Amazon Bedrock AgentCore、AIエージェントのブラウザ行動を厳格制御へ：Chromeポリシー導入でセキュリティと信頼性向上か

Amazonは、生成AIの基盤モデルを利用したAIエージェントの開発・運用を支援するAmazon Bedrock AgentCoreにおいて、AIエージェントのブラウザ行動を制御するための重要な新機能を導入した。具体的には、Google ChromeのエンタープライズポリシーとカスタムルートCA（認証局）証明書のサポートが追加されたという。

これまで、ウェブアクセスが可能なAIエージェントは、意図せず不正なドメインにアクセスしたり、認証情報をブラウザに保存したり、承認されていないファイルをダウンロードしたりするなどのセキュリティリスクを抱えていた。また、企業が内部サービスでプライベートな証明機関を使用している場合、AIエージェントがこれらのサービスにHTTPS接続する際に証明書検証エラーが発生し、連携が困難になるという課題も存在した。

今回のアップデートにより、Amazon Bedrock AgentCore Browserは、Chromeエンタープライズポリシーを通じて450以上のブラウザ設定項目を構成できるようになった。これには、URLのフィルタリング（許可リスト・拒否リスト）、ファイルのダウンロード制限、パスワードマネージャーの制御などが含まれる。これらのポリシーは、馴染みのあるChromeエンタープライズJSON設定形式で適用可能だ。さらに、カスタムルートCA証明書のサポートにより、組織独自の証明機関を信頼できるようになり、AIエージェントは内部サービスや企業が導入しているSSLインターセプトプロキシに対しても、証明書検証エラーなしに安全に接続できるようになった。

ポリシーの適用は二層構造で設計されている。一つは「管理ポリシー」で、これはブラウザレベルで設定され、Amazon S3に保存されたJSONファイルを介してAgentCoreのコントロールプレーンAPIで適用される。このポリシーは、そのブラウザから作成されるすべてのセッションに強制的に適用され、セッションレベルの設定で上書きされることはない。もう一つは「推奨ポリシー」で、これはセッションレベルで適用され、データプレーンAPIを通じて追加のJSONファイルとして提供される。推奨ポリシーはユーザー設定として機能し、管理ポリシーと競合する場合は管理ポリシーが優先される。カスタムルートCA証明書はAWS Secrets Managerに格納され、ブラウザ作成時に参照される仕組みだ。

この新機能は、AIエージェントの自律性が高まるにつれて増大する行動範囲の制御という、エンタープライズAI導入における喫緊の課題に対する具体的なソリューションを提供するものと評価できる。特に、セキュリティとコンプライアンスの確保は、企業がAI技術を基幹業務に深く組み込む上で不可欠な要素であり、今回の機能は導入の障壁を大きく低減する効果があると見られる。Chromeエンタープライズポリシーの採用は、多くの企業が既存のブラウザ管理で培ってきたノウハウをAIエージェントにも適用できる点で、導入の敷居を下げる効果も期待される。また、セキュリティチームがポリシーを定義し、開発チームがエージェントのロジックに集中できるという、ポリシー管理とエージェント開発の分離は、DevSecOpsの観点からも望ましい設計と言えるだろう。

一方で、450以上の設定項目は柔軟性をもたらすものの、AIエージェントの特定の用途に最適なポリシー設定を設計し、運用するには専門知識と相応の労力を要する可能性も指摘される。過度な制限はエージェントの能力を阻害する恐れもあり、バランスの取れた設計が求められる。カスタムルートCAのサポートは、特にレガシーなオンプレミスシステムや厳格なネットワークセキュリティポリシーを持つ企業にとって、AIエージェントの適用範囲を広げる重要な要素となるだろう。

Amazonは、本機能を通じてAmazon Bedrock AgentCoreをエンタープライズAIの「信頼できる実行環境」として位置づけようとしていると見られる。今後、AIエージェントが単なる情報検索だけでなく、機密性の高い内部システムとの連携や、自動化された業務プロセスの中核を担うことが期待される中で、このようなガバナンス機能はプラットフォームの標準機能となる可能性が高い。競合他社も同様の機能強化を進めることが予想され、AIエージェントプラットフォーム市場におけるセキュリティとガバナンスの競争が激化するだろう。ポリシーの複雑性管理や、エージェントの意図しない行動を完全に防ぐための継続的な改善が、今後も求められると見られる。