要点
AIエージェントの権限設計は、すべてのアプリを接続することから始めてはいけません。狭くても有用な業務を選び、読み取り、下書き、送信、削除を分け、取り消しにくい行動には承認を置き、外部システムを変えるツール呼び出しにはログと復旧経路を用意します。
- アプリ全体の権限ではなく、行動単位の権限から設計します。
- 読み取り、下書き、作成、更新、送信、エクスポート、削除、返金、承認は別の権限です。
- 人の承認は最後の確認ではなく、高リスクなツール呼び出しの直前に置きます。
- 外部システムを変更する行動には追跡可能なログと復旧手順が必要です。
- 権限拡張は段階的に行い、見直し日と取り消し方法も決めます。
- 向いている読者
- AIエージェントを業務システム、API、文書、コミュニケーションツール、自動化基盤に接続する設計者、運用者、コンサルタント、技術チーム。
- テーマ
- 自動化
- 最終確認
- 2026年6月13日
ワークフローの要点
このガイドを自動化フローに変えるための実用マップです。
- 01 入力
繰り返す業務、必要な入力データ、担当者、成功基準を先に決めます。
- 02 AI処理
AIは下書き、分類、要約、振り分け、ツール実行など、範囲が明確な工程に置きます。
- 03 人の確認
承認、例外処理、コスト上限、慎重な判断は人が確認できるように残します。
- 04 出力
結果をチェックリスト、保存プロンプト、SOP、監視できる自動化実行に落とし込みます。
- AIエージェント
- AI自動化
- 権限設計
- 最小権限
- ツール呼び出し
導入前の確認
ツール選びではなく、ワークフロー判断として使う。
自動化する前に、入力データ、人が確認する地点、導入後に見る指標を決めておきます。
最初に反復可能にする工程はどれか。
AIエージェントを実際のツールに接続する前に、何を読み、作成し、変更し、送信し、エクスポートし、削除できるかを決めるためのガイドです。
6 参照した公開情報
変わりやすい機能や価格は、参照先と公式情報で確認してから判断します。
リソースを見る
大きく変える前に小さな試行を行い、確認地点が明確になってから広げます。
- アプリ全体の権限ではなく、行動単位の権限から設計します。
- 読み取り、下書き、作成、更新、送信、エクスポート、削除、返金、承認は別の権限です。
- 人の承認は最後の確認ではなく、高リスクなツール呼び出しの直前に置きます。
- 外部システムを変更する行動には追跡可能なログと復旧手順が必要です。
業務フロー
このガイドがつながる業務フロー
読んでいるガイドが、どの業務フローに関係するのかを確認できます。
自動化プラットフォーム、アプリビルダー、エージェントビルダー、会計ツール、汎用AIアシスタントを比較するルートです。
関連トピックを見る- 向いている場合
- 単体ツール購入、社内ワークフロー構築、広いプラットフォーム導入で迷うチーム
- 向かない場合
- 繰り返しのきっかけ、担当者、入力がまだ決まっていない場合は、自動化より先に業務の形を整える方がよいです。
AIエージェントは、実際のシステムに触れた瞬間からリスクの性質が変わります。ポリシー文書を読むだけなら比較的安全です。しかしCRMのステージを変更し、顧客へメールを送り、顧客データをエクスポートし、返金を承認し、レコードを削除するなら話は別です。
問いを変える必要があります。「このアプリに接続できるか」ではなく、「どの行動を、どのデータに対して、どの承認条件で許可し、間違ったときにどう戻すか」です。
このチェックリストは、AIエージェントをツール、API、文書、ブラウザ操作、自動化プラットフォームにつなぐ前の権限設計に使います。セキュリティレビューの代わりではありませんが、実運用に入れる前に最低限決めるべき構造を示します。
早わかり
狭くても有用なワークフローから始め、必要なツール呼び出しをすべて書き出します。最初は読み取り専用にし、送信より下書きを先に許可します。作成は更新より先、更新は削除よりずっと慎重に扱います。エクスポート、削除、返金、支払い、法務、顧客通知、権限変更は高リスク行動です。高リスク行動には、担当者の承認、入力と出力の保存、監査ログ、復旧経路が必要です。
誰が権限を所有するのか、なぜ必要なのか、エージェントがしてはいけないことは何か、どう取り消すのかを説明できないなら、その権限はまだ許可すべきではありません。
権限はワークフロー設計です
OpenAI Agents SDKの文書は、エージェントをモデル、ツール、指示、ハンドオフ、ガードレール、状態で構成されるシステムとして扱います。つまり権限はOAuth画面だけの問題ではなく、ワークフロー構造の一部です。
リスクの側面から見ても同じです。OWASP Agentic Applications Top 10は、計画し、行動し、ツールを使い、通常のチャットボットより自律性が高いシステムを対象にしています。できることが増えるほど、権限は明確でなければなりません。
実務では権限を4層で考えます。
| 層 | 問い | 例 |
|---|---|---|
| データ | 何を見られるか | 顧客プロフィール、請求状態、契約メモ |
| 行動 | 何ができるか | 検索、下書き、更新、送信、エクスポート、削除 |
| 承認 | いつ止めるか | 顧客送信前、金銭や契約データ変更前 |
| 復旧 | 間違ったらどうするか | トークン取り消し、レコード復元、担当者通知、ログ再確認 |
復旧層を省かないでください。復旧設計があるからこそ、自動化は管理可能な運用システムになります。
まず権限インベントリを作る
接続前に権限インベントリを作ります。退屈なほど具体的であるべきです。1行でも曖昧なら、まだ本番運用に入れる段階ではありません。
| 業務ステップ | ツール | 触れるデータ | エージェントの行動 | 必要権限 | 実行主体 | 責任者 |
|---|---|---|---|---|---|---|
| 問い合わせを読む | 共有受信箱 | 本文、送信者、スレッド | 読み取りと分類 | 受信箱読み取り | サービスアカウント | サポート責任者 |
| CRMメモを作成 | CRM | 連絡先、会社、案件メモ | メモ作成 | 連絡先読み取り、メモ作成 | ボットユーザー | 業務運用 |
| 返信下書き | ヘルプデスク | チケット文脈、ポリシー | 下書きのみ | チケット読み取り、下書き保存 | ボットユーザー | サポート責任者 |
| 返信送信 | ヘルプデスク | 顧客メール | メッセージ送信 | 承認済みチケット送信 | 人が承認した行動 | サポート責任者 |
| 状態更新 | プロジェクトボード | タスク状態、担当者 | ステータス移動 | 状態更新 | ボットユーザー | 業務運用 |
この表は「アプリを丸ごと接続する」問題を防ぎます。エージェントに必要なのはアプリ全体ではなく、ワークフロー内の小さな行動セットです。
行動権限マトリクスを使う
最も実用的な権限モデルは行動単位です。標準で許可する行動と、承認が必要な行動を分けます。
| 行動タイプ | 基本方針 | 承認 | ログ | 復旧 |
|---|---|---|---|---|
| 検索・読み取り | 範囲が狭ければ許可 | 通常不要 | 機密データは必要 | 権限取り消し |
| 要約 | 許可 | 不要 | ソースID保存 | 再生成 |
| 下書き | 許可 | 内部下書きは不要 | プロンプトと出典保存 | 下書き破棄 |
| 内部レコード作成 | 条件付き | 場合により必要 | 作成記録保存 | アーカイブまたは削除 |
| 外部レコード更新 | 制限 | 顧客、財務、法務、規制関連は必要 | 変更前後の値保存 | 以前の値に戻す |
| メッセージ送信 | 制限 | 低リスクのテンプレート以外は必要 | 受信者、本文、承認者保存 | 訂正連絡と記録 |
| データエクスポート | 制限 | 必要 | 範囲と送信先保存 | リンク無効化、トークン交換、通知 |
| 削除、返金、承認、署名 | 標準で禁止 | 常に必要 | 完全な監査証跡 | 手動復旧計画 |
原則は単純です。ワークフローの外にいる人やシステムへの影響が大きいほど、自律性は低くします。
承認ゲートは遅すぎてはいけない
最後に一度だけ承認する設計は、しばしば遅すぎます。よい承認ゲートは、コストの大きい行動が実行される前に、判断材料が見える場所で止まります。
次の条件では承認ゲートを置きます。
- 組織外へメッセージを送る。
- 金銭、契約、アカウント、法務、顧客状態データを変更する。
- 初めて使う権限でツールを呼び出す。
- 不確かな資料に依存して結論を出す。
- 苦情、セキュリティ問題、返金、法的表現、解約、アカウント変更が含まれる。
- エージェントが自分のツールアクセスを広げたり、別の自動化を変えたりする。
OpenAI Agents SDKのhuman-in-the-loopパターンのように、ワークフローを一時停止し、承認または拒否を受け、その決定で再開できる構造が有効です。
OAuthとAPI権限は狭くする
OAuth scopeとAPI権限は、エージェントプロジェクトが過剰になりやすい場所です。「Google Workspaceを接続する」「Microsoft Graphを接続する」は権限設計ではありません。境界のないリスクモデルです。
承認前に次を確認します。
| 要求権限 | より狭い代替 | 維持してよい条件 |
|---|---|---|
| すべてのファイル読み取り | 選択フォルダまたは選択ファイルのみ | 広い検索が必須で出典ログがある |
| ユーザーとしてメール送信 | 下書き作成のみ | 承認済みテンプレートと送信ゲートがある |
| 全CRMレコードの読み書き | 連絡先読み取りとメモ作成のみ | フィールド更新が本当に必要 |
| レポートのエクスポート | ツール内要約 | 外部エクスポートが必要で送信先が記録される |
| 管理者権限 | 人の管理操作に分離 | 安全なエージェント用途はほぼない |
Google OAuth scopeの文書とMicrosoft Graph permissions overviewは、広い権限がどれほど大きくなるかを見る参考になります。広い権限の前に、必ず狭い代替を検討します。
運用者が読めるログを残す
監査ログは生のトークンの山ではありません。人が何が起きたかを再構成できる必要があります。
重要なツール呼び出しごとに残す項目です。
run_idとワークフロー名- ユーザー依頼またはトリガー元
- エージェント指示のバージョン
- ツール名と行動タイプ
- 入力レコードまたはソースID
- 出力先
- 更新前後の値
- 承認依頼、承認者、時刻
- 可能なら確信度または判断理由
- エラー、再試行、fallback、エスカレーション状態
- 復旧状態
顧客から苦情が来たとき、請求が間違ったとき、レコードが予期せず変わったとき、このログは最初の問いに答えるべきです。「エージェントは何をし、なぜ許可されたのか」
権限は段階的に広げる
自律性から始めてはいけません。観察から始めます。
| 段階 | 許可行動 | ブロック行動 | 拡張根拠 |
|---|---|---|---|
| 1. 観察 | 読み取り、分類、要約 | 下書き、送信、更新、エクスポート、削除 | レビュー済み実行で分類品質を確認 |
| 2. 下書き | 内部下書きとメモ作成 | 外部送信、金銭、削除 | 編集率が低く出典利用が明確 |
| 3. 承認後実行 | 人の承認後に実行 | 自己承認、権限変更 | 承認が予測可能でログが完全 |
| 4. 限定的自律実行 | 低リスクの反復行動 | 高リスク項目、エクスポート、破壊的行動 | 失敗率が安定し復旧テスト済み |
| 5. 範囲拡張 | 新しい行動を1つずつ追加 | 広範な管理者権限 | 責任者と見直し日がある |
この段階的な方法は、NIST AI Risk Management Frameworkの考え方にも合います。リスクを特定し、挙動を測定し、管理策を運用し、ガバナンスを見える状態に保ちます。
リリース前に取り消しと復旧を決める
権限設計は、止め方まで決めて初めて完成します。
緊急時チェックリストで答えるべきことです。
- どのトークン、ボットアカウント、APIキー、ワークフロー、統合を最初に止めるか。
- 担当者が不在のとき誰がエージェントを停止できるか。
- 片付けの前にどのログを保存するか。
- どの外部システムに訂正連絡が必要か。
- どのレコードを変更前後ログから復元するか。
- どの権限を恒久的に削除するか。
- どの証拠があれば再有効化できるか。
復旧設計は悲観論ではありません。実運用で自動化を受け入れるための条件です。
例: 顧客フォローアップエージェント
問い合わせを読み、CRMの文脈を確認し、返信下書きを作り、フォローアップタスクを作成し、将来的に送信まで行うエージェントを考えます。
初日からCRMと受信箱の全権限を与えてはいけません。
最初は次から始めます。
- 特定キューの受信箱読み取り
- 一致した連絡先だけのCRM読み取り
- 内部メモ作成
- 返信下書き作成
- 送信権限なし
- 案件金額、状態、返金、契約、担当者フィールドの更新なし
- すべての出典と下書き生成のログ保存
レビュー済み実行で編集率が低ければ送信ゲートを追加します。エージェントはメッセージを準備し、人が承認します。低リスクなテンプレート送信を自動化するのはさらに後で、苦情、解除、エスカレーション、訂正処理まで整っている場合だけです。
よくある質問
AIエージェントは人のアカウントを使うべきですか?
継続的なワークフローでは通常おすすめしません。名前のあるボットアカウントやサービスアカウントの方が監視、取り消し、制限が簡単です。ユーザー委任が必要な場合は、委任を明示し、広い権限を避けます。
読み取り専用なら常に安全ですか?
いいえ。読み取り専用でも顧客情報、財務情報、法務資料、内部戦略が露出する可能性があります。書き込みより安全なだけで、範囲、ログ、データ処理ルールは必要です。
承認なしでメッセージ送信できるのはいつですか?
低リスク、テンプレート化、復旧可能、受信者が予期している、監視されている場合だけです。苦情、返金、法的表現、アカウント変更、セキュリティ問題、価格交渉では人の承認を残します。
最も多い権限ミスは何ですか?
行動単位の権限を設計せず、早く接続するためにアプリ全体の権限を与えることです。設定時間は短くなりますが、運用リスクは大きくなります。
次のステップ
まだ業務境界が曖昧なら、AIワークフロー監査スコアカードから始めてください。すでにプラットフォームやモデルルーティングを選んでいるなら、リリース前に自動化スタック比較と合わせて、この表を権限インベントリとして確認してください。
参照した公開情報
機能、価格の文脈、比較上の判断を確認するために参照した主な公開ページです。
