[T2-LT1] Autonomous AI Databaseで実現する AIガバナンス実装

Transcript

1. Autonomous AI Databaseで 実現するAIガバナンス実装 Select AI AgentとAutonomous AI Database MCP

   Serverの きめ細かいアクセス制御 Haruki Morita Oracle Corporation Japan Solutions Architect, Communication & Utility Solutions May 21, 2026

2. 森田 暖己 (Haruki Morita) Haruki Morita Staff Solution Architect 2

   Copyright © 2026, Oracle and/or its affiliates 日本オラクル株式会社 通信・公益ソリューション本部 スタッフソリューションアーキテクト @hamorita

3. はじめに 3 Copyright © 2026, Oracle and/or its affiliates 発表の背景と目的

   近い将来、企業や部門ごとに数百・数千を超えるAI Agentがデプロイされ、AI Agentが社内の多数の データソースやAPIと接続するケースが増えると考えられる。もちろんOracle AI Databaseもそのデータ ソースの１つとなりうる。 Oracle AI Databaseに対し、セキュアにAgentにツールやデータを利用させるためには、きめ細かいアクセ ス制御が必要になる。Oracle AI Databaseでは、Select AI AgentやAutonomous AI Database MCP Serverを利用することで、きめ細かいアクセス制御を実装することができる。 本発表では、Select AI AgentとAutonomous AI Database MCP Serverを利用したきめ細かいア クセス制御の実装について紹介する。

4. アジェンダ 4 Copyright © 2026, Oracle and/or its affiliates •

   Agent、MCP利用時のきめ細かいアクセス制御の重要性 • Select AI Agent、Autonomous AI Database MCP Serverについて • Select AI Agentにおけるきめ細かいアクセス制御方法 • Autonomous AI Database MCP Serverにおけるきめ細かいアクセス制御方法 • 各機能および各手法の使い分け・比較 • まとめ

5. Agent、MCPサーバー利用時の きめ細かいアクセス制御の重要性 5 Copyright © 2026, Oracle and/or its affiliates

6. AgentやMCPサーバーの利用に潜むリスク 6 Copyright © 2026, Oracle and/or its affiliates データ基盤とAgentが連携し、Agentが自然言語でデータを取得・分析するユースケースは増加している。

   例えば、Oracle AI DatabaseではSelect AI AgentやMCPサーバーを利用し、データを操作するツールを提供する ことで、Agentは自律的にデータへアクセスすることが可能になっている。 しかし、Agentによるツールの実行に対し、ユーザーやロールごとの権限やデータスコープを制御しなければ、Agentは意 図しない操作を実行し、それが重大なインシデントに繋がるリスクがある。 ユーザー Agent Oracle AI Database MCP Server • 機密データの閲覧 • 許可されていないデータの更新・削除 • DBに対する高負荷な処理の実行 • コンテキスト・ウィンドウの圧迫など…

7. Agent利用時のアクセス制御対象 7 Copyright © 2026, Oracle and/or its affiliates AgentがOracle

   AI Database内のデータへアクセスする際、ユーザーごとに制御すべきものとして (1) Agent、(2) ツール、(3) データの3つが考えられる。 ユーザー Select AI Agent ツール ツール ツール データ 特定のユーザーのみ 利用を許可 データの更新・削除ツールなど は管理者のみ実行許可 ユーザーごとに参照可能な テーブル・行・列・セルを制御

8. MCP Server利用時のアクセス制御対象 8 Copyright © 2026, Oracle and/or its affiliates

   AgentがMCP Server経由でOracle AI Databaseへアクセスする際、ユーザーごとに制御すべきものとして (1) MCPサーバー、(2) ツール、(3) データの3つが考えられる。 本発表では、主に(1) Select AI Agent、(2) Autonomous AI Database MCP Server、(3) ツールの アクセス制御について取り扱う。 ただし、一部データのアクセス制御にも触れる。 ユーザー Agent MCP Server ツール ツール データ ツール

9. Select AI Agent、 Autonomous AI Database MCP Serverについて 9 Copyright

   © 2026, Oracle and/or its affiliates

10. Select AI Agentの概要 10 Copyright © 2026, Oracle and/or its

    affiliates ADBの中でReActエージェント・パターンを用い、 PL/SQLやPythonを使用して、宣言的にAIエージェントが構築可能。 会話履歴やユーザーの好みなどの短期/長期メモリや暗号化されたベクトル埋め込みをADB内に保持し、既存のDBセ キュリティ機能を組み合わせることで、よりセキュアなAIエージェントの構築/運用が可能に。 Agent 推論 評価 メモリ LLM Tools データベース・ オブジェクト プロンプト 回答 改善 フィードバック 使用 ツールの実行 拡張された プロンプト ツール使用 or 回答

11. Autonomous AI Database MCP Serverの概要 11 Copyright © 2026, Oracle

    and/or its affiliates 既存ADBとMCPクライアントをシームレスに統合し、ユーザーはMCPサーバーのインフラは意識することなく、Select AI Agentフレームワークを用いたツールの利用が可能。 VPDやRASなどのセキュリティ機能を活用することで、セキュアでガバナンスの効いたMCPサーバーの利用が可能に。 MCPクライアント LLM アイデンティティ・プロバイダー ADB MCP Server Tools 表 外部表 アクセス OAuthトークン メタデータ アクセス ツール実行 ADB-S Security Layer

12. Select AI Agentにおける きめ細かいアクセス制御方法 12 Copyright © 2026, Oracle and/or

    its affiliates

13. Select AI Agentのきめ細かいアクセス制御方法 13 Copyright © 2026, Oracle and/or its

    affiliates Select AI Agent固有の方法として、(1) DBMS_CLOUD_AI、(2) AI Profile、(3) ツールの3つに大別される。 実現できるアクセス制御の内容やカスタマイズ性、実装容易性などが異なる。 # 項目 概要 カスタマイズ性 実装容易性 1 DBMS_CLOUD_AI ユーザーがSelect AI機能全般を実行するため に必要。ADMIN権限を持つユーザーが実行 権限を付与する。 △ ◎ 2 AI Profile AIプロバイダーやアクセス可能な表やビューなど AIの動作を定義する。 〇 〇 3 ツール エージェントがタスクを処理する際に、どのような アクションを実行するかをPL/SQLやPythonで 定義する。 ◎ △

14. AI Profileとは 14 Copyright © 2026, Oracle and/or its affiliates

    Select AI Agentだけでなく、Select AI全般を実行する際に、どのLLMを使い、どのテーブルやビューなどのデータベー ス・オブジェクトへのアクセスを可能にするのかというAIの動作を定義する。 -- Create AI profile ... attributes =>'{"provider": "openai", "object_list": [{"owner": SH"}, ... END; / -- Create AI profile ... attributes =>'{"provider": "anthropic", "object_list": [{"owner": "HR"}, ... END; / ADMINのみアクセス可能 Select AI Agent Tools HR.EMPLOYEES HR.DEPARTMENTS HR.SALARY HRスキーマ LLM User Admin

15. AI Profileの設定方法 15 Copyright © 2026, Oracle and/or its affiliates

    DBMS_CLOUD_AI.CREATE_PROFILEを実行して、Select AIを使用できるようにAI Profileを設定する。 AI Profileには、どのAIプロバイダーを使用するか、そのAIプロバイダーのどのAPIキーを使用するか、どのデータベース・オ ブジェクトへのアクセスを許可するかを設定する。 -- Create AI profile --BEGIN DBMS_CLOUD_AI.CREATE_PROFILE( profile_name => 'OPENAI', attributes =>'{"provider": "openai", "credential_name": "OPENAI_CRED", "object_list": [{"owner": "SH", "name": "customers"}, {"owner": "SH", "name": "sales"}, {"owner": "SH", "name": "products"}, {"owner": "SH", "name": "countries"}] }'); END; / どのAIプロバイダーと 事前に作成したクレデンシャル名を指定 Select AIの対象にできるownerと object nameを指定する。 ownerだけの指定や、外部表としてマッ ピングされたCSVやParquetファイルな どのテーブルの指定も可能。

16. ツールの設定方法 16 Copyright © 2026, Oracle and/or its affiliates DBMS_CLOUD_AI_AGENT.create_toolを実行して、タスク処理中にエージェントが使用できる機能の構成要素を

    設定する。 ツールには、何を達成すべきで、それをどのように実行すべきかを記述したり、入力引数を記述し、繰り返し可能な操作を カプセル化する。 -- Create LIST_OBJECTS tool BEGIN DBMS_CLOUD_AI_AGENT.CREATE_TOOL ( tool_name => 'LIST_OBJECTS', attributes => '{"instruction": "xxx", "function": "LIST_OBJECTS", "tool_inputs": [{"name":"schema_name","description" : "xxx"}, {"name":"offset","description" : "xxx"}, {"name":"limit","description" : "xxx"} ]}' ); END; / ツールに何を達成すべきか、どのように実 行すべきかを記述する。instructionは LLMへのプロンプトに含まれる 入力引数を記述するパラメータで、 SQL/プロンプト・インジェクションを避け る効果が期待できる

17. Autonomous AI Database MCP Server におけるきめ細かいアクセス制御方法 17 Copyright © 2026,

    Oracle and/or its affiliates

18. Autonomous AI Database MCP Serverの きめ細かいアクセス制御 18 Copyright © 2026,

    Oracle and/or its affiliates Autonomous AI Database MCP Serverのアクセス制御は、(1) MCPクライアント、(2) 統合セキュリティ・レイ ヤー、(3) ツールに大別される。 Autonomous AI Database MCP Serverは、データがMCPクライアントを通じてデータベースの外へ流出することが 避けられないため、各レイヤーでより厳格なアクセス制御が求められる。 # 項目 概要 カスタマイズ性 実装容易性 1 MCPクライアント Claude DesktopやClineなどから、どのMCP サーバーに接続するか、接続方式などを制御する。 〇 〇 2 統合セキュリティ・レイヤー ネットワークACLの強制、プライベート・エンドポイ ント、データベース・アイデンティティのサポートや データベース・ロールやVPDポリシーの強制を行う。 ◎ △ 3 ツール Select AI Agentで定義されたツールを利用で きる。 ◎ △

19. 統合セキュリティ・レイヤーについて 19 Copyright © 2026, Oracle and/or its affiliates 統合セキュリティ・レイヤーは、ネットワークからアイデンティティ、データアクセスにわたる幅広いレイヤーの設定を司る。

    各レイヤーごとに分類すると以下のように分けられる。 • ネットワーク層 • アクセス制御ルール：リストにないすべてのIPアドレスからのデータベースへのアクセスを禁ずる • プライベート・エンドポイント：データベースとのすべてのトラフィックをパブリック・インターネットから切り離す • 認証、認可層 • データベース・アイデンティティ：アクセス主体を識別し、誰の操作かを明確にする • データベース・ロール：識別された主体に対して、実行できる操作を最小権限で制御する • データアクセス層 • VPDポリシー：操作に対して、ユーザーやロールに応じてアクセス可能な行・列を制御する

20. 各機能および各手法の 使い分け・比較 20 Copyright © 2026, Oracle and/or its affiliates

21. 制御のきめ細やかさ / 制御に関する考慮事項 21 Copyright © 2026, Oracle and/or its

    affiliates 比較項目 Select AI Agent ADB-S MCP Server 主な制御面 エージェント実行ロジック MCP経由の公開・接続・実行面 主な制御の粒度 • AI Profile • Select AI Agentコンポーネント • Tool、Task、Agent、Agent Team • Tool 考慮事項 • Select AI Agent単独の設定で、エー ジェントが実行する内容やアクセス制御 をきめ細やかに設定、コントロールするこ とが可能 • MCP Serverを通じて取得したデータは DBの外に流出してしまう • きめ細やかなアクセス制御には、ユーザーや ロール、VPDといった既存の機能をフルに活用 することが求められる Select AI AgentはAI ProfileとSelect AI Agentコンポーネントの組み合わせ、MCP ServerはToolのみを利用 する。 後者は、ユーザーやロール、VPDなどの既存のセキュリティ機能との組み合わせでデータを守ることがマストになる。

22. まとめ 22 Copyright © 2026, Oracle and/or its affiliates

23. まとめ 23 Copyright © 2026, Oracle and/or its affiliates Oracle

    Autonomous AI Databaseを利用したSelect AI Agent、Autonomous AI Database MCP Serverのきめ細かいアクセス制御の方法について解説した。 各手法をユースケースに応じて使い分ける・併用することが求められる。 比較項目 Select AI Agent ADB-S MCP Server アクセス制御の粒度 • 細かく、正確な制御が可能 • 統合セキュリティ・レイヤーとツールで設定でき る範囲内 • それ以外は、MCPクライアントがフローを制 御 セキュリティ面の考慮 事項 • データはDB内に保持される • データはMCPクライアントによってDB外にスト リーミングされる 利用ユースケース • 機微データを扱う場合、厳格なセキュリ ティ環境下にあるDBへのアクセス • DBA、運用/SRE担当 • すでにIDEやAI Agent、MCPを使用した 開発・運用をしている場合

24. ありがとうございました 24 Copyright © 2026, Oracle and/or its affiliates

25. None