エージェント管理はエージェントガバナンスではない
管理はエージェントにアクセスできる人の問題。ガバナンスはエージェントがコンプライアンスに準拠しているかの問題。
重要な違い
ほとんどのエージェントプラットフォームは管理を提供します。規制対象の企業にはガバナンスが必要です。
| エージェント管理 | エージェントガバナンス | |
|---|---|---|
| 定義 | ID+権限+基本的な監視 | フルライフサイクル制御、コンプライアンス、測定、規制対応 |
| レイヤー | 1-2(ID、権限) | 11(IDから規制コンプライアンスまで) |
| 規制コンプライアンス | 含まれない | EU AI Act、NIST RMF、ISO 42001にマッピング |
| 定量的測定 | なし | GovernanceScore(0-100) |
| マルチエージェントセーフガード | なし | サイクル検出、メモリ分離、エスカレーション |
| 監査証拠 | 基本的なログ | 17のTSCコントロール、8カテゴリ、コンプライアンスタイムライン |
| セルフホストオプション | なし(クラウドのみ) | Docker Compose + Ollama + エアギャップ |
10層の違い
管理は第1-2層をカバー。ガバナンスは全11層をカバー。
管理プラットフォームは第1-2層をカバーします。JieGouは本番インフラストラクチャで全10層をカバーします。
なぜこの違いが重要なのか
規制対象の企業にとって、管理とガバナンスの違いはコンプライアンスとリスクの違いです。
コンプライアンスに必要なのは管理ではなくガバナンス
EU AI Act第9条(リスク管理)、第12条(記録保持)、第43条(適合性評価)は、管理だけでは提供できないガバナンスの深さを要求します。IDと権限ではコンプライアンス条文を一つも満たせません。
監査人が求めるのは権限ではなく証拠
SOC 2監査人は8カテゴリにわたる17のTSCコントロールのマッピングを必要とします。管理はIDログを提供します。ガバナンスは完全な証拠チェーン——構造化され、エクスポート可能で、コンプライアンスフレームワークにマッピングされたものを提供します。
マルチエージェントシステムに必要なのはIDではなくセーフガード
エージェントが相互作用する場合、サイクル検出、メモリ分離、エスカレーションプロトコルが必要です——エージェントIDだけではありません。管理はエージェントが誰かを追跡します。ガバナンスはエージェントが何をし、どのように失敗するかを制御します。
よくある質問
エージェントプラットフォームが「オープン」で任意のベンダーのエージェントを管理できると主張している場合、なぜ別途ガバナンスが必要ですか?
任意のベンダーのエージェントを管理するとは、ベンダー間でIDと権限を追跡すること——それは2層です。エージェントのガバナンスとは、コンプライアンスフレームワーク、規制マッピング、GovernanceScore、マルチエージェントセーフガード、証拠エクスポート、三フレームワークコンプライアンスマトリクスを追加することです。管理はエージェントにアクセスできる人を教えます。ガバナンスはエージェントがコンプライアンスに準拠しているかを教えます。
私の組織には管理とガバナンスのどちらが必要ですか?
規制対象の業界(医療、金融サービス、政府)でエージェントを運用している場合、またはEU AI Act、NIST RMF、ISO 42001への準拠が必要な場合、ガバナンスが必要です。管理は必要ですが十分ではありません。すべてのガバナンスプラットフォームには管理が含まれますが、すべての管理プラットフォームにガバナンスが含まれるわけではありません。
10層のガバナンスとは何ですか?
ID、暗号化、データレジデンシー、環境管理、RBAC、エスカレーションプロトコル、ツール承認ゲート、監査ログ、コンプライアンスタイムライン、証拠エクスポート、規制コンプライアンスマッピング。管理プラットフォームは通常、第1-2層(IDと権限)のみカバーします。第3-11層には専用のガバナンスインフラストラクチャが必要です。
ガバナンスを後から管理プラットフォームに追加できますか?
一部のガバナンス機能は後付けできますが、アーキテクチャが重要です。初日からプラットフォームに組み込まれたガバナンスは、すべてのステップで証拠をキャプチャします。後付けのガバナンスは、監視層が観察できるものしかキャプチャできません——内部状態、ワークフローレベルのコンテキスト、ステップバイステップの監査証跡を見落とします。