https://thedotnetblog.com/ja/tags/sql-server-2025/Articles, tutorials and insights from the .NET community.Hugoja@thedotnetblog (The .NET Blog)@thedotnetblogThu, 04 Jun 2026 00:00:00 +0000https://thedotnetblog.com/ja/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/Thu, 04 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/ja/news/emiliano-montesdeoca/sql-server-maestro-agentic-ai-security-defense-in-depth/エージェントAIは、従来のSTRIDEモデルが設計されていなかった脅威をもたらします。Microsoft SQLがMAESTROフレームワークにどのようにマッピングされ、ガバナンスされた実行境界を提供するかをご紹介します。<p>セキュリティ脅威モデルは、誰が、または何がリクエストを行っているかに関する前提の上に構築されています。STRIDEは、定義されたインターフェースを通じてシステムと対話する人間のアクターを想定しています。AIエージェントはそのように動作しません。</p> <h2 id="strideはaiエージェント向けに設計されていない">STRIDEはAIエージェント向けに設計されていない</h2> <p>エージェントシステムは自律的に動作し、API呼び出しを通じてツールをチェーンし、どのデータを取得しどのアクションを実行するかを決定し、複数のソース（ユーザープロンプト、ツール結果、取得データ）から指示を受け取ることができます。STRIDEの脅威モデル（Spoofing、Tampering、Repudiation、Information Disclosure、Denial of Service、Elevation of Privilege）は、プロンプトインジェクション、コンテキスト汚染、ツールの悪用などのエージェント固有の攻撃ベクトルを適切に捉えていません。</p> <p>Cloud Security AllianceはAIエージェントのリスクに特化したMAESTROフレームワークを公開しました。</p> <h2 id="maestroフレームワーク">MAESTROフレームワーク</h2> <p>MAESTROはエージェントAIのリスクを7つのレイヤーに整理しています：</p> <ol> <li><strong>Foundation Models</strong> — 基盤となるLLMとそのトレーニングの脆弱性</li> <li><strong>Data Operations</strong> — データの取得、保存、操作</li> <li><strong>Agent Frameworks</strong> — エージェントのオーケストレーションと調整のミドルウェア</li> <li><strong>Deployment &amp; Infrastructure</strong> — エージェントが実行される場所とその設定</li> <li><strong>Evaluation &amp; Observability</strong> — 時間をかけたエージェントの行動監視</li> <li><strong>Security &amp; Compliance</strong> — アクセス制御、監査、規制コンプライアンス</li> <li><strong>Agent Ecosystem</strong> — エージェント同士や外部ツールとの相互作用</li> </ol> <p>各レイヤーには、従来のセキュリティ制御が直接対処していない特定の攻撃ベクトルがあります。</p> <h2 id="ガバナンスされた実行境界としてのmicrosoft-sql">ガバナンスされた実行境界としてのMicrosoft SQL</h2> <p>SQL Server 2025は、具体的な方法でMAESTROレイヤーにマッピングされます：</p> <p><strong>Data Operationsレイヤー</strong>: T-SQLに統合された<code>AI_GENERATE_EMBEDDINGS</code>により、ベクトル操作がデータベースのガバナンス境界内に保たれます。エンベディング処理のためにデータをモデルサービスに送る必要はありません。</p> <p><strong>Security &amp; Complianceレイヤー</strong>: 行レベルセキュリティ（RLS）と動的データマスキング（DDM）は、リクエストがどのように来たかに関わらず適用されます — 人間のユーザーからでもAIエージェントからでも。エージェントはデータベース自体によって適用される制御を回避することができません。</p> <p><strong>Agent Frameworksレイヤー</strong>: ストアドプロシージャがツール境界として機能します。エージェントに任意のSQLアクセスを与えるのではなく、許可された操作をプロシージャとして定義し、エージェントツールとして公開します。パラメータ化されたクエリは実行レベルでのインジェクションを防ぎます。</p> <p><strong>Evaluation &amp; Observabilityレイヤー</strong>: 監査ログとQuery Storeは、各エージェントが実際に実行したこと（要求されたことだけでなく）を記録します。このトレーサビリティは、帰属が複雑なエージェントシステムでのインシデント調査に不可欠です。</p> <h2 id="エージェントaiのための多層防御">エージェントAIのための多層防御</h2> <p>原則は従来のセキュリティと同じです：単一の制御で十分ではありません。変わるのはエージェントにとって最も重要な制御です：</p> <p><strong>爆発半径を減らす</strong>: ストアドプロシージャによるツール境界は、侵害されたエージェントが事前定義された操作のみを実行できることを意味します。任意のクエリへのピボットはできません。</p> <p><strong>可観測性</strong>: インシデント後に「このエージェントは正確に何をしたか？」に答えられる必要があります。データベースレベルのトレーサビリティがないエージェントAIシステムには、アプリケーションログでカバーできないブラインドスポットがあります。</p> <p><strong>制約された実行</strong>: パラメータ化、RLS、DDMは、呼び出し元が人間かどうかに関わらずセキュリティ資産です。エージェントに対応するために弱めてはなりません。</p> <p><strong>説明責任</strong>: SQL Serverの監査ログは、誰が（どのエージェントが、どの資格情報を使用して）いつ何を実行したかの記録を作成します。これはエージェントシステムが実際の結果をもたらす行動を取る際に重要です。</p> <p>SQL Server 2025はエージェントリスクを抽象的に解決するために構築されたのではなく、リレーショナルデータベースとして構築されました。しかし、エンタープライズデータベースを信頼できるものにするガバナンスが、まさにエージェント実行境界をセキュアにするものでもあります。</p> <p>元の投稿: <a href="https://devblogs.microsoft.com/azure-sql/microsoft-sql-security-across-the-maestro-stack-building-secure-agentic-ai-with-defense-in-depth/">Microsoft SQL Security Across the MAESTRO Stack</a></p>