「来月、AIエージェントを何体運用しているか即答できますか」——この問いに数字で答えられる日本企業は、まだ多くない。だが2026年、エンタープライズAIの論点は「エージェントを作れるか」から「増えすぎたエージェントをどう統制するか」へ急速に移っている。ガートナーは、2028年までに平均的なグローバルFortune 500企業が15万を超えるAIエージェントを運用する——2025年時点の「15体未満」から——と予測する(Gartner, 2026年4月28日)。
homula はエンタープライズ向けのAIエージェント・インテグレーターとして、PoCから運用・内製化までを支援する立場で、この「増殖フェーズ」の入り口に立つ企業を数多く見てきた。本稿では、いま世界の現場で「エージェント・スプロール(agent sprawl)」と呼ばれ始めた現象を整理し、各社の一次情報をもとに、統制のための実装設計を提示する。
エージェント・スプロールとは何か——シャドーITとは「危険の質」が違う
エージェント・スプロールとは、部門・チーム・個人が思い思いにAIエージェントを構築・導入した結果、誰が・何体・どんな権限で・どのデータに触れるエージェントを動かしているのかを、組織が把握も統制もできなくなる状態を指す。
一見すると、かつての「シャドーIT」や前述の野良AI(シャドーAI)の延長に見える。しかし危険の質が違う。シャドーITで持ち込まれた未承認SaaSは、基本的にデータを「保持する」受動的なリスクだった。対してエージェントは、自ら読み、判断し、書き込み、外部に作用する能動的なリスクである。承認なしに動くエージェントが1体増えるたびに、組織は新しい「実行する主体」を1つ抱えることになる。
スケール感はすでに現実だ。セールスフォースの「2026年版コネクティビティ・ベンチマーク」によれば、組織は平均12体のAIエージェントを運用しており、今後2年で67%増が見込まれる。にもかかわらず、約50%のエージェントは他と連携しない「サイロ」で孤立し、平均でAPIの27%が未統制(ungoverned)、正式な統制フレームワークを持つ組織は54%にとどまる(Salesforce, 2026)。
増殖そのものは悪ではない。問題は「数」ではなく「見えていないこと」だ。把握できていないエージェントは、最小権限の設計も、監査も、いざという時の停止もできない。ガバナンスは可視化から始まる。
数字の重さは、別の予測からも裏づけられる。ガートナーは、2027年末までにエージェント型AIプロジェクトの40%超が中止されると見ており、その主因にコスト、不明確な価値、そして不十分なリスク統制を挙げている(Gartner, 2025年6月25日)。統制の欠如は、安全性だけでなくプロジェクトの生存率そのものを左右する。
「とりあえず棚卸し」では止まらない——6ステップの全体像
では何から手をつけるか。ガートナーはエージェント・スプロールを管理する6つのステップを提示している(Gartner, 2026年4月28日)。
| # | ステップ | 要点 |
|---|---|---|
| 1 | ガバナンスとポリシーの確立 | 誰がいつ・どうエージェントを作り共有してよいか、許可するコネクタは何かを明文化 |
| 2 | 集中型インベントリの構築 | 公認ツールも野良も横断し、AI TRiSM等でエージェントを発見・分類 |
| 3 | アイデンティティ・権限・ライフサイクルの定義 | エージェントのID・権限モデル・アクセス制御を管理し、冗長なものは棚卸し・廃止 |
| 4 | AI情報ガバナンス | エージェントが触れる情報を統制し、過剰共有を防ぎ、陳腐化データを更新・退役 |
| 5 | 挙動の監視と是正 | 利用の可視化、ポリシー遵守、異常検知、スコープ逸脱の補正を継続的に |
| 6 | 責任あるAI文化の醸成 | 教育とコミュニティで現場の運用ベストプラクティスを広げる |
注目すべきは、棚卸し(ステップ2)が6つのうちの1つにすぎないことだ。「全エージェントを一覧化しました」で終わる組織は、実は入り口に立ったにすぎない。鍵を握るのはステップ3——エージェントを「非人間アイデンティティ(non-human identity)」として、人間と同じ厳密さで管理するという発想である。
この方向は主要ベンダーの製品にも表れている。マイクロソフトは2026年5月1日、エージェント・スプロールへの対応を明確に掲げた統制基盤「Microsoft Agent 365」を一般提供した。社内外のエージェントを一元把握するエージェント・レジストリ(AWS Bedrock・Google Cloud と同期するプレビュー)、エージェントに人間同様のID保護を与えるMicrosoft Entra Agent ID、Intune/Defender/Purview による実行時のブロックやデータ保護を束ねる構成だ(Microsoft, 2026年5月1日)。「エージェントを管理対象のアイデンティティとして扱う」というアプローチが、業界の共通解になりつつある。
一律ガバナンスが、かえって失敗を生む——自律度別の比例統制
ここで多くの企業が陥る罠がある。スプロールに気づいた組織は、反動で「全エージェントを一律にロックダウンする」方向に走りやすい。だがガートナーは2026年5月26日、全エージェントに一律のガバナンスを適用することこそが、エンタープライズAIエージェントの失敗を招くと警告した。同社は、2027年までに企業の40%が、本番障害が起きて初めて発覚するガバナンスギャップを理由に、自律エージェントを格下げ・廃止すると予測する(Gartner, 2026年5月26日)。
「企業はAIエージェントのガバナンスを二者択一——完全にロックするか、完全に信頼するか——として扱っており、それが失敗の根本原因だ」——Shiva Varma, Senior Director Analyst, Gartner
同じ統制を無差別に適用すると、2つの失敗モードが生じる。単純なエージェントの過剰制限は、提供を遅らせ現場を野良開発(シャドー化)へ追いやる。一方で高自律エージェントの過小制限は、運用・セキュリティ・コンプライアンスのリスクを跳ね上げる。処方箋は、自律度に応じた比例的(proportional)なガバナンスだ。ガートナーは4つの階層を示す。
| レベル | 種別 | できること | 必要な統制(例) |
|---|---|---|---|
| L1 | Observe(観測) | 定義済みデータへの読み取り専用。出力は依頼者のみ | 読み取り範囲の限定、最小権限 |
| L2 | Advise(助言) | 推奨・下書き・アクション案を生成。実行は人間が手動 | 出力レビュー、自動化バイアスへの注意 |
| L3 | Act-with-Approval(承認付き実行) | 書き込み・送信・設定変更を実行。ただし毎回の人間承認が前提 | アクション単位の承認フロー、監査ログ |
| L4 | Fully Autonomous(完全自律) | 高リスク。承認なしに自律実行 | 即時ロールバックとリアルタイムのサーキットブレーカー(緊急停止) |
L4の要件が示すのは重要な原則だ。自律エージェントが運用パラメータから逸脱し、予期せぬハルシネーションを起こし、あるいはプロンプトインジェクションに脆弱性を見せたとき、運用・セキュリティチームはシステムの権限を即座に剥奪・反転(kill / revert)できなければならない。自律度が上がるほど、「止める力」と「取り消す力」を設計に織り込むことが必須になる。これは、無人で走るエージェントにいかに秘密情報を渡さないかという設計論とも地続きである。
homulaの観点:統制を「後付け」にしない導入順序
エージェント・スプロールの教訓は明快だ——ガバナンスは、エージェントが増えてから足すものではなく、最初の1体から織り込むものである。homula は、この順序を崩さないことを支援の前提に置いている。
第一に、接続と統制を分離しない。homula のMCP活用基盤「Agens」は、200以上のツールと構築ゼロで接続できる一方、接続の入り口を一元化することで、上述の「APIの27%が未統制」という状態を構造的に防ぐ。野放図な個別接続ではなく、企業管理の認可(EMA)を前提とした接続レイヤーに寄せる。
第二に、4階層をそのまま運用に落とす。「Agens Control」は、L3で求められるアクション単位の承認フロー、L1〜L2の情報統制に効くDLP、全レベルで効くRBAC、そして事後の説明責任を支える5年分の監査ログを提供する。L4の緊急停止に相当する権限の即時剥奪も、RBACと承認設計の延長線上で運用できる。つまり、ガートナーの比例ガバナンスは概念にとどまらず、承認・監査・権限の具体的な部品に翻訳できる。
第三に、小さく始めて、統制込みで検証する。homula の「AIエージェント・ブートキャンプ」は、業務棚卸し・プロトタイプ構築・ROI試算を3〜5日で完結させる。ここで重要なのは、PoCの段階から「このエージェントはL1〜L4のどれか」「誰が承認し、誰が監査するか」を決めておくことだ。統制を後付けにしないからこそ、本番移行時に「障害が起きて初めてギャップに気づく」事態を避けられる。
スプロール対策の実務的な第一歩は、壮大な統制基盤の導入ではない。「いま動いている全エージェントを1枚の台帳に載せ、それぞれにL1〜L4の自律度ラベルと責任者を振る」——この棚卸しと分類だけで、議論の解像度は一気に上がる。
まとめ
2026年は、AIエージェントが「珍しいもの」から「数えきれないもの」へ変わる転換点だ。要点を再整理する。
- エージェント・スプロールは能動的なリスク。シャドーITと違い、エージェントは自ら読み・判断し・書き込む。見えていないエージェントは統制できない。
- 棚卸しは出発点にすぎない。鍵は、エージェントを非人間アイデンティティとして扱い、権限・ライフサイクルまで管理すること。Agent 365 などベンダーの動きもこの方向に収斂している。
- 一律統制は逆効果。自律度に応じた4階層(観測/助言/承認付き実行/完全自律)の比例ガバナンスが、過剰制限と過小制限の両方を避ける。
- 統制は後付けにしない。最初の1体から、承認・監査・権限・緊急停止を設計に織り込む。
増殖は止められない。だが「見えない増殖」は止められる。次の一歩は、自社で動くエージェントを台帳化し、自律度のラベルを振るところから始めればよい。
エージェントの増殖を「統制された資産」に変える設計は、最初の1体から始まります。homula は、接続・承認・監査を一体で支える基盤づくりを伴走します。