米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)

こんにちは、丸山満彦です。

NIST CAISIがAIエージェントシステムのセキュリティ強化に関するRFIを公表していますね...

AI Agent システムが台頭し、実世界への影響増加しつつある一方、セキュリティ脅威の増加、米国経済競争力への懸念、公共安全とインフラリスク、技術標準の不足といった懸念事項があることが背景としてあるのでしょうかね...

要求事項の項目...

1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
2. AIエージェントシステムのセキュリティ対策
3. AIエージェントシステムのセキュリティアセスメント
4. 展開環境の制限、変更、監視
5. 追加の考慮事項

常に先を見て行動できていますよね...

用語の定義がまず必要ですかね。。。AI Agent SystemはAgentic AIと同じ意味？それぞれの定義が曖昧なのでなんとも言えないような気もするけど...

きっと法律やガイドの作成、人間の関与の仕方、レッドチーミングテスト、インシデントデータベースなど、重要となってくるのかもしれません。。。早めに取り組まないとですね...

AIエージェントシステムが普及する世界というのは、（不確実性）ⁿのような世界になるような気がしますので、どのポイントで人間が関与していくのか？というのが重要な要素になるのではないかと思いました。

例えば、法的な面も含めていうと複数のAIシステムの連携が生じた場合の責任の分担もよく考えておく必要があります。例えば、XとYというAIシステムが協働して共通のアウトプットを出したことにより被害が生じた場合のXとYを管理している組織間の責任関係はどうなるのか？というのを考えた場合、XやYを使うためにどのような準備を必要かというのは重要な話かもしれません。。。

 

● NIST - CAISI

・2026.01.12 CAISI Issues Request for Information About Securing AI Agent Systems

CAISI Issues Request for Information About Securing AI Agent Systems	CAISI、AIエージェントシステムのセキュリティ強化に関する情報提供を要請
The Center for AI Standards and Innovation (CAISI) at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has published a Request for Information (RFI) seeking insights from industry, academia, and the security community regarding the secure development and deployment of AI agent systems.	米国商務省国立標準技術研究所（NIST）傘下のAI標準化・イノベーションセンター（CAISI）は、AIエージェントシステムの安全な開発・展開に関する業界、学界、セキュリティコミュニティからの知見を求める情報提供要請（RFI）を発表した。
AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. While these systems promise significant benefits for productivity and innovation, they present unique security challenges.	AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ。生産性やイノベーションに大きな利益をもたらす可能性を秘める一方で、独自のセキュリティ課題も提示している。
AI agent systems face a range of security threats and risks. Some risks overlap with other software systems, such as exploitable authentication or memory management vulnerabilities. This RFI, however, focuses on distinct risks that arise when combining AI model outputs with the functionality of software systems. This includes risks from models interacting with adversarial data (such as in indirect prompt injection), risks from the use of insecure models (such as models that have been subject to data poisoning), and risks that models may take actions that harm security even in the absence of adversarial inputs (such as models that exhibit specification gaming or otherwise pursue misaligned objectives). These security challenges not only hinder adoption today but may also pose risks for public safety and national security as AI agent systems become more widely deployed.	AIエージェントシステムは多様なセキュリティ脅威やリスクに直面している。認証やメモリ管理の脆弱性といった他のソフトウェアシステムと共通するリスクも存在する。しかし本RFIは、AIモデルの出力とソフトウェアシステムの機能を組み合わせる際に生じる特有のリスクに焦点を当てる。これには、敵対的データとの相互作用によるリスク（間接的プロンプト・インジェクションなど）、安全でないモデルの使用によるリスク（データ・ポイズニングを受けたモデルなど）、敵対的入力がなくてもセキュリティを損なう行動を取る可能性のあるモデルによるリスク（仕様ゲームを示すモデルや、目的がずれた目標を追求するモデルなど）が含まれる。これらのセキュリティ課題は、現在の導入を妨げるだけでなく、AIエージェントシステムの普及が進むにつれて公共の安全や国家安全保障へのリスクをもたらす可能性がある。
The RFI poses questions on topics including:	本RFIでは以下のテーマについて質問を提示する：
・Unique security threats affecting AI agent systems, and how these threats may change over time.	・AIエージェントシステムに影響を与える固有のセキュリティ脅威、およびこれらの脅威が時間とともにどのように変化するか。
・Methods for improving the security of AI agent systems in development and deployment.	・開発および展開段階におけるAIエージェントシステムのセキュリティを改善する方法。
・Promise of and possible gaps in existing cybersecurity approaches when applied to AI agent systems.	・既存のサイバーセキュリティ手法をAIエージェントシステムに適用した場合の有効性と潜在的な不足点。
・Methods for measuring the security of AI agent systems and approaches to anticipating risks during development.	・AIエージェントシステムのセキュリティを測定する方法と、開発段階におけるリスク予測の手法。
・Interventions in deployment environments to address security risks affecting AI agent systems, including methods to constrain and monitor the extent of agent access in the deployment environment.	・AIエージェントシステムに影響するセキュリティリスクに対処するための展開環境における介入策。これには展開環境内でのエージェントアクセス範囲を制限・監視する方法も含まれる。
Input from AI agent deployers, developers, and computer security researchers, among others, will inform future work on voluntary guidelines and best practices related to AI agent security. It will also contribute to CAISI’s ongoing research and evaluations of agent security. Respondents are encouraged to provide concrete examples, best practices, case studies and actionable recommendations based on their experience with AI agent systems. The full RFI can be found here.	AIエージェントの展開担当者、開発者、コンピュータセキュリティ研究者などからの意見は、AIエージェントセキュリティに関する自主的ガイドラインとベストプラクティスの将来的な作業に反映される。また、CAISIによるエージェントセキュリティの継続的な研究と評価にも寄与する。回答者は、AIエージェントシステムに関する自身の経験に基づき、具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう奨励される。RFI全文はこちらで閲覧可能である。

 

 

● Federal Register

・2026.01.12 Request for Information Regarding Security Considerations for Artificial Intelligence Agents

Request for Information Regarding Security Considerations for Artificial Intelligence Agents	人工知能エージェントのセキュリティ考慮事項に関する情報提供要請
AGENCY:	機関：
Center for AI Standards and Innovation (CAISI), National Institute of Standards and Technology (NIST), U.S. Department of Commerce.	米国商務省 国立標準技術研究所（NIST）内 人工知能標準・イノベーションセンター（CAISI）
ACTION:	措置：
Notice; request for information (RFI).	通知；情報提供要請（RFI）。
SUMMARY:	概要：
The Center for AI Standards and Innovation (CAISI), housed within the National Institute of Standards and Technology (NIST) at the Department of Commerce, is seeking information and insights from stakeholders on practices and methodologies for measuring and improving the secure development and deployment of artificial intelligence (AI) agent systems. AI agent systems are capable of taking autonomous actions that impact real-world systems or environments, and may be susceptible to hijacking, backdoor attacks, and other exploits. If left unchecked, these security risks may impact public safety, undermine consumer confidence, and curb adoption of the latest AI innovations. We encourage respondents to provide concrete examples, best practices, case studies, and actionable recommendations based on their experience developing and deploying AI agent systems and managing and anticipating their attendant risks. Responses may inform CAISI's work evaluating the security risks associated with various AI capabilities, assessing security vulnerabilities of AI systems, developing evaluation and assessment measurements and methods, generating technical guidelines and best practices to measure and improve the security of AI systems, and other activities related to the security of AI agent systems.	商務省国立標準技術研究所（NIST）内に設置された人工知能標準・イノベーションセンター（CAISI）は、人工知能（AI）エージェントシステムの安全な開発・展開を測定・改善するための実践手法と方法論について、関係者からの情報と知見を求めている。AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を取ることが可能であり、ハイジャック、バックドア攻撃、その他の悪用に対して脆弱である可能性がある。これらのセキュリティリスクが放置されれば、公共の安全に影響を与え、消費者の信頼を損ない、最新のAIイノベーションの採用を阻害する恐れがある。回答者には、AIエージェントシステムの開発・展開経験、および付随するリスクマネジメントに基づく具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう促す。回答内容は、CAISIの以下の活動に資する可能性がある：各種AI機能に関連するセキュリティリスクの評価、AIシステムのセキュリティ脆弱性の評価、アセスメント・測定手法の開発、AIシステムのセキュリティ測定・改善のための技術ガイドライン及びベストプラクティスの策定、その他AIエージェントシステムのセキュリティ関連活動。
DATES:	提出期限：
Comments containing information in response to this notice must be received on or before March 9, 2026, at 11:59 p.m. Eastern Time. Submissions received after that date may not be considered.	本通知への回答情報を含むコメントは、2026年3月9日午後11時59分（東部時間）までに受理されなければならない。この期限後に受理された提出物は考慮されない可能性がある。
ADDRESSES:	提出先：
Comments must be submitted electronically via the Federal e-Rulemaking Portal.	コメントは連邦電子規則制定ポータル（Federal e-Rulemaking Portal）経由で電子的に提出しなければならない。
...	...
SUPPLEMENTARY INFORMATION:	補足情報：
Authority	法的根拠
This RFI advances NIST's activities to support measurement research and development of best practices for artificial intelligence systems, including their safety and robustness to adversarial attacks (15 U.S.C. 278h-1(b)). It is consistent with NIST's functions to, inter alia, compile data, provide a clearinghouse of scientific information, and assist industry in improving product quality (15 U.S.C. 272(b-c)).	本RFIは、人工知能システムの安全性及び敵対的攻撃に対する堅牢性を含む、最良の実践手法の測定研究開発を支援するNISTの活動を推進するものである（15 U.S.C. 278h-1(b)）。これは、NISTがデータを収集し、科学情報の交換拠点を提供し、産業の製品品質向上を支援するなどの機能（15 U.S.C. 272(b-c)）と整合するものである。
Background	背景
AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. AI agent systems consist of at least one generative AI model and scaffolding software that equips the model with tools to take a range of discretionary actions. These systems may be more expansive, containing multiple sub-agents with software that orchestrates their interactions. They can be deployed with little to no human oversight. Other terms used to refer to AI agent systems include AI agents and agentic AI. Challenges to the security of AI agent systems may undermine their reliability and lessen their utility, stymieing widespread adoption that would otherwise advance U.S. economic competitiveness. Further, security vulnerabilities may pose future risks to critical infrastructure or catastrophic harms to public safety ( i.e., through chemical, biological, radiological, nuclear, and explosive (CBRNE) weapons development and use or other analogous threats).	AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画し実行する能力を有する。AIエージェントシステムは、少なくとも1つの生成的AIモデルと、モデルに様々な裁量行動を実行する手段を提供する足場ソフトウェアで構成される。これらのシステムはより大規模になり、相互作用を調整するソフトウェアを備えた複数のサブエージェントを含む場合もある。人間の監視がほとんど、あるいは全くない状態で展開される可能性がある。AIエージェントシステムを指す他の用語には、AIエージェントやエージェント型AIがある。AIエージェントシステムのセキュリティ上の課題は、その信頼性を損ない有用性を低下させる恐れがある。これにより、米国経済の競争力向上に寄与するはずの普及が阻害される。さらに、セキュリティ上の脆弱性は将来的に重要インフラへのリスクや、化学・生物・放射性物質・核・爆発物（CBRNE）兵器の開発・使用や類似の脅威を通じた公共安全への壊滅的被害をもたらす可能性がある。
Deployed AI agent systems may face a range of security threats and risks. Some of these risks are shared with other kinds of software systems, such as exploitable vulnerabilities in authentication mechanisms or memory management processes. This Request for Information, however, focuses instead on the novel risks that arise from the use of machine learning models embedded within AI agent systems. Within this category are: (1) security risks that arise from adversarial attacks at either training or inference time, when models may interact with potentially adversarial data ( e.g., indirect prompt injection) or may be compromised by data poisoning; (2) security risks posed by models with intentionally placed backdoors; and (3) the risk that the behavior of uncompromised models may nonetheless pose a threat to confidentiality, availability, or integrity ( e.g., models that exhibit specification gaming or otherwise pursue misaligned objectives). Organizations have begun to implement technical controls, processes, and other mitigations for the security risks posed by their AI agent systems. In some cases, mitigations draw on cybersecurity best practices, including implementing systems according to the principle of least privilege and designing systems with a zero trust architecture. In other cases, risks are addressed with novel approaches, including instruction hierarchy and agent design patterns with trusted models.	展開されたAIエージェントシステムは、様々なセキュリティ脅威やリスクに直面する可能性がある。認証メカニズムやメモリ管理プロセスにおける悪用可能な脆弱性など、他のソフトウェアシステムと共通するリスクも存在する。しかし本情報提供要請（RFI）は、AIエージェントシステムに組み込まれた機械学習モデルの使用から生じる新たなリスクに焦点を当てる。このカテゴリーには以下が含まれる：(1) モデルが潜在的に敵対的なデータ（例：間接的プロンプト・インジェクション）と相互作用する可能性のある、あるいはデータ・ポイズニングによって侵害される可能性がある、訓練時または推論時における敵対的攻撃から生じるセキュリティリスク； (2) 意図的にバックドアを仕込まれたモデルがもたらすセキュリティリスク；(3) 侵害されていないモデルの動作が、機密性・可用性・完全性に対する脅威となるリスク（仕様の悪用や目標の乖離を示すモデルなど）。組織は、AIエージェントシステムがもたらすセキュリティリスクに対して、技術的制御、プロセス、その他の緩和策を導入し始めている。場合によっては、最小権限の原則に基づくシステム実装やゼロトラストアーキテクチャ設計といったサイバーセキュリティのベストプラクティスを活用する。また、信頼できるモデルを用いた命令階層やエージェント設計パターンといった新たな手法でリスクに対処するケースもある。
NIST conducts research and develops guidelines to promote safe and secure AI innovation and adoption. Research by CAISI technical staff [1] has demonstrated risks of agent hijacking. NIST has also produced resources on this topic including NIST AI 100-2e2025 [2] that provides a taxonomy of attacks and mitigations in adversarial machine learning generally; the NIST AI Risk Management Framework,[3] which describes and discusses “secure and resilient” AI and includes subcategories for security assessment within the Measure function; NIST's companion Risk Management Framework: Generative AI Profile,[4] which provides further context and considerations for “information security” and associated risks with generative AI, applicable to this RFI; and NIST AI 800-1 [5] that provides guidelines for AI developers to manage risks including the misuse of AI agent systems for offensive cybersecurity operations. In addition, NIST SP 800-218A [6] provides a profile for the secure development of generative AI, and NIST SP 800-53 [7] provides a glossary of relevant terms and a catalog of security and privacy controls for information systems generally.	NISTは安全でセキュアなAIの革新と普及を促進するため、研究を実施しガイドラインを開発している。CAISI技術スタッフによる研究[1]は、エージェント乗っ取りのリスクを実証している。NISTもこのテーマに関する資料を作成しており、具体的には：・敵対的機械学習全般における攻撃手法と緩和の分類を提供する「NIST AI 100-2e2025」[2]・「安全かつレジリエンスのある」AIを定義・論じ、測定機能内のセキュリティ評価サブカテゴリーを含む「NIST AIリスクマネジメント枠組み」[3] NISTの関連文書である「リスクマネジメント枠組み：生成的AIプロファイル」[4]は、生成的AIに関連する「情報セキュリティ」とリスクについて、本RFIに適用可能な追加的な文脈と考慮事項を提供する。また「NIST AI 800-1」[5]は、攻撃的なサイバーセキュリティ活動におけるAIエージェントシステムの悪用を含むリスクマネジメントのためのガイドラインをAI開発者に提供する。さらに、NIST SP 800-218A[6]は生成的AIの安全な開発プロファイルを提供し、NIST SP 800-53[7]は関連用語集と情報システム全般向けのセキュリティ・プライバシー制御カタログを提供する。
Request for Information	情報提供要請
This RFI seeks information that can support secure innovation and adoption of AI agent systems. It invites stakeholders—particularly AI agent developers, deployers, and computer security researchers—to share insights on the secure development and deployment of AI agent systems. Such information should be scoped to the security of AI agent systems capable of taking actions that affect external state, i.e., persistent changes outside of the AI agent system itself. Unless contextualized to impact the security of agent systems directly, this RFI does not seek general information on generative AI security, insights on practices for AI chatbots or retrieval-augmented generation systems that are not orchestrated to act autonomously, or feedback on the misuse of AI agent systems to carry out cyberattacks.	本RFIは、AIエージェントシステムの安全な革新と展開を支援する情報を求めるものである。特にAIエージェント開発者、展開者、コンピュータセキュリティ研究者といった関係者に、AIエージェントシステムの安全な開発・展開に関する知見の共有を呼びかける。提供される情報は、外部状態（すなわちAIエージェントシステム自体以外の永続的な変化）に影響を与える行動を実行可能なAIエージェントシステムのセキュリティに焦点を当てるべきである。本RFIは、エージェントシステムのセキュリティに直接影響する文脈に限定され、生成的AIのセキュリティに関する一般的な情報、自律的に動作するよう設計されていないAIチャットボットや検索拡張生成システムの実践に関する知見、あるいはAIエージェントシステムを悪用したサイバー攻撃の実行に関するフィードバックは対象外とする。
NIST is requesting that respondents provide information on the topics below. NIST has provided this non-exhaustive list of topics and accompanying questions to guide respondents, and the submission of any relevant information germane to the subject but that is not included in the list of topics below is also encouraged. NIST will consider all relevant comments received during the public comment period. Respondents need not address all questions in this RFI, though all responses should specify which questions are being answered. For respondents with limited bandwidth, please prioritize questions 1(a), 1(d), 2(a), 2(e), 3(a), 3(b), 4(a), 4(b), and 4(d). All relevant responses that comply with the requirements listed in the DATES and ADDRESSES sections of this RFI will be considered.	NISTは回答者に対し、下記のトピックに関する情報の提供を求めている。NISTは回答者の指針として、この網羅的ではないトピックリストと付随する質問を提供している。下記のトピックリストに含まれていないが主題に関連する情報の提出も奨励する。NISTはパブリックコメント期間中に受け取った全ての関連コメントを検討する。回答者は本RFIの全質問に回答する必要はないが、回答する質問を明記すべきである。回答に制限がある場合は、質問1(a)、1(d)、2(a)、2(e)、3(a)、3(b)、4(a)、4(b)、4(d)を優先的に回答すること。本RFIの「提出期限」及び「提出先」セクションに記載された要件を満たす関連回答は全て考慮される。
1. Security Threats, Risks, and Vulnerabilities Affecting AI Agent Systems	1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性
(a) What are the unique security threats, risks, or vulnerabilities currently affecting AI agent systems, distinct from those affecting traditional software systems?	(a) 従来のソフトウェアシステムに影響を与えるものとは異なる、AIエージェントシステムに現在影響を与えている特有のセキュリティ脅威、リスク、脆弱性は何であるか。
(b) How do security threats, risks, or vulnerabilities vary by model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), hosting context (including components on premises, in the cloud, or at the edge), use case, and otherwise?	(b) セキュリティ脅威、リスク、脆弱性は、モデルの能力、エージェント足場ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ホスティング環境（オンプレミス、クラウド、エッジ上のコンポーネントを含む）、ユースケース、その他の要素によってどのように異なるか？
(c) To what extent are security threats, risks, or vulnerabilities affecting AI agent systems creating barriers to wider adoption or use of AI agent systems?	(c) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性は、どの程度、AIエージェントシステムの普及や利用の障壁となっているか？
(d) How have these threats, risks, or vulnerabilities changed over time? How are they likely to evolve in the future?	(d) これらの脅威、リスク、脆弱性は時間とともにどのように変化してきたか？将来どのように進化する可能性が高いか？
(e) What unique security threats, risks, or vulnerabilities currently affect multi-agent systems, distinct from those affecting singular AI agent systems?	(e) 単一のAIエージェントシステムに影響を与えるものとは異なり、現在マルチエージェントシステムに影響を与える固有のセキュリティ脅威、リスク、脆弱性は何であるか？
2. Security Practices for AI Agent Systems	2. AIエージェントシステムのセキュリティ対策
(a) What technical controls, processes, and other practices could ensure or improve the security of AI agent systems in development and deployment? What is the maturity of these methods in research and in practice? Categories may include:	(a) 開発および展開段階におけるAIエージェントシステムのセキュリティを確保または改善するための技術的制御、プロセス、その他の実践は何であるか？これらの手法は研究と実践においてどの程度の成熟度に達しているか。カテゴリーには以下が含まれる：
i. Model-level controls, such as measures to enhance model robustness to prompt injections;	i. プロンプト・インジェクションに対するモデルの頑健性を高める対策など、モデルレベルの制御。
ii. Agent system-level controls, such as prompt engineering, data or tool restrictions, and continuous monitoring methods;	ii. プロンプトエンジニアリング、データやツールの制限、継続的監視手法など、エージェントシステムレベルの制御。
iii. Human oversight controls, such as approvals for consequential actions, management of sensitive and untrusted data, network access permissions, or other controls.	iii. 重大な行動に対する承認、機密性・信頼性の低いデータの管理、ネットワークアクセス権限、その他の制御など、人間の監視による制御。
(b) To what degree, if any, could the effectiveness of technical controls, processes, and other practices vary with changes to model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), use case, use in multi-agent systems, and otherwise?	(b) 技術的制御、プロセス、その他の実践の有効性は、モデル能力、エージェント基盤ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ユースケース、マルチエージェントシステムでの使用、その他の変化に伴い、どの程度変動する可能性があるか？
(c) How might technical controls, processes, and other practices need to change, in response to the likely future evolution of AI agent system capabilities or of the threats, risks, or vulnerabilities facing them?	(c) AIエージェントシステムの能力、またはそれらに対する脅威・リスク・脆弱性の将来的な進化に対応するため、技術的制御、プロセス、その他の実践はどのように変更する必要があるか？
(d) What are the methods, risks, and other considerations relevant for patching or updating AI agent systems throughout the lifecycle, as distinct from those affecting both traditional software systems and non-agentic AI?	(d) 従来のソフトウェアシステムや非エージェント型AIに影響するものと区別して、AIエージェントシステムのライフサイクル全体を通じたパッチ適用や更新に関連する手法、リスク、その他の考慮事項は何か。
(e) Which cybersecurity guidelines, frameworks, and best practices are most relevant to the security of AI agent systems?	(e) AIエージェントシステムのセキュリティに最も関連性の高いサイバーセキュリティガイドライン、枠組み、ベストプラクティスは何か。
i. What is the extent of adoption by AI agent system developers and deployers of these relevant guidelines, frameworks, and best practices?	i. AIエージェントシステムの開発者や展開者が、これらの関連ガイドライン、枠組み、ベストプラクティスをどの程度採用しているか。
ii. What are impediments, challenges, or misconceptions about adopting these kinds of guidelines, frameworks, or best practices?	ii. この種のガイドライン、枠組み、ベストプラクティスの採用における障害、課題、誤解は何か？
iii. Are there ways in which existing cybersecurity best practices may not be appropriate for the security of AI agent systems?	iii. 既存のサイバーセキュリティベストプラクティスがAIエージェントシステムのセキュリティに不適切な点は存在するか？
3. Assessing the Security of AI Agent Systems	3. AIエージェントシステムのセキュリティアセスメント
(a) What methods could be used during AI agent systems development to anticipate, identify, and assess security threats, risks, or vulnerabilities?	(a) AIエージェントシステム開発中に、セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために使用できる手法は何か？
i. What methods could be used to detect security incidents after an AI agent system has been deployed?	i. AIエージェントシステム展開後、セキュリティインシデントを検知するためにどのような方法が用いられるか？
ii. How do these align (or differ) from traditional information security practices, including supply chain security?	ii. これらはサプライチェーンセキュリティを含む従来の情報セキュリティ慣行とどのように整合（または相違）するか？
iii. What is the maturity of these methods in research and applied use?	iii. これらの方法の研究および応用における成熟度はどうか？
iv. What resources or information would be useful for anticipating, identifying, and assessing security threats, risks, or vulnerabilities?	iv. セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために有用なリソースや情報は何であるか？
(b) Not all security threats, risks, or vulnerabilities are necessarily applicable to every AI agent system; how could the security of a particular AI agent system be assessed and what types of information could help with that assessment?	(b) すべてのセキュリティ脅威、リスク、脆弱性が必ずしも全てのAIエージェントシステムに適用されるわけではない。特定のAIエージェントシステムのセキュリティアセスメントを行う方法と、そのアセスメントに役立つ情報の種類は何か？
(c) What documentation or data from upstream developers of AI models and their associated components might aid downstream providers of AI agent systems in assessing, anticipating, and managing security threats, risks, or vulnerabilities in deployed AI agent systems?	(c) AIモデル及び関連コンポーネントの上流開発者から得られる文書やデータは、下流のAIエージェントシステムプロバイダが展開済みシステムのセキュリティ脅威、リスク、脆弱性を評価・予測・管理する上で、どのような支援が可能か？
i. Does this data or documentation vary between open-source and closed-source AI models and AI agent systems, and if so, how?	i. このデータや文書は、オープンソースとクローズドソースのAIモデルおよびAIエージェントシステム間で異なるのか。異なる場合、その違いは何か。
ii. What kinds of disclosures (if made mandatory or public) could potentially create new vulnerabilities?	ii. どのような開示（義務化または公開された場合）が新たな脆弱性を生み出す可能性があるか。
iii. How should such, if any, disclosures be kept secure between parties to protect system integrity?	iii. システム完全性を保護するため、そのような開示（存在する場合）を当事者間で安全に保持するにはどうすべきか。
(d) What is the state of practice for user-facing documentation of AI agent systems that support secure deployment?	(d) 安全な展開を支援するAIエージェントシステムのユーザー向け文書の現状はどうか。
4. Limiting, Modifying, and Monitoring Deployment Environments	4. 展開環境の制限、変更、監視
(a) AI agent systems may be deployed in a variety of environments, i.e., locations where the system's actions take place. In what manner and by what technical means could the access to or extent of an AI agent system's deployment environment be constrained?	(a) AIエージェントシステムは様々な環境、すなわちシステムの動作が行われる場所に展開される可能性がある。AIエージェントシステムの展開環境へのアクセスや範囲を、どのような方法と技術的手段で制限できるか？
(b) How could virtual or physical environments be modified to mitigate security threats, risks, or vulnerabilities affecting AI agent systems? What is the state of applied use in implementing undoes, rollbacks, or negations for unwanted actions or trajectories (sequences of actions) of a deployed AI agent system?	(b) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性を緩和するため、仮想環境や物理環境をどのように変更できるか？展開済みAIエージェントシステムの望ましくない行動や軌跡（行動の連鎖）に対する取り消し、ロールバック、否定機能の実装における応用利用の現状はどうか？
(c) What is the state of managing risks associated with interactions between AI agent systems and counterparties? Practices, their adoption, and their relative maturity may differ according to the counterparty in the interaction, including:	(c) AIエージェントシステムと相手方との相互作用に関連するリスクマネジメントの現状はどうか？実践内容、その採用状況、相対的な成熟度は、相互作用における相手方によって異なる可能性がある。具体的には：
i. Interactions with humans who are not using the AI agent system directly;	i. AIエージェントシステムを直接使用していない人間との相互作用；
ii. Interactions with digital resources, including web services, servers, and legacy systems;	ii. ウェブサービス、サーバー、レガシーシステムを含むデジタルリソースとの相互作用
iii. Interactions with mechanical systems, machinery, or Internet-of-Things (IoT);	iii. 機械システム、機械装置、またはモノのインターネット（IoT）との相互作用
iv. Interactions with authentication mechanisms, operating system access, source code access, or similar network-level access vectors;	iv. 認証メカニズム、オペレーティングシステムへのアクセス、ソースコードへのアクセス、または類似のネットワークレベルアクセスベクトルとの相互作用
v. Interactions with other AI agent systems.	v. 他のAIエージェントシステムとの相互作用
(d) What methods could be used to monitor deployment environments for security threats, risks, or vulnerabilities?	(d) セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視するために、どのような方法が使用できるか？
i. What challenges exist to deploying traditional methods of monitoring threats, risks, or vulnerabilities?	i. 脅威、リスク、脆弱性を監視する従来の方法を展開する際に、どのような課題が存在するか？
ii. Are there legal and/or privacy challenges to monitoring deployment environments for security threats, risks, or vulnerabilities?	ii. セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視することに関して、法的および／またはプライバシー上の課題は存在するか？
iii. What is the maturity of these methods in research and practice?	iii. これらの方法は、研究および実践においてどの程度の成熟度にあるか？
(e) Are current AI agent systems widely deployed on the open internet, or in otherwise unbounded environments? How could the volume of traffic be tracked on the open internet or in otherwise unbounded environments over time?	(e) 現在のAIエージェントシステムは、オープンインターネットやその他の無制限環境に広く展開されているか？オープンインターネットやその他の無制限環境におけるトラフィック量を、時間経過とともに追跡する方法は何か？
5. Additional Considerations	5. 追加の考慮事項
(a) What methods, guidelines, resources, information, or tools would aid the AI ecosystem in the rapid adoption of security practices affecting AI agent systems and promoting the ecosystem of AI agent system security innovation?	(a) AIエージェントシステムに影響を与えるセキュリティ慣行の迅速な採用と、AIエージェントシステムセキュリティイノベーションのエコシステム促進に役立つ方法、ガイドライン、リソース、情報、またはツールは何か？
(b) In which policy or practice areas is government collaboration with the AI ecosystem most urgent or most likely to lead to improvements in the state of security of AI agent systems today and into the future?	(b) 政府とAIエコシステムとの連携が、現在および将来のAIエージェントシステムのセキュリティ状態の改善に最も緊急性が高く、あるいは最も効果的であると思われる政策または実践分野はどこか？
(c) In which critical areas should research be focused to improve the current state of security practices affecting AI agent systems?	(c) AIエージェントシステムに影響を与える現行のセキュリティ実践を改善するために、研究を集中させるべき重要な分野はどこか？
i. Where should future research be directed in order to unlock the benefits of adoption of secure and resilient AI agent systems?	i. 安全でレジリエンスのあるAIエージェントシステムの導入による利点を解き放つために、将来の研究はどこに向けるべきか？
ii. Which research approaches should be prioritized to advance the scientific understanding and mitigation of security threats, risks, and vulnerabilities affecting AI agent systems?	ii. AIエージェントシステムに影響するセキュリティ脅威、リスク、脆弱性の科学的理解と緩和を進めるため、どの研究アプローチを優先すべきか？
(d) How are other countries addressing these challenges and what are the benefits and drawbacks of their approaches?	(d) 他国はこれらの課題にどう対処しているか？そのアプローチの長所と短所は何か？
(e) Are there practices, norms, or empirical insights from fields outside of artificial intelligence and cybersecurity that might benefit our understanding or assessments of the security of AI agent systems?	(e) AIやサイバーセキュリティ以外の分野から、AIエージェントシステムのセキュリティ理解やアセスメントに有益な実践、規範、実証的知見は存在するか？
Footnotes	脚注
1. Technical Blog: Strengthening AI Agent Hijacking Evaluations, [web]	1. 技術ブログ：AIエージェント乗っ取り評価の強化、[web]
2. Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (NIST AI 100-2e2025), [web]	2. 敵対的機械学習：攻撃と緩和策の分類と用語集（NIST AI 100-2e2025）、[web]
3. Artificial Intelligence Risk Management Framework (NIST AI 100-1), [pdf]	3. 人工知能リスクマネジメント枠組み（NIST AI 100-1）、 [pdf]
4. Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile (NIST AI 600-1), [pdf]	4. 人工知能リスクマネジメント枠組み：生成的人工知能プロファイル（NIST AI 600-1）、[pdf]
5. Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1 2pd), [pdf]	5. 二重用途基盤モデルの悪用リスクマネジメント（NIST AI 800-1 2pd）、[pdf]
6. Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile (NIST SP 800-218), [web]	6. 生成的AI及びデュアルユース基盤モデルのためのセキュアなソフトウェア開発実践：SSDFコミュニティプロファイル（NIST SP 800-218）、[web]。
7. Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 Rev. 5), [web].	7. 情報システム及び組織のためのセキュリティ及びプライバシー管理（NIST SP 800-53 Rev. 5）、[web]。
Alicia Chambers,	アリシア・チェンバース
NIST Executive Secretariat.	NIST 事務局長
[FR Doc. 2026-00206 Filed 1-7-26; 8:45 am]	[FR Doc. 2026-00206 提出日 1-7-26; 午前8時45分]
BILLING CODE 3510-13-P	請求コード 3510-13-P