2026年2月3日（米国時間）、Dockerは公式ブログで、AIエージェントのセキュリティに関する新フレームワーク「3C」を公開した。3Cは「Contain（封じ込め）」「Curate（キュレーション）」「Control（制御）」の3つの原則から構成され、自律的に動作するAIエージェントを安全に活用するための設計指針を示している。

従来のセキュリティ対策は、人間のオペレーターを前提に設計されていた。ファイアウォールは従業員がノートPCを使用しているから信頼し、VPN（仮想プライベートネットワーク）はエンジニアが認証した接続を許可する。シークレット（認証情報）マネジャーは人間の要求に応じてアクセスを制御する。このモデルは、責任を負う主体が人間であり、人間の判断速度で操作されることを前提としている。

AIエージェントは、この前提を覆す。

エージェントはリポジトリを読み取り、APIを呼び出し、ファイルを書き換え、認証情報を使用して処理を進める。ルートレベルの権限を持ち、マシン速度でアクションを実行する。レガシーな制御はこのような動作を想定していなかった。

従来のガバナンスは、可視性と承認の追加だった。あらゆるアクションにアラート、プロンプト、承認を追加する。だが、これではスケールしない。エージェントが並列で数百のアクションを実行する場合、人間は有意義なレビューができない。結果として、アラートはノイズと化し、開発者をいら立たせ、「承認疲弊」を引き起こす。

AIエージェントの3Cフレームワーク

Contain：影響範囲を限定する

あらゆる実行モデルは分離によって安全性を確保してきた。プロセスにはメモリ保護が、仮想マシンにはハイパーバイザーが、コンテナにはネームスペースが必要だった。エージェントにも同等の境界が必要だとDockerは指摘する。

Contain（封じ込め）は、エージェントのミスがデータ、ワークフロー、ビジネスに永続的な影響を与えないよう、影響範囲を限定する考え方だ。エージェントの自律性を完全なものにするには、実験が無謀にならないという確信が必要だ。これがなければ自律化は失敗する。

Curate：エージェントの環境を定義する

エージェントが何をできるかは、その環境に何が存在するかによって決まる。「呼び出せるツール」「参照できるコード」「使用できる認証情報」「操作するコンテキスト」――これら全てがエージェントの行動前に実行を形作る。

Curateは、エージェントが何をしたいかをレビューするのではなく、エージェントが操作する世界を定義する。適切にキュレーションされた環境では、エージェントの実行は予測可能になる。しかし、環境設計が曖昧なまま自律性だけを与えると、エージェントの実行がリスクとなる。

Control：リアルタイムで境界を強制する

紙の上だけに存在するガバナンスは、自律システムには効果がない。ルールはアクションが発生する際に適用されなければならない。ファイルアクセス、ネットワーク呼び出し、ツール呼び出し、認証情報の使用には、ランタイムでの強制が必要だ。

Control（制御）は、「何が」「いつ」「どこで」「誰の権限で」実行できるかを決定する。適切に実行された制御は自律性を奪わない。その限界を定義することで、人間があらゆるアクションを承認しなくても安全に動作させることができる。これは動的で適応可能なポリシーエンジンであり、多数のAIエージェントが高速に並行動作する状況にも対応できなければならない。

3Cの実践

3つのCは互いを補強する。

Contain：障害のコストを限定する

Curate：エージェントが試行できる範囲を絞り込み、特定の環境やタスクに適したツールとコンテキストを構築する

Control：実行時にポリシーを強制する

実践においてこの作業はプラットフォームチームが担う。デフォルト（規定）で分離された標準化された実行環境、特定のユースケースに合わせたツールと認証情報のキュレーション、アクション完了前に動作するポリシー強制を意味する。これらの原則で構築するチームは、開発者をアラートで疲弊させることなく、エージェントを効果的に活用できる。