Microsoftが「エージェントの監視係」をOSSで撒いた日 — Agent Governance ToolkitでOWASP 10リスクを全部塞ぎにきた

EU AI Actの本格施行まで4ヶ月を切った。「AIエージェントのガバナンスをどうする」という問いを、企業の情報システム部は先送りできなくなっている。

そのタイミングで、Microsoftが動いた。

2026年4月2日、Microsoftは Agent Governance Toolkit（AGT）という名前のOSSプロジェクトを公開した。ライセンスはMIT。自律AIエージェントに対して、実行時（ランタイム）でポリシーを強制する「ガードレール層」を提供する。発表はMicrosoft Open Source Blog上で行われ、InfoWorld、Help Net Security、Phoronixといったtech媒体が一斉に取り上げた。

軽く触れたあとに分かったのは、これは「ただのポリシーエンジン」ではないということだ。

OWASP Agentic Top 10を「全部」塞ぐ

まず目を引いたのは、OWASPが2025年末から整備している「Agentic AI Top 10」のすべてのリスクカテゴリをカバーしている、と明言している点である。半分でも対応していればそれなりの価値があるカテゴリで、10/10と書ききったのはかなり強気だ。

OWASP Agentic Top 10は、たとえばプロンプトインジェクション、ツール乱用、メモリ汚染、権限昇格、アイデンティティ成りすまし、アウトプット流出といった、従来のLLMセキュリティの枠に収まらない領域を扱う。エージェントが自律的に「次の行動」を選び、ツールを呼び、メモリに書き込む以上、静的な入出力チェックでは足りない。実行時に、判断の一歩手前で止める層が必要になる。

AGTはまさにそこに座る。公式ドキュメントによれば、ポリシーの判定は**サブミリ秒（<0.1ms）**で決着するとされ、これがなぜ重要かというと、エージェントの推論ループに組み込んでもユーザー体感のレイテンシに影響しないからだ。「セキュリティを入れたら遅くなった」で無効化されてしまえば元も子もない。

3つのコンポーネント構成

AGTは大きく3層に分かれている。

Agent Compliance は統制の中核で、EU AI Act、HIPAA、SOC2といった規制フレームワークへのマッピングと証跡収集を自動化する。OWASP Top 10の各項目に対する証拠を取り、「うちのエージェントはこの要件に適合している」と示せるようにする層だ。

Agent Marketplace はプラグイン（≒ツール）のライフサイクル管理。Ed25519署名による検証、信頼レベル別のCapability Gating、サプライチェーン保護を担う。MCPツールやLangChainツールを野放しに呼べる世界への対抗軸、と理解するとわかりやすい。

Agent Lightning がいちばん尖っている。RL（強化学習）トレーニング中のポリシー強制を扱う。つまり、エージェント自身が学習している最中でも、ポリシー違反が報酬に混ざらないようにする。「学習の過程で変な癖を覚えさせない」という発想だ。個人的には、ここが一番Microsoftらしいエンジニアリングだと思う。

フレームワーク非依存で効いてくる

AGTは最初からフレームワーク非依存として設計されている。LangChainのコールバックハンドラ、CrewAIのタスクデコレータ、Google ADKのプラグインシステム、そしてMicrosoft Agent Frameworkのミドルウェアパイプラインに、それぞれネイティブな形で差し込めるようになっている。

これは地味だが重要だ。

AIエージェントのフレームワーク戦争はまだ決着がついていない。特定のフレームワーク前提のガバナンス層だと、来年には別のフレームワークに乗り換えたタイミングで捨てることになる。Microsoftは自社のAgent Frameworkを持ちながら、あえて他社フレームワークもサポートしにきた。ここで「AGTを入れておけば乗り換え耐性がある」という状況を作ると、標準の立ち位置を取りにいける。

対応言語もPython、TypeScript、Go、Rust、.NETの5つ。Rustがあるのはポリシーエンジン自体のパフォーマンス担保の都合だろうし、.NETまで入れてきたあたり、エンタープライズの既存資産を本気で取りにきている印象がある。

9,500テストとファジングという投資

GitHub側で確認できる数字でもうひとつ目を引いたのが、9,500以上のテストケースと、ClusterFuzzLiteによる継続ファジングが回っている点だ。

セキュリティ系OSSでこの規模のテスト資産を最初からぶら下げてくるプロジェクトは珍しい。外部コントリビュータが安心してパッチを投げられる下地があり、なおかつ「ポリシーエンジンがバグっていて実は漏れていました」というOSS特有のリスクも下げられる。Microsoftは本気で業界標準に持っていきたいのだろう、というメッセージが伝わってくる。

実際、ブログ側には「いずれファウンデーション（OpenSSFやOWASP等の中立財団）の傘下に移したい」という趣旨の文言まで含まれている。自社OSSとして囲い込む気はない、という姿勢だ。

懸念点も素直に書いておく

ここまで褒めてきたが、微妙なところも正直にある。

まず、ポリシーをどう書くかの初期コストは小さくない。OWASP Agentic Top 10を全部カバーしていると言っても、デフォルトポリシーで明日から本番環境を守れるわけではない。自分の会社のエージェントが「何をしてよくて、何をしてはいけないか」をポリシー言語に落とす作業は、結局人間の仕事として残る。

次に、規制適合の責任がMicrosoftに移るわけではない。EU AI ActやSOC2に対応したい企業は、証跡収集が楽になる分メリットがあるが、最終的に審査を通すのはユーザー側の責任だ。ここを勘違いして「AGTを入れたから安心」とするとまずい。

そして、実運用のエコシステムはまだこれからである。LangChainやCrewAIへのインテグレーションは用意されているものの、本番で数週間回してどうなるかという事例は当然まだ出ていない。先行して組み込む企業にとっては、デバッグと改善のフィードバックに協力するフェーズが含まれることになる。

何が実現可能になるのか

AGTが普及したとき、一番インパクトが大きいのはおそらく**「AIエージェントを社内で動かしていいかどうか」の稟議の通しやすさ**だ。

今、多くの日本企業で起きているのは、「面白いから使いたい」と言う現場と、「監査できないものを本番には入れられない」と言う情シスの平行線である。AGTのように、証跡収集と実行時ポリシー強制が最初から仕込まれた層を「標準として入れている」と説明できれば、稟議の難度は一段下がる。これだけでも、社内でエージェントを触れる人数が大きく変わる可能性がある。

もう一歩踏み込むと、エージェントマーケットプレイスが安全に成立する条件も整ってくる。現状、MCPツールを誰かが作って公開しても、「そのツールが勝手にファイルを読みに行っていないか」「外部にデータを送っていないか」をユーザー側で全部検証する必要がある。Agent MarketplaceコンポーネントのEd25519署名と信頼レベル別ゲーティングが浸透すれば、ツール作者がサイン付きで配布し、ユーザーは信頼レベルを指定するだけで済むようになる。言ってみれば、npmやCargoのサプライチェーン保護がAIエージェントの世界に来る、という話だ。

この2つはいずれも、Microsoftが単独で実現する話ではない。ただ、そこに必要な「実行時に効くポリシー層」を、品質と速度を担保した形でOSSに投げ込んできたのは大きい。

結論

Agent Governance Toolkitは、派手なプロダクトではない。画面があるわけでもないし、触って「すごい」と感じる類のツールでもない。

だが、AIエージェントが普通の社内システムとして扱われる未来を見据えたとき、どこかが必ず埋めなければならないピースに、Microsoftが本気で投資してきた、という事実がある。EU AI Actの8月施行が迫り、各社が自社のエージェント運用ポリシーを整えなければならないこのタイミングで出してきたあたり、タイミングの読みも相当うまい。

AIエージェントを「面白いおもちゃ」ではなく、本当に業務に組み込むつもりがあるチームは、一度GitHubで実物を見ておく価値がある。