桜が完全に散って、目黒川沿いが葉桜になった4月最終週。今週のAI/テック業界は、派手な新モデル発表というより「組織でどう運用するか」の話題が一気に増えた印象です。Google Cloudの「Gemini Enterprise Agent Platform」、Microsoftの入力保護機能、OpenAIの個人情報保護モデル、そしてMCPの脆弱性指摘。並べてみると、業界の関心が「作る」から「守りながら回す」にシフトしているのがよくわかる週でした。
フリーランスとして実務でAIを触っている自分の目線で、今週押さえておきたいポイントを整理していきます。
Vertex AIから「Gemini Enterprise Agent Platform」へ──基盤の再編が本格化
今週一番インパクトが大きかったのは、Google Cloudが「Vertex AI」の後継として「Gemini Enterprise Agent Platform」を発表したニュースでしょう。ローコードでのエージェント構築、エージェントの管理、品質評価ツールが追加・強化されています。
自分が注目しているのは「Vertex AIの後継」という位置付けです。Vertex AIはML/AI基盤として2021年から存在していた看板サービスで、それを畳んでまでエージェント中心の名前に変えてきたというのは、Googleがエージェントを単発機能ではなく基盤レイヤーとして再定義し始めた、ということだと思います。
実務で案件に入っていると、去年までの「とりあえずPoCでLLMを呼び出してみる」というフェーズはもう終わっていて、「複数のエージェントをどう管理するか」「品質をどう評価し続けるか」が現場の悩みになっています。ローコードでエージェントを作れる環境は増えてきましたが、作ったあとに「このエージェントの精度が落ちていないか」「コストが想定内か」を見続ける仕組みは手薄でした。そこを正面から取りに来たのがGoogleの今回の動きかなと。
一方で、OpenAIのAgent Builderも似た方向でGAしてきていて、「Agent」の定義が各社で微妙にズレ始めています。毎週新しい語彙を追いかけるのは正直しんどい。フリーランスとして選別するコツは、「自分の案件で現実的に使える粒度のものだけ触る」ことだと思っています。全部は追えない、という前提で付き合うのが長く続けるコツです。
Microsoft Copilotのプロンプト保護機能が一般提供に──「入力ミス」が最大のリスクだと認められた
もう一つ静かに重要なのが、Microsoftが「Microsoft 365 Copilot」のプロンプト入力時に機密情報をリアルタイム検知し、処理を停止する機能の一般提供を開始したというニュース。
これ、地味ですがかなり意味が大きい変化だと感じています。企業のAI活用で「情報漏洩リスク」というと、これまで注目されてきたのはモデル側の学習データ混入とか、出力の外部送信とかでした。でも現場で一番起きているのは、実は「従業員が何気なく機密情報をプロンプトに貼り付けてしまう」というヒューマンエラーです。
自分がクライアントワークで見てきた限り、この「うっかり貼り付け」を技術的に止める方法は長らくなくて、「社内ガイドライン」という名の祈りで運用している組織がほとんどでした。それをリアルタイム検知で止めに行くというのは、やっと現実的な対策ラインに乗ってきた感じがします。
同じ週にOpenAIも「Privacy Filter」というオープンウェイトの個人情報検知モデルを公開しています。15億パラメータの軽量設計で、Apache 2.0ライセンス。名前や口座番号など8カテゴリを文脈から識別する仕組みです。ローカルで動かせるので、クラウドに個人情報を渡す前の段階でフィルタリングできる。これも同じ文脈の動きだと思います。
「入り口で止める」という発想がようやく業界標準になってきたタイミング、と捉えています。
MCPの構造的欠陥指摘とLLM Jacking──「エージェントを使う側」のセキュリティが追いついていない
同じセキュリティ文脈でもう一つ押さえておきたいのが、OX SecurityがAnthropicのMCP(Model Context Protocol)に設計起因の欠陥があると指摘した件です。任意コマンド実行によるデータ流出の恐れがあり、脆弱なインスタンスは最大20万規模と推計されている、と。Anthropic側は規格レベルの修正は否定しているようですが、各製品で個別対応が進んでいるという状況。
MCPはここ半年でClaude Code界隈を中心に一気に普及した規格です。自分も案件で使っていますし、便利なのは間違いない。ただ、便利さが先行して「どこまで権限を渡しているか」を深く考えずに導入しているケースが結構ある気がしています。
同じくCiscoがMCPサーバやスキル、生成コードを対象にしたセキュリティスキャナーを発表していて、これはIDE拡張機能として動く。つまり「開発者が普段使っている環境の中で、MCP起因のリスクを継続監視する」という発想です。
さらに「LLM Jacking」という攻撃手法も今週話題になりました。企業のAIリソースを乗っ取って悪用するもので、単に高額な利用料を発生させるだけでなく、侵入先のRAG環境を悪用して機密情報を分析・奪取する。攻撃者にとって、企業が構築したRAGは「整理済みの機密情報データベース」として格好の標的になってしまうわけです。
エージェントを「作る」「使う」フェーズは進んだけど、「守る」は明らかに追いついていない。この非対称はしばらく続くと思っています。自分の案件では、MCP経由で触れる権限を最小化して、実行ログを必ず別系統で保存する、という地味な運用で凌いでいます。
羽生善治九段の「AIを使えば全員同じになる」発言が示唆するもの
今週の記事でハッとさせられたのが、羽生善治九段の「AIを使えば全員同じになる」という指摘です。AIによる最適解が戦略の均質化を招く中、あえて評価の低い手を選ぶことにこそ差別化の核がある、と。
これはAI活用論として、かなり本質的な話だと感じています。自分もフリーランスとして案件提案を書くときに、Claudeに壁打ちしながら構成を詰めることが増えました。便利です。でも気付くと、自分が出す提案と同業他社が出す提案が、似たような構造・似たような言い回しに収束していくリスクは確実にある。
「AIに仕事を奪われる」より「AIで仕事の質を上げる」発想が大事、というのが自分のスタンスなんですが、羽生さんの言葉はその先を示していて、「AIで質を上げた結果、全員が同じレベルで同じようなアウトプットを出すようになったとき、何で差別化するのか」という問い。
答えは「一貫性を持って決断し、責任を負う」こと、と羽生さんは言っています。AI時代の個性は、AIの出力を選ばない勇気にある、ということかもしれない。
これ、30代フリーランスとして本当に刺さりました。AIを使いこなせることは、もう前提条件になりつつあって、そのうえで「あなたは何を選ぶのか」が問われ始めている気がしています。
Difyの「AIエージェントには任せられない」事例が正直
もう一つ、今週紹介したい事例がDifyの問い合わせメール分類の自動化。顧客からの問い合わせメールの分類を85%自動化した取り組みなんですが、タイトルが「AIエージェントには任せられない」となっているのが印象的でした。
完全自動化ではなく、「AIが分類してトリアージ、人間が最終判断」というハイブリッド型。これが現実的に回る運用で、しかも効果が出ている。85%というのは「完全自動化の85%」ではなく「作業量の85%削減」という読み方ができて、残り15%の判断を人間が集中して見ることで品質を担保している構造です。
AIツールを案件に導入するとき、クライアントから「どこまで任せられるの?」と聞かれることが多いんですが、Difyのこの事例は「任せない設計こそが強い」という逆説の好例だと思います。自分もこの事例、クライアントへの説明資料に使わせてもらう予定です。
まとめ──「作る」から「運用する」への大転換
今週を振り返ると、AIエージェントの「作る」フェーズから「組織で運用する」フェーズへの大転換が、あちこちで同時多発的に起きていることがよくわかります。Google Cloudの基盤再編、Microsoft/OpenAIの入力保護、MCPの脆弱性議論、Difyの現実的な運用事例。全部が「エージェントを現場で回すには何が足りないか」という問いへの回答になっている。
GW直前の静かな週に見えて、実は業界の重心が明確に移った週だったと思います。連休中、Claude Skillsの最新アップデートやGemini Enterprise Agent Platformを触ってみるのは、十分に元が取れる時間の使い方になりそうです。自分もGW中に、手元の案件で使っているエージェント群の棚卸しをしようと思っています。
来週以降注目したいのは、こうした基盤の再編に日本企業がどう追随するか、そして「エージェントを守る側」のツールがどこまで一般化するか。羽生九段の言葉を借りれば、AIを使う技術だけでなく「何を選ぶか」の技術が問われる時代が、確実に始まっています。
毎週このペースで変化が続くと正直体力がきついんですが、選別しながら付き合っていくしかない。AIは道具であって外注先ではない、というスタンスを保ちつつ、来週もまた地味に追いかけていきます。