AIエージェントセキュリティ:マシン速度で自律的な信頼を構築
Oktaによる7部構成のソート・リーダーシップシリーズ
AIエージェントの時代が到来しました。エージェントは新しいApplication (アプリケーション)レイヤーであり、本番環境で実行され、データパイプライン、セキュリティワークフロー、SaaS統合、運用技術を処理します。ビジネスロジックがアプリからエージェントに移行するにつれて、すべてのリスクがアイデンティティの問題になります。誰が、どのような権限で、どのような系統で行動しているのか、そしてコンテキストが変化したときにどれだけ早くアクセス権の取り消しができるのか。
その答えは、別の制御レイヤーではありません。自律性を考慮して再構築されたIAM、つまり、コンテキストを継続的に評価し、ドメイン全体の委任を追跡し、セキュアなエージェントワークフローを構築するためのプリミティブを開発者に提供するIAMです。OpenID FoundationのエージェントアイデンティティガイダンスおよびOWASPの非人間アイデンティティ(NHI)フレームワークに基づいて構築されています。
シリーズ
1. AIセキュリティ:エージェントの速度で提供されるIAM
人間中心のセキュリティモデルは、機械の速度には対応できません。2025年7月18日、ReplitのAIエージェントが、稼働中のデータベースから1,206件の役員記録を数秒で消去しました。一般的なアプリが1分間に50回の操作を実行するのに対し、AIエージェントは5,000回実行します。同意に基づくモデルは、エージェントの速度に対応できなくなります。ポリシーベースの認可は、リアルタイムで適用され、唯一の実行可能な手段です。
委任された権限は、認証情報が意図された範囲をはるかに超えて存続する場合、責任になります。2025年8月のSalesloft Driftの侵害では、数か月前に失効しているはずだったOAuthトークンを介して700以上の組織が侵害されました。非人間アイデンティティ(NHI)が人間の数を144対1で上回るようになり、「認証ドリフト」が重大なセキュリティギャップになっています。
3. AIセキュリティ:エージェントが複数の独立したシステムを跨ぐ場合、誰が保証するのか?
単一のアイデンティティプロバイダーが、エージェントがアクセスするすべてのシステムを網羅しているわけではありません。組織の69%が非人間アイデンティティ(NHI)攻撃を懸念し、AIエージェントが複数の信頼ドメインにわたって毎分5,000回のオペレーションを実行している現状において、連携されたアイデンティティは、リアルタイムで検証可能かつ取り消し可能でなければなりません。
4. チェーンを制御し、システムを保護する:AIエージェントの委任の修正
再帰的な委任は新たな攻撃対象領域を生み出します。最近のセキュリティに関する研究では、そのリスクが示されています。Unit 42はAgent Session Smugglingという手法を公開し、Johann RehbergerはCross-Agent 特権のエスカレーションを実証し、EchoLeak(CVE-2025-32711)は、ツールを使用するエージェントがどのように操作される可能性があるかを暴露しました。これらはすべて、ホップごとに絞り込まれない許可という同じギャップを悪用しています。
5. AIセキュリティ:エージェントが物理システムを制御する時代、IAMは安全インフラとなる
AIエージェントは現在、圧力調節や機械制御、化学物質の流量管理といったシステムを制御しています。Claude Codeが、自律的に化学メーカーに侵入しました。カレンダー招待がGeminiを乗っ取り、スマートホームデバイスが制御されました。JLRの認証情報が侵害された事例では、工場が5週間にわたって閉鎖されましたが、このときの攻撃者は人間でした。機械的なスピードでラテラルムーブメントが起きたところを想像してみてください。ソフトウェアが物理システムを動かす状況では、IAMは単なるITインフラではなく、爆発を防いでいるものです。
6. AIセキュリティ:エージェントが共有ワークスペースでサービスを提供する状況では、認可はオーディエンスに従う必要がある
認可された取得、認可されていない受信者。これが権限の共通部分に関する問題です。2025年には重大な4件の脆弱性(CVSS 9.3~9.4)が、Anthropic、Microsoft、ServiceNow、Salesforceに影響を与えました。そのパターンは同じで、OAuthは誰が取得できるかを確認しましたが、誰がその出力を受け取ったかは誰にも確認されませんでした。エージェントが共有コンテキストで動作する場合、データが取得レイヤーを離れる前に、すべての受信者の権限の共通部分を計算する、きめ細かな認可が必要です。
7.アイデンティティと認可:AIセキュリティを支えるオペレーティングシステム
6つの障害モード。根本原因の1つは、依然としてエージェントをユーザーのように扱っているアイデンティティと認可システムです。Deloitteの2026年版「State of AI」レポートによると、企業リーダーの73%が最大のAIリスクとしてセキュリティを挙げていますが、自律エージェントに対して成熟したガバナンスモデルを備えている企業はわずか21%でした。このブログ最終回では、すべての障害をOktaの検出、オンボーディング、保護、管理フレームワークと、エージェントのセキュリティを機能させる5つのアーキテクチャ特性に関連付けて整理します。
すべての統計とインシデントは、個々の投稿に記載されています。
