GMOサイバーセキュリティ byイエラエ、AIエージェントの潜在リスクを検証する「AIエージェントペネトレーションテスト」を提供開始

GMOサイバーセキュリティ byイエラエ株式会社は、企業が利用するAIエージェントやチャットボット、RAGなどを対象に、サイバー攻撃に悪用されるリスクを検証する新サービス「AIエージェントペネトレーションテスト」の提供を開始しました。ホワイトハッカーが実攻撃手法で潜在的な情報漏えいや不正操作、権限逸脱のリスクを可視化し、安全なAI活用を支援します。

GMOサイバーセキュリティ byイエラエ、AIエージェントの潜在リスクを検証する新サービスを提供開始

見出し

1 GMOサイバーセキュリティ byイエラエ、AIエージェントの潜在リスクを検証する新サービスを提供開始

GMOサイバーセキュリティ byイエラエ株式会社は2026年4月27日、企業で利用されるAIエージェントやチャットボット、RAG（Retrieval-Augmented Generation）などを対象とした「AIエージェントペネトレーションテスト」の提供を開始しました。本サービスは、ホワイトハッカーがサイバー攻撃者と同等の手法を用いて、AIを起点とする情報漏えいや不正操作、権限逸脱といったリスクを検証し、対策を提案するものです。これにより、企業はAIを業務でより安全に活用できるようになります。

サービス開始の背景

近年、多くの企業で業務の自動化や生産性向上を目的としたAI活用が急速に進展しています。その一方で、AIの利用に伴う個人情報や機密情報の意図しない漏えい、あるいはAIがサイバー攻撃の踏み台として悪用されるといったセキュリティリスクへの懸念も高まっています。このような状況を受け、同社はホワイトハッカーの知見を活かし、AIを起点とした実践的な侵入テスト（ペネトレーションテスト）の提供に至ったとしています。

「AIエージェントペネトレーションテスト」の概要

本サービスでは、ホワイトハッカーが顧客企業のAI利用状況を詳細にヒアリングし、個別のテストシナリオを作成します。顧客企業から提供される社員向け業務用パソコンを使用し、実際の攻撃手法と同様のアプローチで、業務利用中のAIに内在するリスクを検証します。

検証対象は、LLM（大規模言語モデル）に対するプロンプトインジェクション（悪意のある指示の混入）の動作検証に加え、AIが持つシステムの権限、AIが取り扱うことを許可されたデータ、さらにはAIと連携するシステムにまで及びます。これにより、情報漏えいや不正操作に直結する具体的なリスクを可視化し、適切な対策を提示します。

AIの業務活用に伴い懸念されるリスクの例は以下の通りです。

意図しない情報漏えい
AIが業務データや機密情報にアクセスできる状態で、悪意のあるプロンプト混入操作により社外への情報流出が発生するリスクがあります。
権限逸脱
AIエージェントに付与された権限が、業務上必要な範囲を超えており、本来制限されるはずのデータへのアクセスや操作が可能になるリスクがあります。
不正操作と横展開
外部システムやワークフローとの連携を悪用し、AIを踏み台としてシステム全体に影響を及ぼすリスクがあります。

また、本サービスはAIセーフティ・インスティテュート（AISI）が発行する「AIセーフティに関するレッドチーミング手法ガイド（第1.10版）」に基づいた検証も可能としています。

調査対象の例

Microsoft 365 Copilot / Azure OpenAI 等のエンタープライズAIサービス
業務自動化・社内オペレーション支援を目的としたAIエージェント
社内ナレッジ検索・回答生成を行うRAGシステム
チャットボット
その他、社内ツール連携（ファイル、チケット、CRM、ワークフロー等）を含むAI機能など

詳細については、同社ウェブサイトで確認できます。
https://gmo-cybersecurity.com/service/assessment/ai-agent/

今後の展望

GMOサイバーセキュリティ byイエラエは、AI活用が急速に進む中で、業務データや権限、外部連携を扱うAIエージェントに潜在する、従来のLLM単体評価では捉えきれないリスクに対応していくとしています。本サービスを通じて、企業が安全かつ円滑にAIを活用できるよう支援するとともに、AIセキュリティ診断の知見を蓄積し、サービスの継続的な改善・拡充を進める方針です。

同社は今後も、世界トップクラスのホワイトハッカーの技術力を活かし、最先端の脅威に対応するセキュリティサービスを提供することで、安心・安全なデジタル社会の実現に貢献していくとしています。