Agens Control
AIを止めるな。
統制せよ。
部門ごとにAIツールが乱立し、誰が何をしているか分からない — Agens Controlは、どのAI基盤を使っていても全経路を統一的に統制する、エンタープライズ・ガバナンス基盤です。
Agens Controlは、homulaが開発したAIエージェント専用のエンタープライズ・ガバナンス基盤です。Gateway(統合ゲートウェイ)とGuard(実行統制)の2層構造により、12のエンタープライズ機能を提供し、n8n・Dify・LangGraph等どのエージェント基盤からの実行も統一的に統制します。
The Risk
AIエージェント、統制なき運用のリスク
AIエージェントが業務システムのAPIを直接叩く時代において、従来の「人間がブラウザで操作する」前提のセキュリティでは対応できない、構造的な課題があります。
機密情報の社外漏洩
AIが社外秘データを外部ツールに送信
Controlがない場合
損害賠償・信用失墜
対応機能
WAF/DLP(Block)
監査証跡の欠如
AIの操作ログが残っていない
Controlがない場合
J-SOX違反・上場維持リスク
対応機能
5年監査ログ
権限の無秩序
全社員がすべてのツール・データにアクセス可能
Controlがない場合
意図しないデータ削除・改ざん
対応機能
RBAC/ABAC
AIの暴走(承認なし実行)
基幹システムへの書き込みが承認なしで実行
Controlがない場合
誤データ登録・月次決算への影響
対応機能
承認ワークフロー
統制の抜け穴
部門ごとにAIツールが乱立、情シスから見えない
Controlがない場合
ガバナンスの形骸化
対応機能
共通MCPエンドポイント
認証情報の散在
APIキーがファイルに平文保存、個人PCに散在
Controlがない場合
漏洩リスク・退職者の権限残存
対応機能
Credential Vault + IdP連携
Architecture
2層構造で、入口から出口まで統制する
オーケストレーション層
Agensチャット / n8n / Dify / LangGraph / Copilot
各部門が好みのAI基盤を自由に選択
共通MCPエンドポイント
① Control Gateway
「誰が、どこから来たか」を識別
Identity解決 / Credential Vault / スキーマキャッシュ
② Control Guard
「何を許可し、何を止めるか」をルール適用
権限チェック / WAF・DLP / 承認WF / 監査ログ
Agens Execution + Skills
安全に実行 → 業務システムへ
Control Gateway
統合ゲートウェイ
ビルの受付。来訪者の身分証を確認し、訪問先フロアを案内する。
- 共通MCPエンドポイント(全AI基盤の一元受付)
- Identity & User Service(ユーザー識別・紐づけ)
- Credential Vault(認証情報の暗号化保管)
- スキーマ定義キャッシュ+同期
- ツール&スキルカタログ
Control Guard
実行統制
各フロアのセキュリティゲート。入室権限をチェックし、持ち込み禁止物を検査し、入退室を記録する。
- 承認ワークフロー(破壊的操作の事前承認)
- WAF/DLP(Warn / Redact / Block 3段階)
- 5年監査ログ(J-SOX対応レポート出力)
- RBAC/ABAC(ロール・属性ベースの権限管理)
- エージェントID管理
- メトリクス&Observability
- 閉域網対応(オンプレ / VPC / NTT網)
- IdP連携(Azure AD / Okta / Google Workspace)
この2段構えにより、どのAIエージェント基盤を使っていても、統制は一元化されます。
Design Philosophy
承認境界 — 自律実行と人間の承認を事前に線引きする
日本企業の稟議・決裁文化と完全に整合します。最初は多くの操作を「承認必須」に設定し、AIの動作に信頼が蓄積されたら徐々に「自律実行OK」に変更する — この段階的な信頼構築アプローチが、承認境界設計の核心です。
| 操作種別 | 具体例 | 自律実行 | 承認必須 | 考え方 |
|---|---|---|---|---|
| 読み取り | メール受信、データ検索、ログ収集 | — | 見るだけなので影響は小さい | |
| ドラフト生成 | 返信文案、レポート下書き | — | まだ外部に出ない | |
| 通知 | Slackアラート、承認依頼送信 | — | 社内通知は低リスク | |
| 書き込み | 基幹システムへのデータ登録 | — | 本番データの変更 | |
| 外部通信 | 社外メール送信、外部API呼出 | — | 社外に情報が出る | |
| 削除 | データ削除、権限変更 | — | 取消が困難 | |
| 金額閾値超過 | 設定額以上の処理 | — | 財務影響が大きい |
実際のユーザー体験
「請求書をGmailから取得して、kintoneと突合して、問題なければマネーフォワードに仕訳登録して」
Step 1: Gmail APIでPDFを取得
読み取り → 自律実行
Step 2: kintoneの発注データと照合
読み取り → 自律実行
Step 3: 登録データをドラフト生成
ドラフト → 自律実行
Step 4: マネーフォワードに仕訳登録
書き込み → 承認待ち
→ 鈴木課長にSlack通知 → 承認ボタン → 実行再開
Step 5: 完了報告をSlack送信
通知 → 自律実行
所要時間: 7秒(承認待ち時間を除く)
Gateway Features
Control Gateway — 5つの機能
共通MCPエンドポイント
企業のすべてのAIエージェントが接続する「統一入口」を1本のURLで提供。
なぜ必要か
AI基盤が複数あると、それぞれが個別にSalesforceやSlackに接続し、情シスから「誰がどこに繋いでいるか」が把握できない。
身近な例え
会社の電話を全て代表番号に集約するのと同じ発想。
Identity & User Service
AIエージェントからのリクエストに含まれるユーザーID・テナントIDを読み取り、「この操作は社内の誰が行ったものか」を紐づけ。
なぜ必要か
AIは「Bot」として動作するため、そのままでは「ボットがやった」としか記録されない。「誰が」「どのAI基盤から」「何をしたか」の一元管理が必要。
身近な例え
社員証でオフィスに入ると入退室記録が残るのと同じ。
Credential Vault
SalesforceのOAuthトークンやSlackのAPIキーなどを暗号化して安全に保管。入口認証(AI→Agens)と出口認証(Agens→SaaS)を分離し、Shared/Personal切り替えにも対応。
なぜ必要か
認証情報がファイルに平文保存されたり個人PCに散在すると、漏洩リスクが極めて高い。期限切れの自動警告も管理者に送信。
身近な例え
会社の実印や通帳を金庫に入れ、鍵を持つ人を限定する。
スキーマ定義キャッシュ+同期
各外部ツールの「何ができるか」の定義情報をAgens側にキャッシュし、高速返却。手動同期+定期自動同期。
なぜ必要か
「Agensを挟んだらエージェントが遅くなった」と言われないためのパフォーマンス対策の心臓部。
身近な例え
レストランのメニュー表をテーブルに置いておく。毎回厨房に聞きに行かない。
ツール&スキルカタログ
利用可能なツールとスキルパック(SKILL.md)をカタログとして整理・検索可能に提供。
なぜ必要か
「どの場面でどのスキルパックを使うべきか」を人間にもエージェントにも提示。未承認ツール利用(シャドーAI)を防止。
身近な例え
社内の承認済みソフトウェアカタログと同じ。
Guard Features
Control Guard — 8つの機能
承認ワークフロー
破壊的操作(書き込み・削除・社外通信)の実行前に人間の承認を必須化。Slack / Microsoft Teams連携で承認者に自動通知。
ユーザー指示 → AI実行計画生成 → Guard判定 → 実行一時停止 → 承認者に通知 → 承認/却下 → 実行再開/中止
WAF / DLP
AIが外部ツールに送信するJSONペイロードを全件検査。機密情報の検知時にWarn(警告)・Redact(マスク)・Block(遮断)の3段階で対応。
正規表現マッチングに加え、AIが文脈から機密性を判断するAI判断型DLP搭載。プロンプトインジェクション攻撃の検知・遮断にも対応。
5年監査ログ
「誰が / どのAI基盤から / どのツール / どのスキルパック / どの引数で / 何回呼んだか」をタイムスタンプ付きで5年間保存。
CSV/JSONでの検索・エクスポートに加え、J-SOX内部統制報告書に直接利用可能なレポートテンプレートを提供。
RBAC / ABAC
ロール(役割)+属性(部署・役職・勤務地等)の組み合わせによる権限管理。スキルパック単位で「誰が・どのツールを・どのアクションまで使えるか」を定義。
経理部ロールには会計系ツールへの読み取り/書き込みを許可し、営業部ロールにはCRM系のみ許可、といったきめ細やかな制御が可能。
エージェントID管理
「誰が」「どのエージェント基盤から」「何をしたか」を一元追跡。同一ユーザーが複数の経路(Agensチャット / n8n / Dify)からアクセスした場合も統合管理。
問題発生時に「どのルートで行われた操作か」を即座に特定し、影響範囲を迅速に把握。
メトリクス&Observability
ツール別・ユーザー別・スキルパック別の利用状況をダッシュボードでリアルタイム確認。リクエスト数、ブロック数、DLP検知数、エラー率、レイテンシを可視化。
「AIを入れたけど効果がわからない」への回答。ROIを定量的に示し、異常な利用パターンの早期検知にも活用。
閉域網対応
オンプレミス / AWS VPC / NTT網へのデプロイに標準対応。データがインターネットに一切出ない構成が可能。
金融・通信・製造など、機密データの社外送出を許容できない企業の必須要件に対応。
IdP連携
Azure AD / Okta / Google WorkspaceとOIDC/SAML連携。既存IDでAgensにSSO。退職時はIdP側の無効化で自動的にアクセス不可。
Agensのために別のID・パスワードを新たに管理させる必要がなく、情シスの運用負荷を最小化。
Scenario
1つの業務シナリオで、12の機能すべてが動く
従業員500名の製造業・株式会社ACME。経理部の田村さんがAgensに「今週届いた請求書をGmailから取得して、kintoneの発注データと突合して、差異があれば差戻し、問題なければマネーフォワードに仕訳登録して」と指示した際の、12機能の動作フローです。
田村次郎
経理部・一般社員
請求書をAIに処理してもらう
鈴木課長
経理部・課長
AIの処理結果を承認する
山田太郎
情報システム部
Agens管理者として監視する
共通MCPエンドポイント
mcp.acme.agens.jp でリクエスト受付
Identity & User Service
user_id: tamura-002 → 田村次郎(経理部)と特定
エージェント基盤識別
リクエスト経由 = Agensチャット(Execution直接)と記録
スキーマ定義キャッシュ
Gmail / kintone / マネーフォワードのツール定義をキャッシュから高速返却
Credential Vault
各サービスの認証情報を暗号化保管庫から取得。kintoneの期限警告を管理者に送信
RBAC/ABAC
経理部ロールの権限チェック。Gmail読取=✅ / MF書込=🟡承認必須 / 社外メール=🔴禁止
WAF/DLP
Warn(社員番号検知)→ Redact(カード番号マスク)→ Block(社外秘で送信停止)
5年監査ログ
全操作を「誰が/どの経路から/何を/どう処理したか」まで記録
承認ワークフロー
マネーフォワードへの仕訳登録で一時停止 → 鈴木課長がSlackで承認 → 実行再開
メトリクス
リクエスト数/遮断数/DLP検知数をダッシュボードでリアルタイム表示
IdP連携
Azure AD経由でログイン。退職時はAzure AD無効化で自動ロック
閉域網対応
社内ネットワーク内でAgensが稼働。データはインターネットに一切出ない
Comparison
個人向けAI・ワークフローツールとの決定的な違い
| 機能 | 個人向けAI | ワークフローツール | Agens Control |
|---|---|---|---|
| 認証情報管理 | 設定ファイルに平文保存 | 手動で個別管理 | Credential Vaultで暗号化一元管理 |
| 承認ワークフロー | なし | 限定的 | 操作種別ごとに詳細設定(Slack/Teams連携) |
| データ漏洩防止 | なし | なし | WAF/DLP(AI判断型、Warn/Redact/Block) |
| 監査ログ | なし | 基本ログのみ | 全操作5年保存 + J-SOXレポート出力 |
| 権限管理 | なし | 基本的なもの | RBAC/ABAC + スキルパック単位制御 |
| 閉域網対応 | 不可 | 自己運用が必要 | 標準サポート(オンプレ/VPC/NTT網) |
| 外部エージェント統制 | 不可 | 不可 | 統合ゲートウェイで全経路一元管理 |
| プロンプトインジェクション対策 | なし | なし | WAFで不正プロンプト検知・遮断 |
Agens Controlは、既存のn8n・Difyを置き換えるものではありません。n8n/Difyからの実行もAgens Controlの共通MCPエンドポイント経由で統一的に統制でき、認証情報をCredential Vaultで一元管理することで、オーケストレーション基盤側にAPIキーを平文保存する必要がなくなります。
Implementation
導入ステップ
Step 1
アセスメント
現在のAI利用状況の棚卸し、セキュリティポリシー要件の整理、リスク評価
Step 2
ポリシー設計
承認境界の定義、RBAC/ABACの権限マトリクス設計、WAF/DLPルール策定、監査要件定義
Step 3
全社展開
Control Gateway + Guardの本番設定、IdP連携、5年監査ログ設定、部門別オンボーディング
サービス体系との接続
Agens Controlの導入は、homulaのサービス体系のPhase 4: Governに相当します。Phase 1(アセスメント)〜Phase 3(Agent Skills開発)で部門レベルのAI活用を実証した後、Phase 4で全社基盤化する段階的アプローチを推奨します。
オーケストレーション層
Agensチャット / n8n(営業) / Dify(CS) / Copilot
共通MCPエンドポイント
Agens Control
Gateway: Identity + Credential Vault
Guard: 権限 + WAF/DLP + 承認WF + 監査ログ
Agens Execution + Skills
動的ツール発見 → 自動組み立て → サンドボックス
よくある質問
いいえ。Agens Controlは既存のAI基盤と共存する設計です。n8n・Dify・LangGraph等のオーケストレーション基盤は、Agens Controlの共通MCPエンドポイントに接続するだけで、統一的なガバナンスの下で引き続き利用できます。
標準的な導入は1〜3ヶ月です。homulaのFDE(Forward Deployed Engineer)がセキュリティポリシー策定から全社展開までを一気通貫で支援します。部門レベルのPoC(Phase 1-3)を経てからPhase 4としてControl導入する段階的アプローチも推奨しています。
全操作を「誰が / どのAI基盤から / どのツール / どのスキルパック / どの引数で / 何回呼んだか」をタイムスタンプ付きで5年間保存します。CSV/JSONでのエクスポートに加え、J-SOX内部統制報告書に直接利用可能なレポートテンプレートを提供しています。
はい。SaaSに加えて、オンプレミス、AWS VPC、NTT網へのデプロイに標準対応しています。データがインターネットに一切出ない構成が可能です。
承認が必要な操作が発生すると、Slack / Microsoft Teamsで承認者に自動通知されます。承認者はSlack / Teams上のボタンで承認・却下でき、承認後にAIの実行が自動再開します。
はい。機密情報の検知パターン(社員番号、カード番号、マイナンバー等)と、検知時のアクション(Warn / Redact / Block)を企業のポリシーに応じて個別に設定できます。正規表現ベースのルールに加え、AIが文脈から機密性を判断するAI判断型DLPも利用可能です。
はい。Agens Skillsで部門レベルのAI活用を開始し、全社展開のフェーズでAgens Controlを追加導入する段階的アプローチが可能です。homulaのサービス体系(Phase 0〜5)に沿って、段階的に導入範囲を拡大できます。
OIDC / SAML標準に対応しているため、標準的なIdP連携は数日で完了します。Azure AD、Okta、Google Workspaceとの連携実績があります。
AIの全社展開を、
統制された状態で始める
Agens Controlの導入は、3-5日のブートキャンプから始められます。AIエージェントの業務適用可能性とガバナンス要件を同時に評価し、全社展開への道筋を明確にします。