AI & Data リリースノートまとめ
AWS Bedrock のロゴ

AWS Bedrock / 公式ブログ / 2026/06/01 / 重要

Amazon Bedrock AgentCore Gateway、Policy と Lambda interceptor でAIエージェント統制を強化

AIagentセキュリティ

公式ブログ原文

AWS は 2026年6月1日、Amazon Bedrock AgentCore Gateway で ポリシー interceptor と Lambda interceptor を使い、AIエージェントのツール呼び出しを統制する方法を紹介しました。MCP やエージェント基盤を本番運用するチームにとって、権限、監査、入力検証、応答制御を考えるうえで重要な記事です。

要点

  • AgentCore Gateway の前後に ポリシー interceptor と Lambda interceptor を置ける
  • ポリシー interceptor は Cedar ポリシー による決定的な allow / deny と監査ログを担う
  • Lambda interceptor は入力検証、payload enrichment、トークン exchange、response filtering など動的処理に使える
  • lakehouse data エージェント の例では S3 テーブル、Athena、Lake Formation、Cognito と組み合わせている
  • MCP tool を増やすほど、gateway 側での統制と可観測性が重要になる

今回のブログ記事で語られていること

今回の記事は、AIエージェントにツールを接続するだけでは本番運用にならない、という現実的な課題を扱っています。MCP server や業務ツールをエージェントから呼べるようにすると、ユーザーの質問に応じてデータベース、SaaS、社内アプリ、ファイル、検索基盤へアクセスできるようになります。しかし、どのユーザーが、どの状況で、どのツールを、どの引数で呼んでよいのかを曖昧にしたままでは、権限過多、データ漏えい、誤操作、監査不能が起こりやすくなります。

AgentCore Gateway の ポリシー interceptor は、この問題に対して Cedar ポリシー による明示的なアクセス判定を提供します。ロール、地域、ユーザー属性、ツール名、操作内容などをもとに、呼び出しを許可するか拒否するかを決定的に判断し、その結果を監査ログとして残せます。AIの判断に任せるのではなく、最終的な権限制御をポリシーとして外部化する点が重要です。

一方、Lambda interceptor はより動的な制御に向いています。たとえば、ツール呼び出し前に入力を検証する、リクエストに業務コンテキストを追加する、ユーザーの権限に応じてトークンを交換する、応答から機密情報を除去する、といった処理を実装できます。ポリシー interceptor が「決められたルールに基づく許可・拒否」だとすると、Lambda interceptor は「状況に応じた加工・検証・補助」を担うレイヤーです。

記事では、lakehouse data エージェント の例として、S3 テーブル、Athena、Lake Formation、Cognito と組み合わせた構成も示されています。データ分析エージェントは、利用者にとって便利な一方で、権限境界やデータ分類を間違えると影響が大きい領域です。Gateway で tool call を集約し、ポリシー と Lambda で多層的に制御する設計は、エージェントをPoCから本番へ進めるうえで避けられない論点です。

今回のブログ記事が関係する人

この内容は、MCP や業務ツールをAIエージェントに接続している開発チーム、データ分析エージェントを本番化したいプラットフォーム担当、権限管理と監査を担うセキュリティチームに関係します。特に、エージェントがデータベース、SaaS、社内アプリを横断して呼び出す構成では、ツール単位の許可、入力検証、応答制御を設計する必要があります。

実務で確認したいこと

導入側は、まずエージェントが呼び出すツール一覧を棚卸しし、読み取り専用、書き込み可能、外部送信、機密データ参照のようにリスク別に分類してください。そのうえで、ポリシー interceptor で必ず拒否すべき条件と、Lambda interceptor で検証・変換すべき条件を分ける必要があります。

また、監査ログの粒度も重要です。誰が、どのエージェントを通じて、どのツールを、どの引数で呼び、どのポリシーで許可または拒否されたかを後から説明できる状態にしておくべきです。データ分析、顧客対応、業務自動化のような領域では、エージェントの回答そのものだけでなく、回答に至る操作履歴が統制対象になります。

結局、今回のブログ記事をどう読むべきか

AgentCore Gateway の interceptor は、MCP やAIエージェントを企業システムにつなぐ際の安全装置です。エージェント開発チームは、ツール追加の速度だけでなく、ポリシー、検証、監査、応答制御を含む運用設計としてこの発表を読む必要があります。