エージェントシールド
Agent Shieldは、エージェントコンピューターのネットワークポリシー適用とセキュリティ監視を提供します。
すべてのエージェントコンピューターは分離されています — 専用のカーネル、個別のメモリ/ディスク/ネットワーク名前空間。ネットワークの外部への通信は、組織ごとのポリシーに基づいてフィルタリングされます。
ネットワークポリシー
Section titled “ネットワークポリシー”ネットワークポリシーは、エージェントコンピューターがアクセスできる外部ドメインを制御します。ポリシーは組織レベルで設定され、組織内のすべてのコンピューターに適用されます。
設定場所: 設定 > セキュリティ > ネットワークポリシー
許可リストモード
Section titled “許可リストモード”| モード | 動作 |
|---|---|
| Package Managers Only (デフォルト) | AIプロバイダーAPI、GitHub、およびパッケージレジストリを許可します。それ以外はすべてブロックします。 |
| All Domains | 外部への通信制限はありません。エージェントは任意のドメインにアクセスできます。 |
| None | すべての外部ドメインをブロックします。特定のドメインは手動で追加してください。 |
デフォルトの許可リスト(Package Managers Onlyモード):
| カテゴリ | ドメイン |
|---|---|
| AIサービス | api.anthropic.com, api.openai.com, generativelanguage.googleapis.com |
| コードホスティング | github.com |
| NPM | registry.npmjs.org, npmjs.com |
| Python | pypi.org, files.pythonhosted.org |
| Rust | crates.io, index.crates.io |
| システム | archive.ubuntu.com, security.ubuntu.com |
カスタムドメイン
Section titled “カスタムドメイン”Package Managers OnlyモードとNoneモードでは、エージェントがアクセスする必要がある追加のドメイン(内部API、特定のSaaSサービス、またはワークフローで必要なその他のエンドポイント)を追加できます。
Shieldは、エージェントコンピューター内で実行されているエージェントが行うすべてのネットワーク接続を監視します。
キャプチャされる内容
Section titled “キャプチャされる内容”- プロセスに紐付けられた接続 — すべてのTCP接続は、プロセス名と完全なプロセス系統でタグ付けされます
- DNS解決 — ドメイン名はIP接続と関連付けられるため、生のIPではなく
api.github.comとして表示されます - バイト会計 — 接続ごとに送受信された合計バイト数
- 接続ライフサイクル — 接続試行、結果、およびクローズの概要
インストール
Section titled “インストール”ShieldはRebyteプラットフォームによってバージョン管理されています。組織で監視が有効になっている場合:
- Shieldは、作成時にすべての新しいコンピューターに自動的にインストールされます
- 既存のコンピューターは、次回の再開時にShieldを受け取ります
- バージョンアップデートは自動的に適用されます
セキュリティダッシュボード
Section titled “セキュリティダッシュボード”セキュリティダッシュボードは、組織全体のエージェントネットワークアクティビティをリアルタイムで可視化します。
リスクスコアリング
Section titled “リスクスコアリング”各コンピューターには、そのネットワーク動作に基づいてリスクスコアが割り当てられます。異常な接続パターン(大量の外部データ、未分類のドメインへの接続、機密サービスへのアクセスなど)を持つコンピューターは、レビューのためにフラグが立てられます。
トラフィック分類
Section titled “トラフィック分類”| カテゴリ | 例 |
|---|---|
| 信頼済み | 明示的に許可されたドメイン |
| プロバイダー | AIプロバイダーAPI(Anthropic、OpenAI、Google) |
| 良性 | パッケージレジストリ、ドキュメントサイト |
| 疑わしい | 未分類または異常な宛先 |
| 状態 | 意味 |
|---|---|
| 新規 | 自動生成され、まだレビューされていません |
| オープン | 認識済み、調査中 |
| トリアージ済み | 評価済み、優先度が割り当てられています |
| ミュート済み | 抑制済み(既知の誤検知または許容されたリスク) |
| 解決済み | 対処済み、これ以上の対応は不要 |
カバレッジ追跡
Section titled “カバレッジ追跡”ダッシュボードには、組織内のどのコンピューターにShieldがインストールされており、どのコンピューターにインストールされていないかが表示されるため、監視カバレッジが完全であることを確認できます。
エンタープライズのユースケース
Section titled “エンタープライズのユースケース”- 監査証跡 — すべての接続は、プロセス属性、タイムスタンプ、バイト数とともに記録されます。
- データ漏洩防止 — デフォルト拒否モードによるドメイン許可リスト。
- インシデント調査 — コンピューターと時間枠で正確な接続を検索します。プロセス系統は、どのサブプロセスが各接続を開始したかを示します。
- コンプライアンス — SOC 2、ISO 27001、内部セキュリティポリシー。