2層の幻想
ほとんどのエンタープライズAIエージェントプラットフォームは「ガバナンス」を提供しています。よく見ると、管理を提供しています:エージェントIDと権限。それは2層です。
区別:
エージェント管理が答えるもの:「誰がこのエージェントにアクセスできますか?何が許可されていますか?」
エージェントガバナンスが答えるもの:「このエージェントはコンプライアンスに準拠していますか?スコアはいくつですか?監査人にどのエビデンスを生成しますか?失敗した時何が起きますか?EU AI Act要件を満たしていますか?」
10層スタック
| レイヤー | 機能 | 管理? | ガバナンス? |
|---|---|---|---|
| 1. ID&認証 | SSO/SAML/OIDC、エージェントID | Yes | Yes |
| 2. 権限&RBAC | 6ロール、24権限、ツールアクセス | Yes | Yes |
| 3. 暗号化 | BYOK、AES-256-GCM | No | Yes |
| 4. データレジデンシー | 設定可能なリージョン、VPC、エアギャップ | No | Yes |
| 5. 環境管理 | 開発/ステージング/本番の分離 | No | Yes |
| 6. エスカレーションプロトコル | ヒューマンインザループトリガー | No | Yes |
| 7. ツール承認ゲート | ツールごと、ロールごとの承認ワークフロー | No | Yes |
| 8. 監査ログ | 30以上のイベントタイプ、不変、構造化 | No | Yes |
| 9. コンプライアンスタイムライン | 規制期限追跡 | No | Yes |
| 10. エビデンスエクスポート | 17 TSCコントロール、監査人対応 | No | Yes |
| 11. 規制マッピング | EU AI Act、NIST RMF、ISO 42001 | No | Yes |
管理はレイヤー1-2をカバーします。ガバナンススタックの18%です。
決定フレームワーク
管理を選ぶ場合: 基本的なエージェント監視が必要、非規制環境、監査人向けコンプライアンスエビデンス不要。
ガバナンスを選ぶ場合: 規制対象業界、EU AI Act/NIST RMF/ISO 42001準拠が必要、監査人が構造化エビデンスを要求、マルチエージェントワークフローにセーフガードが必要。
すべてのガバナンスプラットフォームは管理を含みます。すべての管理プラットフォームがガバナンスを含むわけではありません。
管理 vs. ガバナンスで完全な区別を見る。GovernanceScoreでガバナンス態勢を測定。