ニュース

AIエージェントを安全に自律動作させるWindowsのセキュリティ新機能が発表

高橋正和

2026年6月5日 15:05

Microsoft、AIエージェントを安全に自律動作させるWindowsのセキュリティ新機能を発表

　米Microsoftは6月2日（現地時間）、開発者向けカンファレンス「Build 2026」で、AIエージェントにWindows上を自律的に動作させつつ信頼性を維持するためのセキュリティ新機能を発表した。

　AIエージェントは、ファイルアクセスや、サービスの呼び出し、環境の変更、アプリケーションの操作などを自律的かつ高速に行うため、従来用いられていたセキュリティの前提が通用しなくなっている。

　この課題に対してWindowsは、『封じ込め（コンテインメント）』、『ID管理』、『管理性』をOSの基本要素として組み込んでいく。2025年11月にはWindows上でエージェントのワークフローを保護するための原則を発表。5月には、AIエージェントをモニタリングしポリシーベースで管理する「Microsoft Agent 365」を一般提供開始（GA）するとともに、機能を強化した。

　Build 2026では、これらの機能のさらなる強化と全体像について発表がなされた。

AIエージェントに対する、Windowsの「封じ込め（コンテインメント）」「ID管理」「管理性」と、モニタリングしポリシーベースで管理する「Microsoft Agent 365」（同社サイトより引用）

Microsoft Execution Containers (MXC) SDK

　『封じ込め』では、エージェントがアクセスできる範囲と実行できる操作を制限することで、制御不能なリスクが起きることを防ぐ。これをWindowsおよびWSL上のエージェントに対して、ポリシーにもとづく制御を行う実行レイヤー「Microsoft Execution Containers」（MXC）のSDKが、早期プレビューで公開された。

　開発者がアプリとエージェントで制約する内容を定義すると、WindowsがMXC SDKを通じて実行時に一貫して適用する（「Microsoft Entra」および「Intune」と連携）。低レイヤーなサンドボックスによる分離を細かく管理する必要はない。

〇構成可能なサンドボックス

　Windowsが実際に分離と封じ込めを適用する方法が、構成可能なサンドボックスだ。開発者からはMXCがその接点となる。

　MXCでは、同じポリシーモデルを、異なる分離方式に適用できる。分離と封じ込めの方式としては、さまざまな選択肢がサポートされる。Build後の早期プレビューの時点では、以下の方式が公開される予定。

プロセスレベルの分離：高速かつ軽量な分離方式。「GitHub Copilot CLI」は、動的に生成して実行するコードの動作を制限するために、MXCのプロセスレベルの分離を採用した。
セッションレベルの分離：複数のプロセスにまたがるワークロードや、デスクトップなどの専用リソースを必要とするワークロードなどに適している。Windowsのセッションは個別のユーザーアカウントで実行。最初のリリースでは非対話型セッションをサポートし、今後のリリースで追加機能を提供する予定としている。
マイクロVMによる分離：より強力な分離を低オーバーヘッドで実現するために、ハイパーバイザーによるハードウェアベースの分離を使ったマイクロVMによる分離が利用できる。機密データを処理するエージェントや信頼できない外部コードを実行するエージェントには、マイクロVMによる分離が向いている。
Linuxコンテナーによる分離：WSLによってLinuxコンテナーを利用する分離方式。OS境界で、LinuxのMLフレームワークやパッケージエコシステムを利用できる。