤を実現されています。

また、Cedar をプロダクトに組み込むにあたり、ローカル開発では Cedar エンジンを直接使い、本番では環境変数を切り替えるだけで Amazon Verified Permissions（AVP）に移行できる設計の工夫など実践的な知見も共有いただきました。

セッション資料

Workshop : AI エージェントの認証・認可・ログ設計ハンズオン

アマゾン ウェブ サービス ジャパン合同会社 技術統括本部 ソリューションアーキテクト 松井 僚太郎

Workshopで構築するアーキテクチャ

最後のワークショップでは、松井が講師を務め、参加者の皆様に以下の一連の流れを実際に手を動かしながら体験いただきました：

• AgentCore Identity を使ったエージェントへのアクセス制御
• ツール利用時の認可フロー実装
• 監査ログの設計と出力

概念として理解していても、実際に実装してみると考慮すべきポイントが多いのがエージェントセキュリティの特徴です。本ワークショップでは、手を動かしながらそれらのポイントを体感いただくことを重視して設計しました。

Workshop

まとめ

AI Agent の活用が広がる中で、「何にアクセスできるか」「誰として操作するか」「その操作を後から追跡できるか」というアイデンティティの設計は、エージェントを本番環境に投入するうえで避けて通れないテーマです。本イベントでは、この課題に対する原理原則の理解から、AWS サービスを使った実装、そしてお客様のプロダクション事例まで、一連の流れを体験いただきました。AI Agent を活用しながらよりセキュアで信頼性の高いアプリケーションを構築するためのヒントを得ていただけていれば幸いです。

AWS では Amazon Bedrock AgentCore を通じて、エージェントのアイデンティティ制御をよりシンプルに実現するための仕組みを提供しています。各セッション資料もぜひ併せてご参考ください。

今後もこのようなイベントを継続的に企画・開催してまいります。ご興味をお持ちの方がいらっしゃいましたら、お近くの AWS 営業担当もしくは技術担当にお気軽にお声がけください。

アマゾン ウェブ サービス ジャパン合同会社 シニアソリューションアーキテクト 柴田 龍平

アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト 松井 僚太郎