前回(第1部)はエッジ〜クラウドのインフラでした。
今回はその上の層、モデル・コンテキスト・ツールと、それを動かすエージェントランタイム / セキュリティを扱います。今年のキーノートで一番ボリュームがあったのがこの領域でした。
インテリジェンス層: データとコンテキスト
モデル選択 (Microsoft Foundry)
Foundry は引き続き業界最大級のモデルカタログを掲げ、OpenAI・Anthropic・自社の MAI まで幅広く揃えています。先週には Claude Opus 4.8 や OpenAI のリアルタイム音声モデルが追加されたとのこと。「タスクとeval mixに応じて最適なモデルを選ぶ」のが前提という整理です。
Azure HorizonDB
データ層の新サービスが Azure HorizonDB。AI時代向けに作られたフルマネージドの Postgres で、自動フェイルオーバー、クラスタあたり128TB、リードヘビーなワークロードのスケールアウトに対応。内部テストで PostgreSQL比3倍のスループットだそうです。
Fabric の GPU アクセラレーション
エージェントが常時データを問い合わせる世界では、データウェアハウスがクリティカルになります。Fabric にGPUアクセラレーションを導入し、7倍の性能向上を達成したと発表されました。
Microsoft IQ(コンテキスト層)
個人的に今回の核だと感じたのがこれ。Microsoft IQ は、エージェントに「正しいコンテキスト」を与える統合レイヤーで、4つのソースから成ります。
| ソース | 役割 |
|---|---|
| Web IQ | 高速なWebグラウンディング。モデル非依存・MCPネイティブで、次点比 約2.5倍速 |
| Foundry IQ | 非構造ドキュメントの検索・ナレッジプレーン(RAG配線を肩代わり) |
| Fabric IQ | 構造化ビジネスデータをオントロジーとして表現する意味層 |
| Work IQ | M365上の「働き方」(人・メール・文書・会議とその関係)を捉える層。APIは6月16日提供予定 |
デモでは、電力会社の管制センターを舞台に「現在のSF電力価格は?(Web IQ)」→「リスクの高い変電所は?(Fabric IQ)」→「変電所トリップ時の対応手順は?(Work IQ)」と、外部知識・社内データ・社内手順を1つの連続した回答に束ねていました。手順書がSharePoint上で更新されれば回答も追従し、再アップロード不要、という点が実務的だなと思いました。
ランタイム: エージェントを安全に動かす
Microsoft Execution Containers (MXC)
エージェントはコードを動的に生成・実行し、ファイルやネットワークに作用するため、新たなリスクを生みます。そこで MXC は、OSネイティブのプリミティブで隔離・封じ込めをポリシーとして強制する仕組みです。
- プロセスレベルの隔離(軽量なエージェント操作)
- セッションレベルの隔離(ユーザー分離)
- 完全隔離が必要なら Windows 365 for agents
「封じ込めをOSに焼き込み、誰が作ったエージェントでもポリシーで強制する」という発想がポイントです。
OpenClaw on Windows
オープンソースのエージェント OpenClaw が、MXC を使ってWindowsネイティブで動くように。デモでは、IT管理者がread-onlyに設定したフォルダに対して「全ファイル削除して」と指示しても、MXC のサンドボックスがブロックしてファイルが守られる様子が示されました。作者の Peter Steinberger 氏も登壇し、「6か月前なら普通に消えていた」というコメントが会場を沸かせていました。
ハーネス自体をプラグイン化し、Copilot や Codex など好みのものを差し込めるようにした、という話も。
Foundry hosted agents / Fireworks AI / Rayfin
- Foundry hosted agents: 長時間稼働エージェントのランタイム。サンドボックス、メモリ・状態、eval、ガードレール、そして自己改善ループを内包
- Fireworks AI 連携: オープンウェイトモデルを Foundry に
- Rayfin: エージェントファーストなオープンソースSDK/CLI。エージェントが作ったアプリを Fabric上のマネージドバックエンドとして本番デプロイし、データは OneLake に集約。Supabase / Neon の対抗として「ガバナンスで差別化」と位置づけ
GitHub Copilot アプリ
新しい GitHub Copilot アプリ(プレビュー)は、CLIの速さとIDEの能力を兼ね、無限のエージェントセッションにスケールするのが狙い。
- git worktree で各セッションを隔離し、エージェントを並列実行
-
agent mergeでCIチェック〜コードレビュー〜マージまで面倒を見る - 単一の Copilot サブスクで OpenAI・Anthropic・Google のモデルを利用、rubber-duck review(例: GPT-5.5での実装をClaude Opus 4.8にレビューさせる)も可能
- エージェントが自前UIを生成する canvas という概念
デモの最後に rayfin up 一発でエンタープライズ向けにデプロイしていたのが象徴的でした。
セキュリティ・ガバナンス
Agent 365
Agent 365 はエージェントの統制プレーン。エージェントにも独自のID・アクセス制御が要る、という前提で、
- Defender を拡張(エージェント向けのリアルタイム防御)
- Purview を拡張(常時のデータ保護・コンプライアンス)
- AWS / GCP などAzure以外でホストされたエージェントや、任意フレームワークのエージェントも対象
- Agent 365 SDK が GA
デモでは、ローカルで作ったエージェントを1ブロックのコード追加で Foundry にデプロイし、ツール(Foundry Toolbox)・ガードレール(PII遮断)・rubric評価・Agent Optimizer(モデル/指示/ツール記述などを自動チューニング)まで一通り見せていました。
MDASH(マルチモデル・エージェント型セキュリティ)
MDASH は、フロンティアモデルとカスタムモデル100体超のエージェントを束ねたセキュリティ用ハーネス。単一モデルより上手く脆弱性を見つける、というもので、CyberGym ベンチマーク上で実証されています。デモでは、3つの異なる箇所にまたがる(単体ファイルでは正常に見える)バグを、あるチームが疑い・別チームが反証・第3チームが実際にクラッシュを再現、という多角的な推論で発見していました。defender の scan / details / fix コマンドでローカル修正→PR化まで通せます。
Copilot と Autopilots
最後に Copilot 周り。Copilot は chat → Cowork → code と進化し、夏には1つのCopilotスーパーアプリに集約される予定。
そして新登場が Autopilots。「エンタープライズ版のclaw」と説明された、テナント内で動く自律・長時間稼働エージェントで、名前・人格・コネクタ・メモリを持てます。第1弾は Scout(Copilot Frontierで試用可能)。OutlookやTeamsのグループチャットに入り込んで働く、というデモでした。
実際のセッションからの学び
- 一貫したメッセージは「コンテキストこそ差別化要因」。トークン効率の話も、結局は正しいコンテキストを与えられるかに帰着する、という整理が腑に落ちました。
- OpenClaw のデモのように、便利さ(全アクセス)と安全(封じ込め)のトレードオフをOSレベルで解く、という方向性が今年の通奏低音だと感じます。
まとめ
- Microsoft IQ(Web / Foundry / Fabric / Work IQ)でエージェントに正しいコンテキストを供給
- Azure HorizonDB(Postgres・3倍スループット)、Fabric GPU(7倍)でデータ層を強化
- MXC がOSレベルでエージェントを封じ込め、OpenClaw on Windows がその実例
- Rayfin と新 GitHub Copilot アプリで「コード生成→本番デプロイ」の谷を埋める
- Agent 365 でエージェントをユーザー同様に統制、MDASH でAIによる防御
エージェントを「作る」より「業務に統合して統制する」方が難しい——というAmanda氏のデモの一言が、今回の本質を突いていたのかなと感じました。次回はその土台となる自社モデル MAI とフロンティアチューニング、さらに Discovery・量子の話に進みます。