エンタープライズAIへの参入要件としてのガバナンス
MicrosoftはBuild 2026において、あまり注目されなかったが本来もっと注目されるべき静かな決断を下した。より強力なモデルや、より高機能なエージェントを発表する代わりに、Agent 365 SDKを一般提供(GA)とし、設計段階で有効化されるアイデンティティ、ポリシー、データのコントロールをその周囲に整備した。エージェントがプロダクション環境で何かを壊してしまった後ではなく、設計の段階でコントロールが機能するというアプローチだ。この決断が示す暗黙の賭けは、モデルの能力は大規模組織にとってのボトルネックではなくなったというものだ。エージェントプロジェクトを阻んでいるのはシステムの能力不足ではなく、そのエージェントが何をしているのか、どのデータを使っているのか、どのような認可の下で動作しているのか、誰の代わりに動いているのかを証明できないことにある。
これは技術的な主張ではない。組織内の権力構造に関するアーキテクチャ上の主張だ。
エージェントプロジェクトが法務レビューやリスク委員会、あるいはCISOのデスクで止まってしまう理由は、モデルの性能が悪いからではない。誰もこの3つの基本的な問いに答えられないからだ。このエージェントの存在を誰が承認したのか、何にアクセスできるのか、そしてそれを監査の場でどのように証明するのか。Microsoftはそのボトルネックを特定し、それを中心にプラットフォームを構築することを決断した。
Microsoftが理解したこと、そして競合他社が速度で解決しようとしていること
Agent 365 SDKには、Microsoftが「エンタープライズエージェントインベントリの信頼できる唯一の情報源」と説明する集中レジストリが付属している。このレジストリはDefender、Purview、Entra、Foundryと連携しており、大企業がすでに導入済みのセキュリティ、アイデンティティ、コンプライアンスのコントロールがエージェントのために複製される必要がないことを意味する。それらは拡張されるのだ。各エージェントは、いかなる人間ユーザーとも独立した固有のアイデンティティを持つことができる。管理者はどのエージェントが検出対象か、どれが隔離対象か、誰が作成できて、どのような条件下で動作するかを定義できる。
また、このレジストリは誰も承認していないまま稼働しているエージェントも検出する。Microsoftによれば、このシステムはModel Context Protocolサーバーを含む20種類以上のローカルエージェントタイプを認識するという。これはまさに、エンジニアリングチームが調達プロセスを経ずに素早くデプロイするタイプのインフラだ。「エージェントスプロール」と呼ぶのは、組織がすでにいかなるコントロールフレームワークの外でもエージェントを稼働させており、それがセキュリティ問題になる前にガバナンス問題であるという現実を上品に表現したものだ。
エージェントごとに固有の暗号化アイデンティティを中心にエージェントプラットフォームを構築したGoogle Cloudや、Bedrock AgentCoreでより速くより軽量な道を選んだAWSと比べて、Microsoftはすでに自分たちが優位に立つ領域を選んだ。それは、最大規模の法人顧客がすでに導入し、信頼を寄せているコントロールインフラだ。これは技術的な優位性ではない。20年にわたって企業のセキュリティチームと積み重ねてきた社会的資本の優位性だ。
浮かび上がるパターンは偶然ではない。3大クラウドプロバイダーはいずれも同じ概念的なアーキテクチャに収束しつつある。それはコンテナにとってのKubernetesが果たした役割を、エージェントに対して担うコントロールプレーンだ。違いは、MicrosoftがEntra、Intune、Defender、Purviewをほとんどの大企業内にすでに持ち込んでいることだ。エージェントガバナンスは予算上の正当化が必要な新しいプラットフォームとして到来するのではない。セキュリティチームが今日すでに運用しているものの拡張として到来する。
これを設計した部屋に誰がいたか、そしてそれが何を明らかにするか
ここで、構造的設計の観点からストーリーがより興味深くなる。Agent 365 SDKは、速く動きたい開発者の問題ではなく、法人購買者の問題を解決するために構築された。Microsoftが優先した機能群、すなわちレジストリ、アクセスコントロール、実行時のデータ損失防止、OSレベルのWindowsコントロールは、エージェントがデプロイ可能であることをCISO、法務チーム、コンプライアンス担当者に納得させるよう設計されている。これは、採用サイクルにおいて誰が拒否権を持つかを明らかにする設計の選択だ。
これは小さな細部ではない。プラットフォームが開発者の摩擦よりも前に監査者の摩擦を減らすよう設計される場合、大規模組織における阻止力は技術チームではなくコントロール機能にあることが明示的に認められている。Microsoftはエンジニアリングチームを説得するよりも、リスクチームを説得することでより多くの市場を獲得できると賭けた。この賭けは、他の企業が自社のエージェントツールの採用をどう考えるべきかという点に対して示唆を持っている。
これが提起する構造的な問いは、その設計の部屋に誰が入れなかったかだ。SDKはMicrosoftのプラットフォームだけでなく、あらゆるエージェントプラットフォームとの互換性を宣言しており、これは戦術的な開放性のシグナルだ。しかし、より強固なコントロールアーキテクチャはWindows、Entra、Microsoft Foundryの境界内で動作する。AWS、Google Cloud、レガシーなSaaSツール群でエージェントを動かしている企業は、Microsoft境界内での可視性は得られるが、同時にその境界への深い依存も引き受けることになる。マルチクラウドのガバナンスは、3大プロバイダーのいずれによっても事実上未解決の問題のままだ。SaviyントやTrueFoundryのような独立系ベンダーが存在するのは、まさにその需要が現実のものであり、ハイパースケーラーのプラットフォームでは満たされていないからだ。
もう一つ、正確に述べる価値があることがある。MicrosoftはBuildの前、2026年4月にAgent Governance ToolkitをMITライセンスのオープンソースプロジェクトとして公開した。同社はこれを、OWASPが特定したアジェンティックAIの10のリスクに対して1ミリ秒未満の決定論的なポリシー適用で対応する、最初のツールキットとして位置づけている。これは、他の誰かが定義する前に標準を定義しようとするムーブだ。支配的なプレイヤーがセキュリティの参照フレームワークをオープンソースで公開する場合、それは寛大さの表れではない。自分たちの概念的アーキテクチャを業界の議論の中心に据えているのだ。
販売プレゼンテーションが決して触れないガバナンスのコスト
Microsoftは自らが生み出す問題のすべてを解決しているわけではない。このアーキテクチャを採用する組織が関与する前に明示しておくべき3つの摩擦がある。
1つ目は、Build 2026で発表された内容のうち重要な部分がまだ一般提供ではなく、プレビュー段階にあることだ。DefenderとGitHub Code Securityの統合は利用可能だ。エージェント向けWindows 365も利用可能だ。しかし、100以上の専門エージェントを使用するMDASHアジェンティックスキャンシステム、PurviewのランタイムコントロールやDefenderの複数の機能はまだプレビュー段階か、確認待ちの日程のままだ。プレビュー段階の機能に依存して構築されたガバナンスプランは、空白を抱えたプランだ。
2つ目の摩擦は運用上のものだ。組織を守るコントロールの各レイヤーは同時に開発者を遅らせる。コントロールを過度に設定したチームは、承認プロセスに3週間かかるためレジストリの外でエージェントをデプロイするという代替手段を探すエンジニアが現れるのを目にすることになる。過度な摩擦を生むガバナンスは、レジストリが検出するよう設計された管理されていないエージェントのスプロールをまさに生み出す。これは技術の問題ではなく、組織設計の問題だ。
3つ目の摩擦は戦略的なものだ。Agent 365をコントロールレイヤーとして採用した組織は、Microsoft境界内での真の可視性を得る。同時に引き受けるのは、その境界への深い依存だ。これはプラットフォームに対する反論ではない。誠実なアーキテクチャ上の意思決定においては考慮されるべき変数だ。3大プロバイダーがいずれもサポートすると言うModel Context Protocolのような標準によるガバナンスの移植性は、プレスリリースほど実際には利用可能でないかもしれない。
企業コントロールの新たなフロンティアとしての非人間アイデンティティ
Microsoftが構築しているものを製品用語なしに説明すると、人間ではないがまるで人間であるかのように行動できるエンティティのためのアイデンティティと認可システムだ。機密データを読み、ツールを呼び出し、プロセスを起動し、組織の代わりに意思決定を行うエンティティのためのシステムである。この問題は2年前にはこの規模では存在していなかった。
予算上の示唆は直接的だ。モデルへのアクセスや実験に充てられていた支出は、実験を承認済みのデプロイに変換するアイデンティティとガバナンスのレイヤーのための予算枠を必要とするようになった。エージェントが自律的にデータを読んでアクションを起動できるようになれば、その支出は任意ではなくなる。非人間アイデンティティは、企業の境界が物理的な壁でなくなって以来、組織が人間のアイデンティティを扱うのと同じ緊急性を持つ、一流の問題になる。
Microsoftのムーブは、組織が複数のクラウドをまたいで数十のSaaSツールとサードパーティプラットフォーム上に構築されたエージェントを運用する場合に、ガバナンスがどれほどうまく機能するかという問いを解決しない。しかし、どの組織がエージェントをスケールできて、どの組織が法務レビューで潰れるパイロットプロジェクトのサイクルに閉じ込められ続けるかを決定する権力の力学は明らかにしている。規制当局や取締役会が求める前に、各エージェントが何をしたか、どのデータを使ったか、どのような認可の下にあったかを証明できる能力こそが、デプロイする者と無限に実験し続ける者を分ける基準になるだろう。
Microsoftがタスクを提示するのは、Build 2026で発表されたアーキテクチャはその問題を解決する唯一の方法ではないということだ。しかし、最大規模の組織がすでに導入しているコントロールインフラとともにパッケージ化されて到来する最初のアーキテクチャであることは確かだ。この配布上の優位性は技術的なものではない。構造的なものであり、セキュリティのベンチマークよりもはるかに複製が難しい。
