AIエージェントに「身分証」が要る時代になった — Workdayが Cisco と作った Agent Passport

Workday Agent Passport

社内で何体のAIエージェントが動いているか、把握できている企業はおそらくほとんどない。

HRはWorkdayのエージェント、営業はSlackやSalesforceのエージェント、エンジニアリングはCursorやCopilotのエージェント、サポートは独自のエージェント。各部署が「便利だから」と次々に入れていく結果、ガバナンスは追いつかなくなる。

Workdayが6月2日に発表した「Agent Passport」は、その問題に対する一つの回答だ。エージェントごとに「パスポート（身分証）」を発行し、本番投入前に検証し、稼働中も継続的に監視する。発行されるパスポートは Cisco AI Defense などの第三者機関が署名する、監査可能なレコード。これがエージェントガバナンスの新しい標準として通用しうるかが、今後数四半期の見どころになる。

なぜ「パスポート」なのか

Workdayが選んだ比喩は適切だ。

普通の海外旅行で、パスポートは「この人物が誰で、どの国の発行で、どこに入国できるか」を証明する。Agent Passportが証明したいのも、ほぼ同じ構造の情報だ。

このエージェントは誰が作ったか（Workday製か、第三者製か）
どんな試験を受けたか（プロンプトインジェクション耐性、データ漏洩防止など）
どんな環境で動作可能か（本番OK、限定環境のみOK、など）
誰がそれを検証したか（Workday自身ではなく、Ciscoのような独立機関）

Workdayの公式リリースを読むと、この4点を満たす「パスポート」を、Workday製・第三者製を問わずすべてのエージェントに発行する設計だと書かれている。

つまり、企業のIT管理者は「うちのAIエージェント全体の身分証一覧」を一画面で見られるようになる。これは現状の「シャドーAIエージェント」問題への直接的な対応だ。

3層の信頼構造

Agent Passportの中身は、3層のレイヤーで構成される。

Layer 1: Workday定義の信頼領域

Workdayが業界標準として定めた「広い信頼領域」。攻撃耐性、ランタイムでの安全動作、人間のオーバーサイト確保、といった抽象的な目標値が並ぶ。

これは Workday が「エージェントとして満たすべき最低限の基準」として定義・更新するもので、業界スタンダードへの橋渡し役。

Layer 2: 公開標準への準拠

Layer 1の各項目を、より具体的・テスト可能な形で示す層。OWASP LLM Top 10、NIST AI Risk Management Framework、MITRE ATLAS といった既存の業界標準にマッピングされる。

たとえば「攻撃耐性」の Layer 2 では、

プロンプトインジェクション耐性（OWASP LLM01）
訓練データ漏洩防止（OWASP LLM02）
過剰なエージェント権限の防止（OWASP LLM08）

といった具体的なテスト項目が並ぶ。

Layer 3: 第三者署名つきテスト結果

そして最重要なのが、Layer 3。Layer 2の各項目を実際にテストした第三者機関の署名つき結果。

Workdayのローンチパートナーは Cisco AI Defense。Cisco がエージェントを実際に攻撃シミュレーション（プロンプトインジェクション、ジェイルブレイク、データ漏洩誘導など）にかけ、合格した項目に「Cisco署名のスタンプ」を押す。

これにより、IT管理者は「Workday が自称しているのではなく、Cisco が独立に検証した」というレベルでエージェントを信頼できる。

なぜ Cisco なのか

ローンチパートナーが Cisco なのには明確な戦略がある。

Cisco AI Defense はもともと、AIエージェントを動的に保護するランタイムセキュリティ製品。プロンプトインジェクション検知、データ漏洩防止、ポリシー違反応答ブロックを「エージェントの稼働中」にリアルタイムでやる役割だ。

つまり、Agent Passport は 「本番投入前の検証」 を、Cisco AI Defense は 「本番中の継続防御」 をやる、二人三脚の構造。Workdayのプレスリリースも、この前後関係を強調している。

検証 → デプロイ → 継続監視、というセキュリティの基本ループを、エージェントの世界で再現する。今までは「人手で監査」「ベンダーの自己申告で信用」「もしくは検証しない」のいずれかしかなかった領域に、初めて自動化された標準パイプラインが入る。

何が実現可能になるか

Agent Passport が広がった場合、企業のAI活用にいくつかの構造変化が起きる。

AIエージェントの調達が「カタログ選び」になる — 今までは「とりあえずPoCで触ってみる」が標準だったが、Passport 付きエージェントは「OWASP LLM Top 10をクリア」「MITRE ATLASの脅威に対する防御済み」とラベルで提示できる。IaaSやSaaSのコンプライアンス認証と同じ感覚で選べるようになる
第三者検証機関の市場が立ち上がる — Cisco は第一号だが、Workday は「複数の検証パートナー」を歓迎する姿勢。CrowdStrike、Palo Alto Networks、ServiceNow Security Operations といったセキュリティベンダーが続けば、AIエージェント検証は1つの独立した市場になる
規制対応コストが劇的に下がる — 欧州のAI Act、米SOX、HIPAA等の対応で「使っているAIエージェントを全部リスト化して証憑を出せ」というオーダーが今後増える。Agent Passportはそのまま監査証跡として使える

特に3つ目は重大で、規制当局向けに「うちはAIエージェントをこう管理しています」を説明するためのコストが、企業内製の手書きドキュメントから自動生成された監査レコードに変わる可能性がある。

微妙な点・懸念

正直、いくつか引っかかる点もある。

「Workdayプラットフォーム上のエージェント」が前提なのか不明確。 Agent Passport は「Workday製も第三者製も対象」と謳っているが、現実には Workday の HR/Finance スタック上で動くエージェントが主対象だろう。Salesforce や Microsoft 365 上で動くエージェントを、Workday Agent Passport で検証する動機があるかは怪しい。それぞれのプラットフォームが独自の「Passport」を出してきて、エコシステムが分裂する可能性は十分ある。

GA が「2026年内」とまだ先。 早期アクセスは2026年下半期、GAは2026年内と発表されている。発表から実運用までのギャップが長く、その間に競合（Microsoft Agent 365 の検証機能、Salesforce Trust Layer など）が同じカテゴリの機能を出してくる可能性がある。

Cisco の専属化リスク。 ローンチパートナーが Cisco だけの状態が長引くと、「Workday Agent Passport = Cisco の販路」と見られる懸念がある。Workday は「複数パートナーを歓迎」と言っているが、実際に第二、第三のパートナーが入るまでに時間がかかる場合、エコシステムとしての中立性が問われる。

「パスポート」発行コストの不透明感。 価格は未公開。Workdayのコア機能に含まれるのか、別途有料アドオンなのか、Cisco AI Defense の利用料が別途必要なのかは、ローンチ後の発表待ち。

まとめ — エージェントの「マスダプション」前に必要なピース

Agent Passportの直接的な競合は、既存記事「Microsoft Agent 365がGA」で紹介した Microsoft の統制プラットフォームと、Statewright のような AI エージェントガードレール製品だ。

ただ、3者のアプローチは少し違う。Microsoft Agent 365 は「Microsoft 365のIT基盤からエージェントを管理する」位置取り。Statewrightは「開発者向けのガードレール API」。Workday Agent Passport は「業界標準への準拠を第三者署名で証明する」軸。

どれが勝つかは正直まだ分からない。だが「AIエージェントには身分証が要る」という命題自体は、今後数年で当たり前になる。シャドーAIの問題は深刻化する一方で、規制圧力も強まる。誰かが「エージェントの身分証発行所」になる必要は確実にある。

Workdayがその座を狙いに来たのが、今回のAgent Passportだ。Cisco との組み合わせは説得力があるし、OWASP/NIST/MITREへの準拠も真面目。あとは GA までのスピードと、第二・第三のパートナーがどれだけ早く揃うか。1年後に振り返って「あの時のWorkdayの動きが業界標準を作った」と言える結果になるか、それとも「Microsoft に飲まれた」になるか。