Agent as a Service:価格モデル、テナント分離、AaaSの意思決定フレームワーク
Agent as a Service(AaaS)は、AIエージェントがベンダーのマネージドインフラ上で動作し、オーケストレーション、ツール実行、メモリ、クレデンシャル管理を担う商用デリバリーモデルです。顧客が自身のランタイムを展開する必要なく、トークン単価、アクション単価、またはエージェント時間単位で課金されます。AaaSは2026年に企業の購買カテゴリとして確立されました。OpenAI Operatorが2025年1月に開始し、Google Agent SpaceがGA(一般提供)に達し、AWS Bedrock Agentsがエンタープライズ利用にスケールし、検索ボリュームは2025年6月の90件/月から2026年Q1には260〜390件/月に増加、CPC $32.88となりました。
**Agent as a Service(AaaS)**とは、AIエージェントがベンダーのマネージドインフラ上で動作し、オーケストレーション、ツール実行、メモリ、クレデンシャル管理を担う商用デリバリーモデルです。顧客が自身のエージェントランタイムを展開・運用することなく、消費ベース(入力トークン単位、実行アクション単位、またはエージェント時間単位)で課金されます。
Agent as a Serviceの意味:3つのプラットフォームの約束
すべてのAaaSプラットフォームは3つの主張を行います。どの主張が実際に履行されており、どれがマーケティングであるかを理解することで、インフラ予算を確約する前にバイヤーはベンダーを適切に評価できます。
約束1:マネージドインフラ(ランタイムの運用不要)
AaaSはエージェントランタイムスタック全体をベンダーに委託します:オーケストレーションエンジン、ツール実行環境、メモリバックエンド、可観測性パイプライン、水平スケーリング、稼働時間SLA。顧客はエージェントを定義し(システムプロンプト、ツール、メモリ設定)、呼び出します。ベンダーが実行します。
これはマネージドサービスとのトレードオフと同じです:RDS対セルフマネージドPostgres、Lambda対セルフマネージドコンテナ。設定自由度を諦め、潜在的にプレミアムを支払う代わりに、運用負担を負わずに済みます。マネージドインフラの約束は、AWS Bedrock Agents、Google Agent Space、および成熟したAaaSプラットフォームの多くで十分に履行されています。
この約束は、プラットフォームが公開していないランタイム設定が必要な場合に破綻します:カスタムツール実行環境、非標準メモリバックエンド、特定のモデルバージョン、またはプラットフォームの固定オーケストレーションモデルと異なるエージェントループロジック。
インフラ層の詳細については、AIエージェントのデプロイインフラとホスティングオプションを参照してください。
約束2:従量課金(トークン、アクション、時間単位で支払い)
2026年のAaaS価格設定は3つの構造に収束しています:
モデルコストに加えたトークン単位のオーケストレーション料金。 プラットフォームはオーケストレーション層を基盤となるLLMとは別に課金します。AWS Bedrock Agents:オーケストレーション層が処理する入力トークンあたり$0.000025、標準LLMモデルレートに加算されます。Bedrock上のClaude 3.5 Sonnet($3.00/M入力トークン)の場合、オーケストレーション料金は$0.025/M入力トークンを追加し、そのモデルの価格ポイントでは1%未満のオーバーヘッドです。しかし、Amazon Titan Text($0.30/M)などの安価なモデルでは、オーケストレーション料金はモデルコストの8.33%オーバーヘッドを表します。
ツール統合のアクション単位料金。 AWS Bedrock Knowledge Base クエリ:$0.0004/クエリ。1セッションあたり50回のKBルックアップを行うエージェントはKB料金として$0.02/セッションを支払います。100,000 KBクエリ/日では:アクション料金だけで$40/日。
エージェント時間単位のサブスクリプション階層。 一部のプラットフォームでは、各アクティブエージェントがトークン消費に関わらず含まれる時間に対してカウントされる階層を提供します。このモデルは安定したエージェントフリートにはコスト予測性を提供しますが、断続的なワークロードには非効率な場合があります。
従量課金はベンダーのインセンティブを顧客の使用量に合わせますが、長時間実行エージェントにはコストの予測不可能性をもたらします。暴走したエージェントループはオーケストレーション層とモデル層の両方で同時に課金を生成します。
コスト削減戦略については、エージェントフリートのLLMコスト最適化とトークン予算戦略を参照してください。
約束3:クレデンシャル分離(エージェントのコンテキストにクレデンシャルが存在しない)
クレデンシャル分離は、マネージドプラットフォームを「環境変数にAPIキーが入ったクラウドVM上で動くエージェントコード」と区別するAaaSのセキュリティプリミティブです。クレデンシャルはサーバーサイドで実行時に注入され、エージェントのコンテキストウィンドウ、ログファイル、またはエージェントコードが構築するツール呼び出しパラメータには決して表示されません。
CVE-2024-5184(Palo Alto Unit 42、2024年6月、CVSS 9.1 CRITICAL)は、ツールレスポンスを介したプロンプトインジェクションによりエージェントが自身のコンテキストウィンドウを外部流出させる可能性があることを実証しました。APIキーがコンテキストウィンドウに含まれている場合、このベクターを通じて外部流出が可能です。
すべてのAaaSベンダーへの診断的な質問:「攻撃者がプロンプトインジェクションによってエージェントの完全なコンテキストウィンドウを抽出した場合、どのクレデンシャルが危険にさらされますか?」 正しい答えは:なし、クレデンシャルはエージェントのコンテキストウィンドウにありません。
- AWS Bedrock Agents:呼び出しごとのIAMロール引き受け;エージェントは一時的なIAMロールトークン下で実行し、生のAPIキーを保持しない
- OpenLegion:Zone 2での
$CRED{}ハンドル解決;エージェントコードはクレデンシャルを名前で参照;Zone 2は実際の値を実行時に解決し、エージェントに返さない
Vaultプロキシパターンと$CRED{}ハンドルアーキテクチャについては、AIエージェントのクレデンシャル管理とテナントごとのAPIキースコープを参照してください。
2026年のAaaSベンダーランドスケープ
AWS Bedrock Agents:IAM分離を持つエンタープライズAaaS
AWS Bedrock Agentsは市場リーチでエンタープライズAaaSプラットフォームとして支配的な地位にあります。エージェントはBedrockコンソールまたはAPIを介して、アクショングループ(Lambda関数またはOpenAPIスキーマ)と知識ベースで定義されます。
価格設定(2026年):
- オーケストレーション層:$0.000025/入力トークン
- モデルコスト:標準Bedrockレート(Claude 3.5 Sonnet:入力$3.00/M、出力$15.00/M)
- Knowledge Baseクエリ:$0.0004/クエリ
- Code Interpreter:$0.000025/入力トークン
クレデンシャル分離: 呼び出しごとのIAMロール引き受け。各Bedrock AgentにはIAM実行ロールが割り当てられます。エージェント自体は生のクレデンシャルを保持しません。
制限: AWSサービスへの強い結合。カスタムエージェントループロジックは非対応。コンテキストヘビーなエージェントではトークンごとのオーケストレーション料金が急速に累積します。
OpenAI Operator:ブラウザタスク向けコンシューマAaaS
OpenAI Operatorは2025年1月に最初の主流コンシューマ向けAaaS製品として立ち上がりました。ユーザーに代わってサンドボックスブラウザセッションでウェブタスクを実行し、タスク完了単位で課金されます。
クレデンシャル分離: タスクごとのサンドボックスブラウザセッション。セッションはタスク間で持続または共有されません。
制限: ブラウザのみのスコープ、ウェブブラウジング以外のカスタムツール統合なし。カスタムエージェント定義向けの開発者APIなし。
Google Agent Space:ワークスペース重視の企業向けAaaS
Google Agent Space(2025年開始、2026年GA)は、Google Workspaceに標準化された組織向けのGoogleのエンタープライズAaaSプラットフォームです。
価格設定: Google Cloudの消費課金を通じて、Vertex AIモデルコストにCloud Run呼び出し料金を加えた形式。
制限: Google Cloudエコシステムへのロックイン。マルチクラウド統合に柔軟性が低い。複数の課金次元にわたる価格の不透明さ。
AaaSプラットフォームの機能レベル比較については、AIエージェントプラットフォームの機能とフレームワーク比較を参照してください。
AaaS価格:総コストを理解する
オーケストレーション層料金:モデル価格設定の背後に隠されたコスト
| モデル | 入力価格 | オーケストレーション料金 | モデルコストに対するオーケストレーション% |
|---|---|---|---|
| Claude 3.5 Sonnet | $3.00/M | $0.025/M | 0.83% |
| Claude 3 Haiku | $0.25/M | $0.025/M | 10% |
| Amazon Titan Text | $0.30/M | $0.025/M | 8.33% |
アクション単位料金と長時間実行エージェントへの課税
- AWS Bedrock KB(100,000クエリ/日):$40/日 = $1,200/月
- t3.medium上のセルフホストOpenSearch(100,000クエリ/日):約$0.16/日 = $5/月
クロスオーバー計算:AaaSアクション料金がセルフホストインフラコストを上回るのは約12,500クエリ/日。
AaaSでの暴走ループコスト:二重請求
暴走したエージェントループはAaaSではセルフホストよりもコストがかかります。なぜならAaaSは各イテレーションでモデルコストとオーケストレーション層料金の両方を請求するためです。
AaaSセキュリティ:クレデンシャル分離とCVE-2024-5184テスト
AaaSプラットフォームのCVE-2024-5184テスト
CVE-2024-5184(Palo Alto Unit 42、2024年6月、CVSS 9.1 CRITICAL):ツールAPIレスポンスを介したプロンプトインジェクション。
CVE-2024-5184テスト:「プロンプトインジェクションにより攻撃者がエージェントのコンテキストウィンドウを抽出した場合、どのクレデンシャルにアクセスできますか?」
合格(コンテキストウィンドウにクレデンシャルなし):
- AWS Bedrock Agents
- OpenLegion
不合格(クレデンシャルにアクセス可能):
- 開発者がシステムプロンプトにAPIキーを配置したプラットフォーム
マルチテナントプロンプト分離
インフラ層分離(最も強力):
- AWS Bedrock Agents:テナントごとに別々のIAMロール
- Google Agent Space:Google Cloudプロジェクト境界による分離
- OpenLegion:プロジェクトごとのブラックボード名前空間ACL
システムプロンプト層分離(最も弱い): プロンプトインジェクションがテナント指示を上書きすると失敗(OWASP LLM06:2023)。
テナントごとのクレデンシャルスコープと名前空間ACLの完全なアーキテクチャについては、AIエージェントのマルチテナンシーとクロステナント分離アーキテクチャを参照してください。
AaaSにおける共有責任モデル
セキュリティギャップを生む一般的な顧客ミス:
- システムプロンプトにクレデンシャルを配置
- 広すぎるツール権限
- エージェントごとのツールスコープなし
- 不可逆アクションのHITL割り込みなし
AaaS対セルフホスト:意思決定フレームワーク
AaaSが勝る場合
AaaSが優れた選択肢となる条件:
- 低〜中程度のボリューム:アクション料金がセルフホストインフラコストを下回る(クロスオーバーポイント約12,500クエリ/日)
- 迅速な本番稼働:AaaSはインフラセットアップの数週間を排除
- コンプライアンスの継承:SOC 2 Type II認定AaaSプラットフォーム
セルフホストが勝る場合
セルフホストインフラが適切な選択となる条件:
- ボリュームがクロスオーバーを超える:エージェントアクション50,000件/日超
- カスタムランタイム要件:非標準ツール実行環境
- データ居住要件:規制業界
- ベンダーロックインリスクが許容できない
総所有コスト(TCO)
100,000アクション/日のTCO比較:
AaaS(AWS Bedrock型):
- KBクエリ:$1,200/月
- オーケストレーション料金:約$300/月
- 合計:約$1,500/月 + モデルコスト
セルフホスト:
- Kubernetesクラスター:$800/月
- ベクターストア:$200/月
- 可観測性スタック:$150/月
- エンジニアリング:$2,400/月
- 合計:約$3,550/月 + モデルコスト
OpenLegionの見解:AaaSセキュリティはクレデンシャルアーキテクチャの問題
Agent as a Serviceは2026年のエンタープライズAI購買カテゴリで最も急成長しており、また最もセキュリティベースラインが標準化されていないカテゴリでもあります。
アーキテクチャ的強制:クレデンシャルはエージェントコードやコンテキストウィンドウに入りません。コンテキストウィンドウがプロンプトインジェクションで抽出されても、盗むべきクレデンシャルが存在しません。
慣習ベースの分離:開発者はシステムプロンプトにクレデンシャルを入れないよう指示されます。時間的プレッシャー、コードレビューのギャップ、開発者オンボーディングの失敗の下で破綻します。
具体的な3つの数字:
- CVE-2024-5184(CVSS 9.1 CRITICAL、2024年6月)
- $32.88 CPC(2026年Q1-Q2の「agent as a service」)
- 前年比4倍の成長(2025年6月から2026年初頭にかけての検索ボリューム)
| セキュリティ制御 | OpenLegion | AWS Bedrock Agents | Google Agent Space | OpenAI Operator | LangGraph(セルフホスト) |
|---|---|---|---|---|---|
| $CRED{}ハンドル解決による資格情報Vault | Zone 2、アーキテクチャ的 | IAMロール引き受け | サービスアカウントスコープ | セッション分離 | 開発者責任 |
| エージェントごとの1日の支出上限(インフラ層) | Zone 2、$0-$50/日 | 利用不可 | 利用不可 | 利用不可 | 開発者責任 |
| テナントプロジェクトごとのブラックボードACL | アーキテクチャ的 | IAMベース | プロジェクトベース | N/A | 開発者責任 |
| エージェントごとのツール権限スコープ | ランタイム強制 | アクショングループIAM | IAMベース | N/A | 開発者責任 |
| テナントごとのWORM監査ログ(SOC 2 CC6.1) | ネイティブ | CloudTrail | Cloud Audit Logs | N/A | 開発者責任 |
| gitでのエージェント定義 | INSTRUCTIONS.md | コンソール/API | コンソール/API | N/A | 開発者責任 |
OpenLegionで構築を始める -- Zone 2での$CRED{}Vaultプロキシ解決によるアーキテクチャ的クレデンシャル分離、Zone 2で強制されるエージェントごとの1日の支出上限、クロステナント状態アクセスをアーキテクチャ的に不可能にするブラックボードACLを備えたエージェントをデプロイします。
よくある質問
Agent as a Service(AaaS)とは何ですか?
Agent as a Service(AaaS)は、AIエージェントがベンダーのマネージドインフラ上で動作し、オーケストレーション、ツール実行、メモリ、クレデンシャル管理を担い、顧客に消費ベースで課金される商用デリバリーモデルです。AaaSカテゴリは2026年にOpenAI Operatorの発売(2025年1月)、Google Agent SpaceのGA、そしてAWS Bedrock Agentsのエンタープライズスケール達成と共に確立されました。各AaaSプラットフォームは3つの約束を行います:マネージドインフラ、従量課金、クレデンシャル分離。
Agent as a Serviceにかかるコストはどのくらいですか?
AaaS価格設定には3つのコスト層があります:基盤となるLLMモデルコスト、オーケストレーション層料金(AWS Bedrock Agents:$0.000025/入力トークン)、ツール統合のアクション料金(AWS Bedrock Knowledge Base:$0.0004/クエリ)。100,000エージェントアクション/日では、AaaSプラットフォーム料金は通常モデルコストを除いて$1,500〜$3,600/月に達します。
AWS Bedrock Agentsとは何ですか?価格設定はどうなっていますか?
AWS Bedrock AgentsはAmazonのマネージドAaaSプラットフォームで、IAMロールベースのクレデンシャル分離を持つAWSマネージドインフラ上でエージェントオーケストレーション、アクショングループ、知識ベースを提供します。価格設定(2026年):オーケストレーション層の入力トークンあたり$0.000025;Knowledge Baseクエリはクエリあたり$0.0004。
OpenAI OperatorとはAaaSにとって何が重要ですか?
2025年1月に発売されたOpenAI Operatorは、最初の主流コンシューマ向けAgent as a Serviceプロダクトです。サンドボックスブラウザセッションでユーザーの代わりにウェブタスクを実行し、タスク完了単位で課金されます。Operatorの重要性は市場シグナルとして機能したことにあります:消費者もエンタープライズ調達チームと同様に、エージェントタスク実行をサービスとして支払うことを実証し、2026年初頭の「agent as a service」検索ボリュームの前年比4倍増と直接相関しました。
AaaSプラットフォームでのクレデンシャル分離はどのように機能しますか?
AaaSにおけるクレデンシャル分離とは、プラットフォームが顧客のLLM APIキー、データベース認証情報、ツールシークレットをエージェントコードや他のテナントに公開しないことを意味します。AWS Bedrock AgentsはIAMロール引き受けを通じてこれを実現しています。OpenLegionはZone 2での$CRED{}ハンドル解決を使用:エージェントコードはクレデンシャルを名前で参照;Zone 2は実際の値を実行時に解決し、エージェントに返しません。
AaaSプラットフォームに特有のセキュリティリスクは何ですか?
主要なAaaS特有のセキュリティリスクは、プロンプトインジェクションの拡大した攻撃面です(CVE-2024-5184、CVSS 9.1 CRITICAL):AaaSエージェントはテナントに代わって外部APIを呼び出し、外部ウェブコンテンツを処理するため、これらの外部レスポンスのいずれかに敵対的な指示が含まれる可能性があります。第二のリスクは弱い分離アーキテクチャによるクロステナントプロンプトブリードです。第三のリスクは共有責任ギャップです。
AaaS対セルフホストインフラをいつ使用すべきですか?
AaaSは低〜中程度のボリューム、迅速な本番稼働、またはコンプライアンスの継承に適した選択肢です。セルフホストはスケール(50,000アクション/日超)、カスタムランタイム要件、データ居住規制、またはベンダーロックインリスクが許容できない場合に勝ります。TCO計算には常にセルフホストインフラを運用するためのエンジニアリング時間を含める必要があります。
AaaSにおけるマルチテナントプロンプト分離とは何ですか?
マルチテナントプロンプト分離とは、テナントAのシステムプロンプト、会話履歴、ツール結果、メモリ状態がテナントBのエージェントコンテキストに決して表示されないことを意味します。最も強力な分離メカニズムはインフラ層レベルです。最も弱いパターンはシステムプロンプト層分離で、プロンプトインジェクションがテナント指示を上書きまたは無視した場合に失敗します(OWASP LLM06:2023)。