「このエージェントを本番に出して、本当に大丈夫なのか」——AIエージェントの導入を進める企業が、PoCの次に必ずぶつかる問いがこれです。プロンプトを工夫し、デモは動く。しかし、それを基幹業務に常駐させるとなると、誰も「安全だ」と署名できない。homulaが日々のPoC支援で最もよく聞く声のひとつでもあります。
2026年6月2日、ラスベガスで開催された年次イベント「DevCon」で、Workdayがこの問いに正面から答える機能を発表しました。Agent Passport——AIエージェントを本番投入する前に検証し、運用中も監視し続ける「証明書」の仕組みです。これは単なる一社の新機能にとどまらず、エンタープライズのエージェント運用が「信じて祈る(trust-and-hope)」段階から「検証して通す」段階へ移行しつつあることを示す象徴的な発表でした。本稿では事実を整理したうえで、日本企業が組織横断でどう備えるべきかを掘り下げます。
Workdayが発表した「Agent Passport」とは
DevConでWorkdayが示したのは、開発者向けの3つの新機能でした(Workday newsroom)。
- Developer Agent: AIアプリ/エージェントの構築を支援する開発支援エージェント。
- Agent-Ready Tools: エージェント向けに作られた新しいクラスのエンタープライズ・コネクタ。業務ロジックと文脈を正確に渡し、ハルシネーションとレイテンシを抑える。
- Agent Passport: エージェントを本番投入する前に検証し、運用後も継続監視する仕組み。
このうち最も注目されたのが Agent Passport です。Workdayの説明によれば、Agent Passport は 自社製・サードパーティ製を問わず、すべてのAIエージェント を本番投入前にテスト・検証し、稼働後も継続的に監視します(Workday newsroom)。
検証の対象となるのは、エージェント特有の深刻なリスク群です。
- プロンプトインジェクション
- ジェイルブレイクとゴール・ハイジャック(目的の乗っ取り)
- システムプロンプトの抽出
- 従業員データの漏洩
- 不適切な出力
そして重要なのが、一つひとつの検証結果(attestation)が公開された業界標準に紐づく点です。OWASP LLM Top 10 / NIST AI RMF / MITRE ATLAS といった標準に対応づけることで、セキュリティチームは「そのエージェントが何についてテストされ、誰がテストしたのか」を、署名つき・監査可能な記録として手にできます。
検証は導入時だけではありません。エージェントがタスクを実行しようとした際、Agent Passport はその行為を 許可(allow)/ブロック(block)/適切な経路へ振り分け(route) でき、問題のあるエージェントは企業ポリシーに基づいて停止・制限できます。つまり「導入前の一回限りの審査」ではなく、ランタイムでの継続的な統制 までを射程に入れています。
検証の独立性を担保する仕組みも用意されています。WorkdayはCiscoをローンチ・パートナーとして迎え、Cisco AI Defense を用いてWorkday上のエージェントを第三者として独立にテストする体制を示しました。CiscoのDJ Sampath氏(AIソフトウェア/プラットフォーム担当SVP兼GM)は「エージェントは企業のあらゆる場所に現れる。それが成立するのは、各エージェントが何をテストされたかをセキュリティチームが明確な署名つき記録として持てる場合だけだ」と述べています。
提供時期は、Agent Passport が 2026年下半期にアーリーアクセス、年内の一般提供(GA)を予定。Developer Agent と Agent-Ready Tools も Workday Extend Professional 経由でアーリーアクセスが始まっています。
なぜ「導入前テスト」だけでは足りないのか
従来のソフトウェア審査は、リリース前に一度通れば一定期間は有効、という前提で回ってきました。しかしAIエージェントでは、この前提が崩れます。
第一に、エージェントの振る舞いは固定されていないこと。背後のモデルが更新され、接続するツールが増え、扱うデータが変われば、同じエージェントでも挙動は変わります。導入時に「安全」と判定したものが、3か月後も安全とは限りません。
第二に、攻撃面が動的であること。プロンプトインジェクションやゴール・ハイジャックは、外部から流れ込むデータ(メール本文、Webページ、取引先のドキュメント)を経由して成立します。テスト環境では再現しなかった攻撃が、本番のデータフローで初めて成立する——これがエージェント特有の難しさです。
だからこそ Agent Passport が「導入前の検証」と「運用中の継続監視+ランタイム統制」を一体で提供する設計になっているのは理にかなっています。一度きりの認可ではなく、ライフサイクルを通じた継続的な保証(continuous assurance) へ——これがエンタープライズ・エージェント・ガバナンスの新しい標準的な考え方になりつつあります。
「信じて祈る」モデルから、「検証して通す」モデルへ。Agent Passport が象徴するのは、この移行そのものです。
「公開標準への紐付け」が効く理由
Agent Passport の設計で実務上もっとも効くのは、検証結果を自社独自の基準ではなく公開標準に紐づけた点だと、私たちは見ています。なぜ重要なのか。エージェントの安全性を社内ローカルな基準で「OK」と言っても、監査・法務・取引先・規制当局に対する説明力が弱いからです。公開標準に対応づければ、「何を確認したか」が業界の共通言語で語れます。
参照されている3つの標準は、それぞれ守備範囲が異なります。
| 標準 | 主な対象 | 役割 |
|---|---|---|
| OWASP LLM Top 10 | LLM/生成AIアプリの脆弱性 | プロンプトインジェクション等、典型的な弱点のチェックリスト |
| NIST AI RMF | AIリスクの管理フレームワーク | 組織としてのリスク統制プロセスの枠組み |
| MITRE ATLAS | AIへの攻撃戦術・技法 | 敵対者の手口(TTP)に基づく脅威モデリング |
「脆弱性のチェック(OWASP)」「組織のリスク管理プロセス(NIST)」「敵対者視点の脅威モデル(MITRE)」を組み合わせることで、技術・プロセス・脅威の3面から検証を語れる。署名つきで、誰がいつ何をテストしたかが残る。これは EU AI Act をはじめとする規制対応で求められる「監査証跡」「リスク統制の実証」とも整合します。エージェントのガバナンスが、努力目標からコンプライアンス上の要件へと変わりつつある流れの中で、標準準拠の証跡は今後ますます効いてきます。
落とし穴: ベンダー固有の「パスポート」は越境しない
ここで日本企業が冷静に押さえるべき判断軸があります。Agent Passport は強力な仕組みですが、Workdayというプラットフォーム上の話だという点です。
現実の企業環境では、エージェントは1つのベンダー基盤の中で完結しません。HR・財務はWorkday、CRMはSalesforce、ITSMはServiceNow、コラボはMicrosoft、そこに自社が n8n や LangGraph で組んだ独自エージェントが混在します。各ベンダーがそれぞれ「自社流の安全証明」を出すようになると、証明書がベンダーごとに分断され、組織全体での横串の保証が効かないという新たな課題が生まれます。Workdayのパスポートは、Salesforce上のエージェントの安全性を語ってはくれません。
業界では「エージェントにも人間やマシンと同等のデジタルID/継続的なattestationが必要だ」という認識が急速に広がっています(Entrust)。つまり方向性としては正しい。しかし企業側が受け身でいると、ベンダーが用意した検証の範囲=自社のガバナンスの範囲になってしまう。これは、特定基盤に統制を依存する新しい形のロックインでもあります。
ベンダー提供の「パスポート」は出発点として有効ですが、それだけに頼ると「Workday上は検証済み、しかし全社のエージェントの何割が検証済みか誰も答えられない」状態に陥りがちです。検証・監視の主語を、ベンダーではなく自社に取り戻す設計が要ります。
homulaの観点: 検証・承認・監査を「組織の層」として持つ
homulaは、AIエージェントを「作って終わり」ではなく、戦略策定 → PoC(最短5日)→ 実装 → 運用 → 内製化までを一気通貫で支援するインテグレーターです。Agent Passport のような潮流を踏まえると、企業が整えるべきは特定ベンダーに依存しない、組織横断の検証・承認・監査レイヤーだと考えています。
具体的には、次の順序で備えるのが実務的です。
- 棚卸し: 自社で稼働中・検討中のエージェントを、ベンダー横断で一覧化する。「全社で何が動いているか」が見えていないなら、検証以前の問題です。
- 検証ゲートの設計: 本番投入の前に「何をテストするか」を公開標準(OWASP LLM Top 10 / NIST AI RMF / MITRE ATLAS)に紐づけて定義する。ベンダー提供の証明があればそれを取り込み、なければ自社の検証ゲートで補う。
- ランタイム統制と監査: 稼働中の行為を許可・ブロック・経路制御し、誰が何を承認し、エージェントが何をしたかを記録に残す。
この3つ目の「承認・統制・監査」を、ベンダーをまたいで一枚で持つための土台が Agens Control です。Agens Control は 承認フロー・DLP・5年分の監査ログ・RBAC を提供し、「どのエージェントが」「何を」「誰の承認で」実行できるかを組織のポリシーとして定義できます。Workday の Agent Passport が「Workday上のエージェントの安全証明」だとすれば、Agens Control は「全社のエージェント運用に対する承認・監査の共通層」を担う、という補完関係になります。
検証ゲートの設計そのものに不安がある場合は、AIエージェント・ブートキャンプで業務の棚卸し・プロトタイプ構築・ROI試算を3〜5日で行い、「何を本番に出してよいか」の判断基準を先に固めるところから始められます。
まとめ
Workdayの Agent Passport は、エンタープライズのエージェント運用が新しい段階に入ったことを示しています。
- エージェントは本番投入前の検証と運用中の継続監視を一体で求められる時代になった。
- 検証結果を OWASP LLM Top 10 / NIST AI RMF / MITRE ATLAS など公開標準に紐づけ、署名つき・監査可能な証跡として残すことが、規制対応とも整合する。
- ただしベンダー固有のパスポートは越境しない。検証・承認・監査の主語を自社に置き、組織横断のレイヤーとして設計することが、ロックインを避けつつ全社の保証を効かせる鍵になる。
「動くエージェント」を作るのは、もはや難しくありません。難しいのは、それを「本番に出してよい」と署名できる体制を持つこと。その体制づくりこそ、2026年後半に企業が取り組むべき次の一歩です。
自社のエージェントが「検証済み」と言える状態か、まずは棚卸しと検証ゲートの設計から始めませんか。homulaが、ベンダーに依存しない検証・承認・監査の設計を一気通貫で支援します。