インターネットを単一のネットワークとして扱い続けることは、もう長くはもたないだろう。公開ウェブは人間がページを読むために構築されたのに対し、エージェント(自律型AIプログラム)はページを読むというよりも、タスクを実行するからだ。
言い換えれば、AIが生成するトラフィックは現在のインフラには適合しておらず、その乖離を隠すことはますます難しくなっている。以下に、インターネットが最初に分裂するであろう領域を挙げる。
レート制限
ガートナー(Gartner)の予測によると、2028年までに日常的な業務意思決定の約15%が、AIエージェントによって自律的に行われるようになるという。それらの意思決定は、それぞれがアプリケーション・プログラミング・インターフェース(API)の呼び出しであり、通常は複数回呼び出される。現在稼働しているエンドポイント(APIの接続先)は、人間が人間のスピードでクリックする呼び出しパターンに合わせた規模で設計されている。一方、小規模なエージェント群であっても、営業担当者の丸1日分のトラフィックを約40秒で生成できてしまう。
警告の兆候は徐々に現れるわけではない。意味をなさないトラフィックログとして突如現れる。あるベンダーが月曜朝の数値を見て、1社の顧客が呼び出しの80%を占めるようになっていることに気づく、という形だ。不正利用を想定したモデルも、価格設定の前提も、もはや現実を説明できない。レート制限の引き上げは症状への対処にすぎない。本当の答えは、機械トラフィック専用に設計された、異なる価格体系、異なる認証、異なるサービスレベル(SLA)を備えた第2のエンドポイント群である。多くのベンダーは、その第2のエンドポイント群を急ピッチで構築せざるを得なくなるだろう。
アイデンティティ
エージェントが資金を動かしたり、設定を変更したり、本来アクセスすべきではないデータを読み取ったりしたとき、法務、監査、あるいは取引先から投げかけられる問いは常に同じである。「それは誰のエージェントだったのか、そしてそれを証明できるのか」という問いだ。ゼロトラスト(信頼を前提としないセキュリティ対策)のコミュニティは、企業のワークロードを対象に、この問題に何年も取り組んできた。NIST SP 800-207が標準的な参照文書であり、SPIFFEはその具体的な実装の1つである。
エージェントはこの問題をさらに先鋭化させる。企業の代わりに行動しているものは、企業のラック内にあるサーバーではない。それはサードパーティーのハードウェア上で実行されている可能性があるモデル呼び出しであり、企業の権限の一部を帯びている。最初の実質的なインシデントは、今年、あるいは今後数年のうちに表面化すると私は予測している。
そのパターンは予測可能だ。攻撃者がコンテンツを投稿し、それをエージェントがやがて読み取る。そのコンテンツには指示が含まれており、エージェントはそれに従う。誰かが気づいた頃には、追跡ログは不完全な状態になっている。翌朝、最高情報セキュリティ責任者(CISO)のデスクに突きつけられる問いはこうだ。「どのエージェントだったのか、そしてどれほど速く認証情報を取り消せるのか」。今日、ほとんどの企業はそのどちらにも答えられない。
アドレッシング
今後2年間で重要になる技術的論点は、どのモデルの性能が最も高いかではない。エージェント同士がどのように互いを見つけ合い、名付け、アイデンティティシステムを共有していない組織間でメッセージを交換するかである。インターネット技術の標準化団体であるIETF(Internet Engineering Task Force)は、すでにこのテーマに関するインターネットドラフト(仕様書の草案)を受け付けている。Google(グーグル)のA2AとAnthropic(アンソロピック)のModel Context Protocolは、通常なら初期仕様を採用しない企業ですでに導入されている。
過去のネットワークをめぐる争いは、有益な手引きになる。採用が最も容易で、顧客を囲い込みにくく、セキュリティ審査担当者にとって最も明快な方式が、標準になりやすい。早い段階で閉じた枠組みに賭けた企業は、たいていその賭けに敗れる。単一の勝者が現れるのを待つ企業も、結局は誤ったものを標準として採用することになりがちだ。現実的な構えは、今後5年間、2つか3つの標準が共存することを前提に設計することである。
規制
EU AI法(規則2024/1689)はすでに、高リスクシステムの運用者に対し、自律的判断のログ記録と監査を義務付けている。米国も同様の方向に進むと私は見ている。いずれの政府も、組織の境界を越えたログ記録をどのように機能させるべきかは定めていない。なぜなら、それを可能にするインフラがまだ存在していないからだ。したがって、エージェントの行動について暗号学的な監査証跡を提供する最初の企業は、詳細が最終化されたときに有利な立場に立つと私は考えている。規制当局は通常、市場がすでに導入しているものを成文化するからである。
その逆もまた真である。ルールが到来した後に、場当たり的に構築されたエージェントスタックへコンプライアンス(法令順守)機能を後付けするコストは、最初から組み込んで設計する場合の数倍に上る。クレジットカード業界データセキュリティ基準(PCI-DSS)を経験したコンプライアンスチームなら、このことをすでに知っている。
実践的な対応
以下の3つの対応は、長期戦略というより、短期的な整合性確認である。
1. 自社インフラの中で、エージェントのトラフィックが人間のトラフィックと容量を共有している場所をすべて特定する。そこが、最初の本番インシデントが発生する可能性が最も高い場所である。
2. 次に実施するAIベンダー評価で、エージェントのアイデンティティを調達上の質問に含める。自社の代わりに行動するエージェントが暗号学的にどのように識別されるのか、また侵害された認証情報をシステムの他の部分に影響を与えず、どれほど迅速に取り消せるのかを尋ねるべきだ。
3. 今月中に、エージェント間プロトコルに関する作成中のインターネットドラフトを1本読む。それらの文書を書いている人々は、今後4〜5年にわたって皆さんのインフラを形作る意思決定を行っている。
これらはいずれも、発表されるものではない。2027年後半のある火曜日に、インターネットが分岐したと告げるプレスリリースが出ることはないだろう。それは1つのワークロードごとに、本番トラフィックの中で起きる。業界の大半がなお、それを1つのネットワークだと考えている間にである。



