目次
2026年7月、AIエージェントは名実ともに「主流」になった。Gartnerは2026年末までにエンタープライズアプリの40%がタスク特化型のAIエージェントを組み込む(2025年の5%未満から急増)と予測し、複数の調査で7割超の企業がエージェントを本番投入したと報告されている。もはや「使うかどうか」を議論するフェーズは終わった。
ところが、その普及の速さに、決定的な能力が追いついていない。「止める」能力だ。エージェントが何をしているかは見えるのに、想定外の動きをしたときに止められない ― この非対称性を、セキュリティ業界は「封じ込めギャップ(containment gap)」と呼び始めた。Bessemer Venture Partnersは「AIエージェントの安全確保は2026年を決定づけるサイバーセキュリティ課題だ」と断じている。本稿では、この見過ごされがちなギャップが、なぜ日本の大企業のAI本番化を静かに止めているのかを掘り下げる。
「監視はできる、でも止められない」 ― 封じ込めギャップの正体
監視系(人間の関与59%・モニタリング58%)には投資したが封じ込め系(キルスイッチ40%・パーパスバインディング37%)が欠落している断層を示す図
セキュリティ・IT・リスク責任者225名を対象としたKiteworksの2026年調査は、この問題を数字で可視化した。企業はエージェントを「見る」ための統制には投資してきた ― 人間の関与(Human-in-the-Loop)を導入済みの企業は59%、モニタリングは58%に達する。ダッシュボードでエージェントの挙動を追うことは、多くの企業ができるようになった。
問題は、その先だ。エージェントを「止める」ための統制は、軒並み欠落している。
- 60%の企業が、暴走するエージェントを停止(キルスイッチ)できない
- 63%が、エージェントの用途・権限を限定(パーパスバインディング)できない
- 55%が、エージェントを基幹ネットワークから隔離できない
用途を限定できない63%・停止できない60%・隔離できない55%という制御不能なエージェントを本番投入している実態を示す図
つまり多くの企業は、制御できないエージェントを本番に出している。Kiteworksはこれを「監視系と封じ込め系の15〜20ポイントの断層」と表現し、報告書は「組織は、制約も監査も停止もできないエージェントを配備している」と警告する。政府機関ではさらに深刻で、90%がパーパスバインディングを持たず、76%がキルスイッチを持たない。
日本の大企業にとって、これは対岸の火事ではない。「まずエージェントを動かしてみる」PoCは進んでも、「想定外の判断をしたときに即座に止め、影響範囲を切り離す」仕組みまで設計している企業は稀だ。監視ダッシュボードがあることと、暴走を止められることは、まったく別の能力である。そして本番運用に耐えるのは、後者を備えたシステムだけだ。
なぜ「賢いモデル」では解決しないのか ― 非決定性という壁
本番化を阻むのはモデルの賢さではなく隔離・権限制限・データ主権・監査証跡といったインフラであることを示す図
ここで経営層が抱きがちな誤解を、明確に否定しておく必要がある。「次世代の、もっと賢いモデルが出れば解決する」という期待だ。
現場の実感は真逆である。ある業界分析は、「エージェント型ワークフローを本番展開する上で最も難しいのは、知能ではなく、本番システムへの安全で信頼できる接続だ」と指摘する。モデルの推論能力、ツール実行、タスク分解 ― これらはフロンティアモデルがすでに高い水準で解決した。デモ環境で動くことは、もう驚きではない。
止まるのはその先、本番システムに「触れる」瞬間だ。エージェントを本番に出すには、隔離・サンドボックス、役割ごとの権限と用途の制限、データの保管地(データ主権)、そして監査証跡とコンプライアンス統制が要る。これらは、モデルがどれだけ賢くなっても自動的には満たされない、インフラと設計の問題である。
しかも、エージェントは本質的に非決定性(non-determinism)を持つ。「手順を細かく指定せず、結果だけを指示できる」ことが自律エージェントの価値だが、それは裏を返せば「毎回同じ挙動をするとは限らない」ということだ。あるセキュリティ専門家は、エージェントの核心的リスクを「脆弱性ではなく、制限のない能力(unbounded capability)そのものだ」と表現する。IFの分岐を数え上げて検証する従来型のルールベース統制は、この非決定的な相手には効かない。だからこそ、事前に挙動を保証する発想から、「どこまで許すか(境界)」と「逸脱したらどう止めるか(封じ込め)」を設計する発想への転換が要る。
この視点は、私たちが繰り返し指摘してきたPoC死(技術的には動くのに本番の成果に繋がらない現象)の、最新の形でもある。デモは動く。しかし本番システムに安全に接続し、統制を効かせ、いざというとき止められる状態まで作り込めなければ、そのエージェントは永遠に本番の外に留まる。
ベンダーも「統制」を売り始めた ― Claude Enterprise強化が示すもの
エージェントの費用暴走を引き金にAnthropicが支出上限・モデル権限・閾値アラートを追加したことを示す図
封じ込めギャップは、セキュリティの文脈だけの話ではない。コストの文脈でも、同じ「制御できない」問題が噴き出している。そして、それに対するベンダーの動きが、この課題の重大さを何より雄弁に物語っている。
2026年7月2日、AnthropicはClaude Enterpriseの管理・コスト統制機能を強化した。追加されたのは、組織・グループ・個人の各階層での支出上限(スペンドキャップ)、役割ごとに使えるモデルを制限するモデルレベルの権限管理、そして支出が上限の75%・90%に達した時点で管理者へ自動通知するアラートだ。使用量とコストをグループ別・ユーザー別に可視化し、作成物・編集ファイル・使用したスキルやコネクタまでコストの隣に並べて表示する。
なぜ、いま「統制」がプロダクトの目玉になるのか。背景には、エージェントの費用暴走がある。あるGartner分析では、1回のエージェント型タスクが5〜30回のモデル呼び出しを発生させ、GitHubの調査では単発クエリの最大1,000倍のトークンを消費し得るという。報道では、ある大手企業がコーディングエージェントを上限なしで展開した結果、年間のAI予算をわずか4ヶ月で使い切ったとされる。「便利だから」と統制なしに配れば、費用は指数的に膨らむ。
ここに、本稿の一貫したテーマが浮かび上がる。費用の暴走も、挙動の暴走も、根は同じ「制御の欠落」だ。 かつてクラウドインフラがそうであったように、エージェントも「使わせる」だけでなく「誰に・何を・どこまで許し、どこで止めるか」をポリシーとして設計・強制できて初めて、企業の本番運用に載る。ベンダーがこぞって統制機能を実装し始めたのは、それが本番化の前提条件だと市場が認識し始めた証左である。逆に言えば、統制は「あれば安心」ではなく、それなしには本番に出せない必須要件になった。
日本の大企業が整えるべき「封じ込め設計」3ステップ
キルスイッチ・用途制限の設計、本番システムへの安全な接続、統制を運用する人材確保の3ステップをWizitの4つの壁にマッピングした図
では、封じ込めギャップを埋め、エージェントを安全に本番へ持ち込むために何をすべきか。私たちは、AIの本番化を阻む構造を「4つの壁」(品質/ガバナンス/横展開/人材)として整理している。封じ込めギャップは、この壁にきれいに対応する。打ち手は3ステップだ。
① 「止められる」を設計に最初から織り込む(ガバナンスの壁)
キルスイッチ、用途・権限の制限、ネットワーク隔離は、後付けできない。本番アーキテクチャの初期設計に組み込む前提要件として扱う。「このエージェントは、どのデータに・どの操作を・どこまで許され、逸脱したら誰がどう止めるか」を、動かす前に定義する。60%が停止できないという現実の裏返しは、ここを整えるだけで大半の企業に対して安全性で差がつく、ということでもある。
② 本番システムへの「安全な接続」を作り込む(品質の壁/ガバナンスの壁)
難所は本番システムへの接続だ。MCPなどの標準を使い、既存の基幹システムに権限・来歴(lineage)・監査証跡を効かせながら安全に接続する。同時に、実データ・実業務での評価設計(eval)を回し、非決定的な挙動を許容範囲に収める。きれいなサンプルで動くデモは、本番のノイズだらけのデータと権限制約の中で簡単に崩れる。ここを作り込めるかが、本番化の分水嶺になる。
③ 統制を「運用しきる」人材を確保する(人材の壁)
封じ込めは、設計して終わりではない。逸脱を検知し、止め、監査し、境界を調整し続ける運用が要る。これをやり切れる、AI実装とガバナンスの両方に手を動かせる人材が社内にいなければ、統制は絵に描いた餅になる。ツールを配る仕事と、統制を運用しきる仕事は、まったく別物だ。ここを外注に丸投げすれば、いざというとき自分たちで止められない状態が固定化する。
まとめ ― 「動かせる」から「止められる」へ
2026年、AIエージェントの導入競争は次の局面に入った。勝負を分けるのは、もはや「どれだけ賢いエージェントを動かせるか」ではない。「想定外のとき、どれだけ確実に止め、影響を封じ込められるか」だ。Kiteworksの数字 ― 停止できない60%、用途を限定できない63%、隔離できない55% ― は、この能力が業界全体で決定的に欠けていることを示している。
賢いモデルを待っても、このギャップは埋まらない。本番システムへの安全な接続、境界と封じ込めの設計、そしてそれを運用しきる人材 ― どれも、モデルの外側にある実装とガバナンスの仕事だ。Anthropicをはじめベンダーが統制機能を競って実装し始めたのは、それが本番化の入場券になったからに他ならない。
Wizitは、この「PoCで止まったAIを、本番運用とROIまで動かし切る」工程 ― 本番システムへの安全な接続設計、来歴・監査・統制を満たす本番アーキテクチャ、実データでのeval設計、そして統制を運用しきる体制づくり ― を、現場で手を動かしてやり切る実装パートナーだ。問うべきは「どれだけ自律的に動かせるか」ではなく、「そのエージェントを、いざというとき確実に止められるか」である。止められないものは、本番に出してはならない。
---
出典:
- Kiteworks「2026 Data Security and Compliance Risk Forecast Report」/Kiteworks「AI Agent Data Governance 2026: Why Organizations Can't Stop Their Own AI」(封じ込めギャップ、225名調査)
- Bessemer Venture Partners「Securing AI agents: the defining cybersecurity challenge of 2026」
- Anthropic / Claude by Anthropic「New analytics and cost controls are available for Claude Enterprise」(2026年7月2日)
- Gartner(エンタープライズアプリの40%がAIエージェントを組み込む予測/エージェント型タスクのモデル呼び出し分析)、GitHub(トークン消費量の分析)