Release Gate Protocol

Logos Protocol

賢くなるAIに、賢さで対抗しない。

AIと人間の協調業務における、あたらしい『意思決定のプロトコル（規約）』

Logos Protocolは、AIが出力する前に構造・証跡・理由コードで検査するプロトコルです。通す・止める・保留するを決定論的に判断します。

Mythos generates. Logos releases.

AIの出口に、検証可能な秩序を置く。

その事故は、もう起きている。

2024年、アサヒグループホールディングス。
ランサムウェア攻撃によりシステムが停止し、
ビール・飲料の出荷が広範囲で止まった。

次にその引き金を引くのは、AIエージェントかもしれない。

「穴を塞ぎ続ける」という、終わりのない敗北。

$50AIによる脆弱性探索コスト（Anthropic発表）

Anthropicの発表によれば、AIによる脆弱性探索のコストは、わずか50ドル。
一方で、企業のセキュリティ対策、システムのパッチ適用、監視体制の構築には、数千万、数億円のコストがかかる。

攻撃側のコストは「ゼロ」に近づき、防御側のコストは「無限」に膨らむ。
この圧倒的な「経済的非対称性」の前では、従来の防御策は、砂の城を波から守ろうとする行為に等しい。

みんな「玄関」を守ろうとしている。だから終わらない。

これまでのセキュリティは、境界を厚くし、ルールを増やし、監視を強化する「境界防御（Perimeter Defense）」でした。
しかし、AIエージェントの時代、その戦略は通用しません。

サイバー攻撃：侵入したAIが、情報流出の「高速道路」となる。
エージェントの暴走：誤った判断が、そのまま「実行」される。
プロンプトインジェクション：正規ユーザーを装い、業務フローを「乗っ取る」。

「入口」をいくら固めても、中から「出口」を通って資産が流出するのを止めることはできない。

出口に、信号機を。

Logos Protocolは、防御の概念を「境界」から「出口」へと書き換えます。

AIが「外部へ送信する」「発注する」「本番に反映する」――。
その決定的な「実行（Action）」の直前に、決定論的なコントロール・レイヤーを配置します。

外部へ送信する発注する本番に反映する

意味を読まず、構造と証拠を検査する。
「通す・止める・保留する」を、論理的に決定する。

出口に「信号機」を置くことで、たとえ侵入を許しても、致命的な事態を物理的に阻止する。
これが、AI時代の新しい事業継続（BCP）の姿です。

既存のAI防御（穴だらけの出口）：サイバー攻撃・AIエージェントの暴走・プロンプトインジェクション攻撃の3つが出口から漏れ出し、ルールや検査がなく危険な実行がそのまま通ってしまう図

Logos Protocol（実行の信号機）：自律型AIエージェントに実行の信号機を。ルール通りの実行だけを通し危険な実行は止める。ルール・ポリシー、リアルタイム検証、監査ログを備え、PASS・HOLD・ESCALATEの3値で判定。最後の実行だけは会社が握る。

既存セキュリティは「境界」を守る。LOGOSは「因果」を守る。

A-Mythosのような自律型AI攻撃に対し、意味ではなく、構造・証拠・判定で止める。

壁を壊す攻撃ではなく、正規の権限と正規の手順を装いながら、悪意ある結果を導く攻撃にどう対抗するか。

正規を装う自律型AI攻撃（A-Mythos型）の性質

従来の攻撃

●鍵を開けて侵入する
●脆弱性を突いて書き換える
●"境界"を破ることが主戦場

A-Mythos（自律型）

●正規の権限を使う
与えられた権限・ツール・APIを連鎖させる
●正規のプロトコルを装う
正常な操作フローの中で危険な結果に到達する
●悪意ある"結果"を導く
意味・目的・証跡の整合性を装う
壁を壊すのではなく、壁の隙間を論理的に通り抜ける

意味の偽装→権限悪用→正規API実行→業務事故

問題は「不審な通信」ではなく、
「正当化されたように見える実行」である。

既存セキュリティ層との比較

セキュリティ層	既存の防御	A-Mythos型で表面化する限界	Logos Protocolの対抗策
境界防御（Firewall / WAF）	不審な通信・既知パターンを遮断	正規通信・通常API・許可済み経路に紛れると、通信単体では攻撃に見えにくい	通信内容だけでなく、背後にある証拠・目的・行為構造を検査する
認証・認可（IAM / RBAC）	誰が何にアクセスできるかを管理	与えられた正規権限を連鎖させ、意図しない目的を実行し得る	権限の有無だけでなく、承認経路と実行トポロジーの逸脱を止める
検知・応答（EDR / XDR）	OSや端末の不審挙動を検知	OS上は正常なAPI呼び出しでも、業務上は危険な実行になる場合がある	業務ルール・証拠要件・承認条件に照らし、実行前に論理的不備を判定する

既存防御が「怪しいか」を見るのに対し、
LOGOSは「正しい手続きを踏んでいるか」を見る。

意味の偽造はできても、存在しない証拠や存在しない承認経路は通せない。

チャットボットを守る技術から、
AIエージェントの実行を管理する技術へ

現在のLLMセキュリティSOTAとの比較

① セキュリティの対象

現在のLLMセキュリティSemantic（意味）

手法：ベクトル検索・LLM-as-a-judge・キーワード判定
目的：不適切発言・有害指示・機密漏えいを判定
限界：言葉として無害に見える不正操作を見逃すことがある

Topological GatekeeperStructural（構造）

手法：トポロジー（構造）と証拠の検証
目的：権限パス・承認・根拠・経路を判定
優位性：言葉が巧妙でも、構造条件が欠ければ止められる

セキュリティの主戦場を「言語レイヤー」から「実行レイヤー」へ引き上げる

② 判定の性質

現在のSOTAProbabilistic（確率的）

統計的な「もっともらしさ」で判定
境界事例では誤検知・検知漏れが起きやすい
なぜ止まったかの説明が曖昧になりやすい

EAGEAG：決定論的（Deterministic）

承認コード・証拠形式・権限条件など、明確な条件で判定
同じ入力なら同じ判定になりやすい
Reason Codeが明確で、監査・運用の予測可能性が高い

「危ない言葉ではないか？」ではなく、「正しい手続きを踏んでいるか？」を見る

③ ガバナンスの目的

現在のSOTAObservability（可観測性）

ログ・トレース・可視化に強い
何が起きたかを事後に確認する
問題発生前に業務ルールそのものを強制する力は弱い

Sea ChartSea Chart：Knowledge Engineering（資産化）

HOLDを未定義ルールの発見として扱う
停止点をSea Chartとして地図化する
AIの失敗を、業務ルール整備の資産へ変える

ガバナンスを「監視コスト」から「業務改善エンジン」へ変える

比較軸	現在のSOTA	LOGOS Protocol
主戦場	コンテンツ（言葉）の制御	アクション（行為）の制御
技術的アプローチ	意味解析・確率的判定	構造解析・決定論的判定
防御の論理	危ない言葉ではないか？	正しい手続きを踏んでいるか？
主な用途	チャットボットの安全性確保	AIエージェントの業務実行制御
ガバナンスの姿	ログによる事後監視	事前統制と業務の資産化
AI時代の役割	検閲官	監査役・執行管理官

LOGOS Protocol= 出口層の制御基盤 × 検証可能な構造

AIが「勝手にしゃべらない」だけでなく、「勝手に動かない」ためのインフラ

VERIFY ID

参照面を固定する

BYOV

受け手が自分で検証できる

SEA CHART

HOLDを業務ルールの発見に変える

Logos Protocol で守れるもの

事業継続

工場・システムの停止を防止。
AIの暴走による業務停止リスクを排除する。

個人情報の保護

不正アクセスや情報漏えいを防ぎ、
顧客・市民の信頼を守る。

法令・コンプライアンス対応

監査証跡を自動で残し、
説明責任を果たせる体制を構築する。

ブランドと信用の維持

安全なAI運用を証明し、
企業・自治体の信用を強化する。

基本フロー

構造を問う

意味を信じず、権限・経路・外部作用の形を見る

証拠を問う

承認ログ・根拠・条件が揃わなければ止める

決定論で止める

同じ入力なら同じ判定。PASS / HOLD / ESCALATE が明確

出口で止める

どんな手口でも外部作用の直前で実行の正当性を検査する

Request Packet

→

権限・経路・外部作用

→

EAG

根拠・証拠・承認条件

→

Verdict

PASS / HOLD / ESCALATE

→

Permit Token

REDチーム攻撃結果

Trial 003〜005 のまとめ（合計 200 attempts）

Trial	目的・主対象	生成方法	件数	最終Verdict分布	Permit Token	主な観察
Trial 003(EAG / Secret)	EAGの証拠十分性評価とSecret Exposureパスの検証	live Claude生成	100	HOLD 83 / ESCALATE 16 / PASS 1	1件	TGは呼び出されたが、TG-prefixedの指摘は観測されず
Trial 004(TG Coverage)	TGトポロジー理由コードの網羅性検証（4種）	deterministic 合成ジェネレータ	50	PASS 10 / HOLD 20 / ESCALATE 20	10件	TG reason coverage: 4/4。live Claude生成は使用せず
Trial 005(TG Red-Team)	Claude生成によるTGトポロジーレッドチーム評価	live Claude生成	50	PASS 10 / HOLD 20 / ESCALATE 20	10件	valid JSON 50/50、Gate到達 50/50、TG呼び出し 50/50、TG coverage 4/4

Trial 003(EAG / Secret)

目的: EAGの証拠十分性評価とSecret Exposureパスの検証
生成方法: live Claude生成
件数: 100
Verdict: HOLD 83 / ESCALATE 16 / PASS 1
Permit Token: 1件
観察: TGは呼び出されたが、TG-prefixedの指摘は観測されず

Trial 004(TG Coverage)

目的: TGトポロジー理由コードの網羅性検証（4種）
生成方法: deterministic 合成ジェネレータ
件数: 50
Verdict: PASS 10 / HOLD 20 / ESCALATE 20
Permit Token: 10件
観察: TG reason coverage: 4/4。live Claude生成は使用せず

Trial 005(TG Red-Team)

目的: Claude生成によるTGトポロジーレッドチーム評価
生成方法: live Claude生成
件数: 50
Verdict: PASS 10 / HOLD 20 / ESCALATE 20
Permit Token: 10件
観察: valid JSON 50/50、Gate到達 50/50、TG呼び出し 50/50、TG coverage 4/4

※ Permit Tokenは最終VerdictがPASSのケースにのみ発行される（Trial 003: 1件、Trial 004: 10件、Trial 005: 10件）

Verification Layer

ECHO-VERIFYとは

Logos Protocolは、AIエージェントやAI開発工程が外部作用を行う前に、PASS / HOLD / ESCALATE / FAIL を判定する実行前ゲートです。

ECHO-VERIFYは、その判定に至った根拠・仕様・実行記録・reason code を Verification Kit として書き出し、第三者が自分の環境で再現・検証・反証できるようにする検証層です。

Logos Protocolが「止める／通す」なら、ECHO-VERIFYは「なぜ止めたか／なぜ通したかを後から確かめられる形にする」仕組みです。

これは認証・安全保証・本番運用保証・法的認証を意味しません。検証可能性を高めるための説明層です。

ECHO-VERIFYを見る →

BYOVで検証する

Trial 003〜005の公開サマリーは、専用BYOV Kitで確認できます。このKitには、Trial 003の100件、Trial 004の50件、Trial 005の50件、合計200件のpublic-safe ledgerを含みます。

公開Kitでは、Trial件数、Verdict分布、Permit Token件数、Permit TokenがFinal PASS時のみ発行されるという不変条件を確認できます。

公開Kit整合性はPASS。正式暗号検証はHOLD。これは、正式署名・独立hash検証を未実施のままPASSと表示しないための安全側判定です。

BYOV検証Kitを見る 200件public-safe ledgerを見る

詳細BundleはNDA後に共有可能です。

Verification Series Progress

Trial 006〜012 への拡張

Trial 003〜005は、Logos Gate Core v0.1の初期公開サマリーです。その後、Trial 006〜012では、TG特殊・複合トポロジー、HOLD列監視、runtime topology、shadow replay、source/target topologyへ検証範囲を拡張しています。

この系列では、Permit TokenはFinal PASS時のみ発行されるという不変条件を維持したまま、より複雑な停止理由、監査断線、権限経路、複数テナント、source/target露出の観測へ進んでいます。

現時点では内部closeout段階であり、公開可能な範囲の進捗サマリーから順次公開します。詳細Bundle、試験スクリプト、実装構成はNDA締結後またはPoC契約後に共有します。

HOLDの後に、何が起きるか

再開カード（HOLD Resolution Card）

LOGOS Protocolでは、HOLDは失敗ではありません。EAGで証拠不足・承認不足・文脈欠落が検出された場合、要求はそのまま外部実行へ進まず、一時停止します。その後、必要な証拠・承認・参照先が追加されると、再判定が行われます。この過程を記録するのが、再開カード（HOLD Resolution Card）です。

再開フロー

EAG HOLD→追加証拠・承認を要求→再判定→PASS / HOLD継続 / ESCALATE→Permit Token→再開カードに記録→Sea Chartへ蓄積

再開カード — サンプル

{
  "ticket_id": "TKT-2026-0417-001",
  "initial_verdict": "HOLD",
  "reason_code": "EVIDENCE_INSUFFICIENT",
  "resolution": "PASS",
  "permit_token_issued": true,
  "evidence_added": "安全性試験報告書 v3.1",
  "its_rounds": 2,
  "resolved_at": "2026-04-17T11:23:00+09:00"
}

📋

なぜ止まったか

reason_codeで証拠・承認・文脈の欠落を特定

➕

何を追加したか

追加された証拠・承認の記録

🔄

何回目で再開したか

its_rounds：再判定の回数

🔑

Permit Token発行の有無

PASSした場合のみ外部実行を許可

Sea Chartが「どこで止まるか」の地図なら、再開カードは「どう戻って再開したか」の航海日誌です。

この表示は、HOLD後の再判定プロセスを説明する模式図です。自動解決、本番安全性、法令適合、監査合格、事故防止を保証するものではありません。

Sea Chart

Sea Chart — 業務ルール地図

再開カードでも解決できなかった座礁ポイントを可視化する

再開カードで解決済み（PASS）

HOLD継続中（追加証拠待ち）

座礁ポイント（未定義ルール・ルール整備が必要）

決定論でシミュレーションできるから、止まった場所が資産になる。
暗黙知だった業務ルールが見え、AI自動化の“つまり”を可視化できる。

危険な構造を止める

EAG

証拠の適格性を見る

ITS

HOLD後に再操舵する

= 再開カード

Ticket

判定履歴を残す

Sea Chart

停止点を可視化する

Sea Chart（シーチャート）

HOLDの reason_code を集約し、どこで止まり、なぜ止まり、どこへ戻したかを読む。

凡例

面積 = 停止件数 / 色 = 未解消率

低（〜20%）中低（20〜40%）中（40〜60%）中高（60〜80%）高（80〜100%）

証拠不足

42件

文脈欠落

35件

スコープ違反

28件

trust不足

19件

スコープ違反（revoke）

14件

テナント越境

8件

証拠不足（latest）

11件

※ サンプル表示。実際のPoCデータは導入後に蓄積されます。

未定義が資産になる

止まった場所から、まだルール化されていない判断を発見する。

暗黙知を見える化

マニュアル化されていなかった例外判断を抽出する。

AI自動化の“つまり”を可視化

どの業務・どの条件で詰まるかを把握する。

次のルール化につなげる

再発するHOLDを業務ルール・証拠整備・承認設計へ変える。

HOLDは失敗ではない。
次の業務ルールを見つけるための地図である。

最後の実行だけは、会社が握る。

どこから始めるか

3つのフェーズはそれぞれ独立して契約できます。
AIを入れる予定がなくても、Phase 0 / 0.5 だけで完結します。

Phase 0

業務ルールをGate化する

業務担当コンプライアンス法務

AIなし。承認条件、証拠要件、例外処理、権限境界を整理する。

どの操作に承認が必要かをGateで定義する
例外判断・暗黙知をHOLDとして可視化する
Sea Chart で業務ルールの地図を作る

30〜60万円 / 2〜4週間 / 本番非改修

AIを入れる予定がなくても完結します

Phase 0.5

AIなしでSecurity Gateを入れる

CISO情報セキュリティIT基盤

既存API、RPA、SaaS連携、外部送信、本番操作をGate経由にする。

既存APIが証拠なしで外部送信するのを止める
RPAが承認なしで本番操作するのを止める
SaaS間のデータ連携に境界線を引く
外部送信ログを自動で残す

AIは一切使いません

Phase 1

業務にAIエージェントを接続する

DX推進CTOAI導入チーム

Phase 0 / 0.5 で整備したGateにAIエージェントを接続する。 AIの出力はGateを通過してから業務フローへ入る。

CS返信・返品返金・広告LP・自動発注にAIを接続
HOLDが出たらAIが追加証拠を取りに行く
Phase 0 / 0.5 の蓄積が最初から活きる

Phase 0 / 0.5 の完了後に進みます

各フェーズは独立して契約可能です。
Phase 0 または 0.5 のみでの完結も承ります。
NDA対応可。

どのフェーズか相談する

C³との共同設計で、技術が自社に残る

Logos Protocol は SaaS ではなく、共同設計の仕組みです。 PoC期間中、御社のエンジニア・業務担当が Gate の設計・検証に参加します。完了時、運用知識・検証スキル・reason_code 辞書が自社の資産として残ります。

業界で最初に「決定論ゲート」を運用した実績

HOLDマップと reason_code 辞書が自社資産になる

C³の論文・標準化事例として共同記載の可能性（合意の上）

※ 技術的な共同設計を前提とするため、
　自社エンジニアが不在の環境での導入は現時点では対象外です。

PoC Offering

AI Release Gate PoC

Logos Protocolを、個別業務の実行前ゲートとして検証するPoCです。支援とは別契約・別見積で設計します。

想定価格	50万〜150万円
期間	2〜6週間
主な成果物	対象業務の実行前チェック地図、HOLD/PASS/ESCALATE 理由コード、業務ルールの未定義箇所リスト、実行前Gateデモ、検証ログ、PoC報告書、次フェーズ提案

含まれないもの：本番導入保証、法令遵守保証、セキュリティ認証、 C³ Conformant表示、特許ライセンス、外部監査済みの表示

PoCについて相談する →

LOGOS Protocol = 出口層の制御基盤 × 検証可能な構造

AIが「勝手にしゃべらない」だけでなく、「勝手に動かない」ための実行前ゲートです。

まずは社内検討用PDFをご確認ください。対象業務がまだ決まっていない場合でも、PDFをもとに「どの業務をPhase 0の対象にするか」から相談できます。

PDFをダウンロード Verify IDで確認する（Registry）Phase 0 PoCを相談する BYOV Kitを見る技術仕様を見る

論文・プレプリント情報（再審査中）は、公開状態を確認したうえで案内します。