AIエージェントを「書くこと」は難しくなくなった。難しいのは「安全に、本番で、企業規模で動かすこと」だ。Microsoftは今回、この課題に正面から向き合った答えを出してきた。Azure AI Foundryのホステッドエージェント(Hosted Agents)がパブリックプレビューとして提供開始。すべてのエージェントセッションを独立したVM隔離環境で動作させ、エンタープライズ規模での本番運用を実現する基盤だ。
なぜ既存のコンピューティングではエージェントが動かないのか
コンテナ、Webアプリ、サーバーレス関数——これらはいずれも「複数ユーザーが同一インスタンスを共有する」前提で設計されたアーキテクチャだ。Webサービスやシンプルなバックエンドなら問題ない。しかしAIエージェントは根本的に違う。
エージェントはファイルシステムへの読み書き、コードの実行、認証情報・中間状態の長期保持を行う。顧客AとBが同一エージェントコンテナに乗っかり、そのコンテナが共有ファイルシステムに書き込んでいる——これはパフォーマンス問題ではなく、セキュリティ上の根本的な欠陥だ。
今回のホステッドエージェントはこの問題を「プロセス分離」や「コードサンドボックス」の小手先ではなく、ハイパーバイザーレベルの本格的なVM分離で解決している。
主要機能の解説
セッション単位のVM分離 すべてのエージェントセッションが専用VMサンドボックスで動作する。コンテナ分離より重い代わりに、分離の強度と証明可能性が段違いだ。マルチテナント環境での「隔離されている」という証明が、コンプライアンス審査で決定的な意味を持つ。
スケール・トゥ・ゼロとファイルシステム永続化 アイドル時はコストゼロ。そして再起動後もファイル・ディスク状態・セッション識別子がそのまま保持される。エージェントは「続き」から作業を再開できる。これは従来のサーバーレスでは実現困難だったパターンだ。
統合アイデンティティ管理 エージェントごとの専用IDと、OBO(On-Behalf-Of)トークンによるユーザー別ID委任をサポート。「このエージェントが、この権限で、何をしたか」というトレーサビリティの基盤になる。
BYO VNet・バージョン管理・プロトコル互換性 アウトバウンドトラフィックを自社VNet経由でルーティング可能。ウェイテッドロールアウト(段階リリース)やOpenResponses/Activity Protocolの自動マッピング、AG-UIサポートまでビルトインで提供する。
日本のIT現場への影響
AIエージェントを本番運用しようとして「どう安全に動かすか」の審査で止まっているケースは、日本企業に多い。特に金融・医療・官公庁など規制の厳しいセクターでは、マルチテナント環境での隔離の証明と、エージェント行動の監査ログが承認の前提条件だ。
既存エージェントへの適用が容易: アプリケーションコードの変更なしに適用可能とされており、導入の摩擦が低い。
Non-Human Identity(NHI)管理との接続: エージェントが人間の代わりに業務を実行する時代、エージェント自身の「ID・権限・行動ログ」の管理は自動化推進の前提条件になる。セッション単位ID管理はそのピースの一つだ。NHI管理ができなければ、業務自動化は人間のボトルネックを解消できない。
コスト構造の透明化: スケール・トゥ・ゼロにより、動作時間のみの課金になる。PoC段階で「本番移行後のコストが読めない」という問題が軽減される。
筆者の見解
「エージェント時代のゼロトラストを本気で設計しはじめた」——今回の発表を一言で表すなら、そういうことだと思う。
Microsoftが狙っているのは「最も賢いAIを作る競争」ではなく、「最も多くのエージェントが安全に動作するプラットフォームを提供する競争」だ。今回のホステッドエージェントは、その戦略が着実に具体化されていることを示している。Microsoft Entraをエージェントの管制塔として機能させ、Foundryをその実行基盤として整備していく絵が見えてきた。この方向性は長期的に正しい。
ただし、現実的な目線でも見ておきたい。ハイパーバイザー分離はコンテナより重い。大量セッションの同時起動シナリオでのコストとレイテンシがどうなるかは、パブリックプレビュー期間中に実際に検証してみる価値がある。Microsoftの技術力があれば正面から解決できるはず——そこに期待したいし、そのための検証データを早く出してほしいところだ。
Foudnry Agent Serviceを使っている方は、まずプレビューで既存エージェントに適用してみることをお勧めする。コード変更不要で試せるなら、やらない理由はない。
出典: この記事は Introducing the new hosted agents in Foundry Agent Service: secure, scalable compute built for agents の内容をもとに、筆者の見解を加えて独自に執筆したものです。