Agentic AIの車載化によるエッジ防御の課題

2025年9月3日
VicOne
Agentic AIの車載化によるエッジ防御の課題

Agentic AIとは?

Agentic AI*(エージェンティックAI)とは、人間の常時監視なしに、定義されたゴールを達成するために自律的に意思決定と行動を実行できる自律システムを指します。単なる質問への回答にとどまらず、自ら観察し、計画し、判断し、実行する能力を備えています。

従来のモデルがプロンプトに受動的に応答するのとは異なり、Agentic AIは高次元の目標を受け取り、それをサブタスクに分解し、積極的に遂行することができます。アシスタントよりも賢く、より有用であり、自律的なプロジェクトマネージャーとも言えます。ツールを選択し、他のAIエージェントにタスクを委任し、変化する状況に適応し、人間の介入をほとんど、あるいは全く必要とせずに複雑なゴールを達成します。

図1. Agentic AIのタスク計画と実行プロセス

図1. Agentic AIのタスク計画と実行プロセス


車内体験の自律化

想像してみてください:あなたが車に乗り込むと、一言も発することなく、表情や声のトーンから気分を察知してくれて、お気に召すように車内照明を微調整し、シート温度を最適に設定します。さらに、興味に合わせてAIがピックアップしたニュースを織り交ぜたパーソナライズドプレイリストをBGM再生。メールからAIが要約生成した明日の会議アジェンダを確認し、さらに、オフィスカレンダーと自動連携して会議を15分遅らせ、予測される渋滞を回避。途中で立ち寄るドライブスルーにお気に入りのコーヒーを事前注文。今夜の最も安価なグリーンエネルギー時間帯にバッテリー充電をスケジュール。スマートホームとも連動し、到着直前に照明とエアコンが作動します。すべてのタスクがシームレスに実行され、まるで自分自身よりもあなたのことを深く理解しているかのようです。

このような先読み型のパーソナライズされた体験は、すでに現実のものとなりつつあります。会話型AIを活用したユーザー体験のグローバルリーダー企業であるCerence Inc., (Cerence AI)社の一例をご紹介します。同社は最近、クラウドベースおよび組み込み型のLLM/SLM、サードパーティモデル、リアルタイムデータ、車内コンテキスト信号を活用するAgentic AIアシスタントプラットフォームを発表しました。その結果、タスクを完了し、質問に答え、娯楽を提供する会話型インターフェースが実現。さらにユーザーの嗜好を学習し、カスタマイズされた先読み型の提案を届けることが可能になりました。

Agentic AIは、故障予測、メンテナンス計画、リソース配分にも活用でき、フリート管理におけるダウンタイム削減に貢献します。

脆弱なAgentic AI:監視なき自律性

Agentic AIの自律的な計画立案能力と積極的な行動は、確かに効率性を新たな高みへと導きますが、この自動化には気まぐれで検知が困難なリスクも潜んでいます。本質的に、当モデルの導入は単なるインストールというより、完全には監視できないお任せのエージェントを一人雇用するイメージに近いといえます。リスクはもはやモデルの出所のみに存在するのではなく、モデルが次に何を行うか予測不可能という自律性そのものにあります。

  • MCPツール/サーバーインジェクション

これらのAIシステムは、モデルコンテキストプロトコル(MCP)を用いて、プランナー、推論エンジン、実行モジュールなどのツールモジュールを自律的に選択・調整します。しかし、これにより広範な攻撃対象領域(アタックサーフェイス)が生じます。プロンプトインジェクションに加え、MCPベースのエージェントは、サプライチェーン攻撃(例:汚染されたツールパッケージ)、ツールメタデータの操作(例:誤解を招く機能説明)、スキーマパラメータの不正挿入(例:構造化された入力を通じて隠ぺいされた指示をインジェクションする)といった手法によって悪用される可能性があります。

信頼できないMCPサーバーがバックエンドで組み合わされた場合、攻撃者はMCPを介して改ざんされたデータを配信し、エージェントがユーザー権限でリモートコードを実行できるようにします。これにより、ランサムウェアの展開、データ窃取、AIビヘイビア操作、AIハルシネーション生成など、幅広い悪意のある活動が可能となります。

例えば、CurXecuteの事例(MCP自動起動を介したCursorのRCE脆弱性)では、攻撃者はチャットチャネルに悪意のあるプロンプトを送信するだけで十分です。ユーザーがAIにメッセージ整理を依頼すると、AIはMCPスケジューリング中に信頼できないMCPサーバーに接続し、結果としてユーザーのコンピュータは完全に遠隔操作されることになります。

図2. 悪意のあるモデルコンテキストプロトコル(MCP)により、攻撃者はエージェントにユーザー権限でリモートコードを実行させることが可能となる

図2. 悪意のあるモデルコンテキストプロトコル(MCP)により、攻撃者はエージェントにユーザー権限でリモートコードを実行させることが可能となる


  • 持続的な悪意のあるツールチェーン操作

MCP環境においてツールを定義するメタデータ(名称、説明、カテゴリ、パラメータ構造など)が、選択決定に影響を与えるよう巧妙に操作された場合には、より陰湿で持続的な脅威となります。ツールの中核機能を変更しなくても、こうした細工された属性により、AIが正当なモジュールではなく攻撃者が好むモジュールを繰り返し選択するよう誘導される可能性があります。

このような改ざんされたメタデータが、キャッシュされたマニフェスト、設定ファイル、サービスレジストリ、適応型選択ポリシーなどの永続的なレイヤーに保存されると、バイアスが効果的に「焼き込まれる」ことになります。時間の経過とともに、安全でないツール呼び出しの一貫したパターンを生み出し、通常のセッションリセットを生き延び、従来のプロンプトレベルの防御を迂回します。

これは一時的な操作ではなく、モデルの運用環境内で静かに動作する長期的なツールチェーンの侵害であり、意思決定の完全性を徐々に損ないます。バイアスを選択ロジックに直接埋め込むことで、攻撃者はシステム動作内に永続的で検知困難な足場を獲得し、その影響は単一のインタラクションをはるかに超えて広がります。

図3. MCP環境におけるメタデータ操作の持続性

図3. MCP環境におけるメタデータ操作の持続性


  • エッジAIのセキュリティリスク

SDV(ソフトウェアデファインドビークル)が急速に進化する中、自動車業界は前例のないサイバーセキュリティの課題に直面しています。業界関係者は通常、AIモデル内にガードレールや組み込みのセキュリティルールなどの対策を実装し、これらのシステムを脅威から保護しています。

しかしながら、クラウド環境とは異なり、車両エッジデバイスはAI機能を実行するための計算リソースが限られています。このアプローチには本質的に選択的なトレードオフが伴います。イノベーションやユーザー向け機能を優先させることは、異常検知やファイアウォールロジックといったセキュリティ機能の一部が削減または省略される可能性を意味します。セキュリティを意図的に軽視しているわけではなくとも、現在の技術的・資源的制約下での必要上不可欠なバランスといえます。

さらに、AIシステムは新たなタスクを学習する際、サイバーセキュリティ防御を自動的に保持するわけではありません。Cisco社の調査によれば、大規模言語モデル(LLM)の微調整(ファインチューニング)は、元の安全性とセキュリティの整合性を損ない、モデルのセキュリティ態勢を弱める可能性があります。これは業界全体が認識すべき課題です。

このような環境下では、攻撃者が最初の防御ラインを突破するだけで、シート調整、空調制御、充電システム、インフォテインメントといった重要な車載システムを操作されてしまう可能性があり、重大な安全リスクにつながります。

自動車メーカーが再考すべき点:Agenticリスクとは動くリスクである

AI技術がSDV(ソフトウェアデファインドビークル)に深く組み込まれるにつれ、設計段階のセキュリティ対策のみに依存することは、もはや車両の安全性を確保するには不十分です。OEMは、以下の問いを通じてサイバーセキュリティへのアプローチを継続的に見直す必要があります。

  1. AIの動作を監視し、異常を迅速に検知・対応するリアルタイム検知・対応能力を有しているか
  2. サードパーティ製コンポーネントを含むAI部品表(AI SBOM)について、脆弱性の混入やコンプライアンス上の不備を予防するように調査(スキャン)できているか
  3. 脆弱性や脅威インテリジェンス(TI)は、継続的な学習と適応型防御を可能にするため、エッジAIシステムに効果的にフィードバックされているか
  4. 現行のUN R-155プロセスがAIを完全にはカバーしていない現状を踏まえ、AI関連のセキュリティインシデント発生時に部門横断的な連携を確実に保証できるようになっているか

進化する自動車業界において、車載Agentic AIには再定義されたサイバーセキュリティ・フレームワークが求められます。継続的な監視、厳格な脆弱性管理、インテリジェントなフィードバックループを統合した枠組みです。このアプローチにより、AIセキュリティリスク管理のためのひとつに統合された管理画面が実現され、OEMメーカーは新たな脅威に先手を打つことが可能となります。

図4. AI対応SDVセキュリティフレームワークは、AIセキュリティリスク管理のための単一管理画面を提供します

図4. AI対応SDVセキュリティフレームワークは、AIセキュリティリスク管理のための単一管理画面を提供します


さらに詳しい考察について、Max Chengによる『自動車業界におけるAI:サイバーセキュリティ・フレームワークの再定義』(英語)をご覧ください。

*訳者注
「Agentic AI」は「エージェント型AI」や「自律型AI」と訳されることが増えていますが、「エージェント」は代理人のような印象があり、「自律型」はAIが勝手に動くような誤解を招く可能性があります。本稿では後者のニュアンスが強いですが、実際には、人間が主導権を持ち、AIを目的達成の手段として使うという考え方が重要です。こうした理由から、ここでは原語のまま「Agentic AI」と表記しています。

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼