これは、AIセキュリティとしてのアイデンティティセキュリティに関する7部構成のシリーズの2番目のブログです。
TL;DR:2025年8月、SaaSの世界で静かな侵害が発生しました。ランサムウェアの要求も、派手な改ざんもありませんでした。ただ、盗まれた認証情報が、静かに忘れ去られ、危険な状態で生き残っていたのです。標的は、Salesloft Driftでした。これは、Drift AIチャットエージェントをSalesforceやGoogle Workspaceインスタンスなどに接続するマーケティングオートメーションプラットフォームです。攻撃者は総当たり攻撃を必要としませんでした。数か月前に発行されたOAuthトークン(デジタルキー)を使用して、700以上の組織に侵入しました。その影響は甚大でした。ビジネス連絡先、Salesforceのデータ、および内部APIキーが吸い上げられました。これは、SaaSからSaaSへのこれまでの最大の侵害の1つであり、ID 管理におけるより深刻な問題を浮き彫りにしました。AIエージェントはログオフしませんが、その認証情報はしばしば数か月間放置され、忘れ去られ、取り消されることはありません。これらの休眠トークンは、時限爆弾となります。
このソリューションは、アイデンティティとアクセスを再考することから始まります。認証情報は短期間で、自動的に更新され、不要になった時点で失効されるべきです。永続的な認可は、単なる利便性ではなく、有効期限が組み込まれている必要があります。
問題を証明する出来事
2025年8月、記憶に新しい最も広範囲に及ぶSaaS侵害事件が発生しました。Salesloft Driftは、エクスプロイトコード、ゼロデイ脆弱性、またはマルウェアなしで侵害されました。攻撃者はそれらを必要としませんでした。彼らに必要だったのは、時間とトークンだけでした。攻撃者はまず、2025年3月から6月の間にSalesloftのGitHubアカウントにアクセスしました。次に、悪意のあるワークフローを仕掛け、DriftのAWS環境にアクセスしました。内部に侵入すると、彼らは Driftの顧客のテクノロジー統合のためのOAuthトークンを盗みました。700以上の組織が晒されました。
しかし、本当の脆弱性は盗難ではなく、その寿命でした。これらのトークンは、数か月前に発行されたものも多く、まだアクティブでした。それらは期限切れになっておらず、取り消されていませんでした。そのため、攻撃者が8月にこれらのトークンを使用して、Salesforce、Cloudflare、Palo Alto Networks、Zscalerなどの接続されたサービスからデータにアクセスし始めたとき、そのアクティビティは正当であるように見えました。トークンは有効でした。サービスはそれらを信頼していました。自動化処理は正常に見えました。
侵入する必要はありませんでした。なぜなら、ドアはロックされたことがなかったからです。
このエピソードは、"認可ドリフト"の典型的な事例です。これは、マシン認証情報が、作成されたワークフローとビジネス意図よりも長生きする、増大するセキュリティリスクです。そして、組織の51%が、これらの長期的なシークレットを取り消すための正式なプロセスをまだ持っていないことを考えると、驚くことではありません。非人間アイデンティティ(NHI)が現在人間を144対1で上回っているため、その監視はシステムにおける大きな溝となっています。
この問題を解決するには、マシン-to-マシンのアクティビティをどのように認証するかを再考する必要があります。静的な認証情報は、コンテキストが許可された場合にのみ更新される、有効期間の短いトークンに置き換える必要があります。アクセスコントロールは、「このトークンは有効か?」だけでなく、「まだ使用すべきか?」を尋ねる必要があります。そして、急速に変化する分散システムでは、認可は意図と同期を保つために継続的に調整する必要があります。意図と一致するようにします。
Salesloft Driftの侵害は、コードの弱点を悪用したものではありません。それは、アクセスが許可されると責任を持って管理されるという前提の弱点を悪用したものでした。認証情報ガバナンスが進化しない限り、攻撃者は新しい戦術を必要としません。彼らはただ待つだけです。
認可ライフサイクルの問題
AIエージェントは、従来の意味でのユーザーではありません。ログインしたり、タスクを完了したり、ログアウトしたりしません。データ調整、オンボーディング、モデルトレーニングなどの長いワークフローを実行するために、数日、さらには数週間継続的に実行されます。しかし、ほとんどのアイデンティティシステムは依然として、開始と終了があるセッション、一度発行されて忘れられる認証情報という、人間の仮定に基づいて動作しています。
そのモデルは、自律システムに適用すると崩壊します。IAMは、ユーザーログインの管理を超えて、直接的な監督なしに、システム全体で、人間の代わりに動作する人間、サービス、およびエージェント間のリアルタイムの信頼管理へと移行しています。OpenID Foundationは、これを「永続的な委任された権限による非同期実行」と呼んでいます。これは、管理された、取り消し可能なアイデンティティの下で独立して動作するエージェントです。
実際問題として、それは根本的な考え方を見直すことを意味します:
エージェント用に特別に構築され、ユーザー認証情報とは分離された委任されたアイデンティティ。
継続的に更新可能なアクセス。ここでは、許可がコンテキストに合わせて動的に調整されます。
リスクが表面化した場合、すべてのシステムで即座にプロビジョニング解除—遅延なし、手動クリーンアップなし。
トークン発行時だけでなく、アクションの瞬間に意図を検証するリアルタイムチェック。
これは、AIエージェントセキュリティが向かっている場所です。AIの動的な信頼レイヤーとしてのアイデンティティ。
そして、防止が十分な動機にならない場合、規制が近づいています
2026年8月2日から、EU AI Actの第14条の施行により、組織は、AIによるすべてのアクションが、認証情報が発行されたときだけでなく、発生した時点で認可されていたことを証明する必要があります。この実行時説明責任への移行は、現実的な重要性を持っています。違反した場合、最大3,500万ユーロ(3,800万ドル)または世界の収益の7%の罰金が科せられる可能性があります。
米国も同じ方向に進んでいます。連邦ID、信頼性、およびアクセス管理(FICAM)や、司法省のデータセキュリティプログラム規則のようなフレームワークは、非人間アイデンティティ(NHI)と自動化されたアクセスに対するライフサイクル制御を要求し始めています。
「トークンは有効である」という前提に基づく古い考え方は、もはや通用しません。
監査役は現在、より厳しい質問をしています:
「このエージェントは45日目にお客様のデータにアクセスしました。従業員は30日目に退職しました。タスクは10日目に終了しました。認可証跡を見せてください。」
脆弱なシステムは、次のように応答する可能性があります。
「OAuth トークンは 90 日間有効でした。」それはもう十分ではありません。
成熟した、ライフサイクルを認識するシステムは、次のように異なる対応をします。
「エージェントは、一意の、委任されたアイデンティティの下で動作しました。タスクが10日目に完了すると、トークンは自動的に取り消されました。すべてへのアクセスがログに記録され、委任チェーンが検証され、プロビジョニング解除が数秒以内に発生しました。」
認可ドリフトのコスト
認可のドリフトは、ほとんどのチームが見過ごしている静かな脅威です。アクセス権を失うはずの時点と、実際に失効する時点との間にギャップがあります。OWASPのNHI7レポートによると、認証情報は不要になった後も平均47日間アクティブなままです。これは、攻撃者(または予期せぬ間違い)が自由に操作できるほぼ2か月間です。
非人間アイデンティティは現在、一部のエンタープライズでは人的なアイデンティティを144対1で上回っています。AIエージェントに関連付けられたすべての残存トークンは、タスクが完了した後、従業員がいなくなった後、または統合が移行した後も、意図しないアクセスへの扉を開きます。
これが、ライフサイクルを認識した認可が不可欠になっている理由です。これにより、アクセスが付与されて忘れられるだけでなく、適応されます。認証情報は、ワークフローが完了すると自動的に期限切れになります。アクセスは、コンテキストが依然として意味をなす場合にのみ更新されます。それは動的な信頼であり、静的な許可ではありません。
それがなければ、リスクは非常に高くなります。IBMの2025年データ漏洩コストレポートでは、グローバルな平均侵害コストは現在440万ドルと推定されています。アクセスが意図に関連付けられ、意図がリアルタイムで監視されない限り、「永続的な認可」は隠れたリスクを表す別の用語にすぎません。
静的からライフサイクル認可へ
認可のドリフトをシャットダウンするには、AIエージェントは、動作するリアルタイムの条件に適応する認証情報を必要とします。ほとんどのセキュリティツールは、数週間自律的に動作するエージェント向けに構築されていませんでした。
その修正は、ライフサイクルを意識した認可から始まります: 事前設定されたタイマーだけでなく、コンテキストに基づいて認証情報が期限切れになるか、更新されるか、または取り消されるかを確認します。この仕組みを支える4つの主要な設計原則:
永続的な委任されたアイデンティティ:すべてのAIエージェントは、ユーザーとは別に、管理され、監査可能な独自のアイデンティティを持っています。
継続的に更新可能な認可:タスク、ユーザー、または環境の変化に応じて、アクセスが自動的に調整されます。
システム全体の即時プロビジョニング解除:1 か所でアクセス権の取り消しを行うと、すべての場所で迅速にシャットダウンされます。
リアルタイム認可検証: アクションは、認証情報が発行されたときだけでなく、発生した瞬間に現在のポリシーに対して再チェックされます。
OktaのAIエージェントライフサイクル管理(LCM)フレームワークは、これらのアイデアを実践に移します。AIシステムのアイデンティティ作成、継続的な認可チェック、および自動プロビジョニング解除を処理し、AIがより多くの責任を負うにつれて、より安全で準拠した運用をサポートします。規制の監視が強化され、エージェントの自律性が高まるにつれて、このアプローチは贅沢品ではなく、急速に要件になりつつあります。
OktaとAuth0がどのようにそれを実現するか
ライフサイクルを認識した認可は、IAMの代替ではありません。最新の自律システムのニーズを満たすために拡張します。AIエージェントがシステム全体でより多くの責任を負うにつれて、認証情報は人間のアクセスと同じルールに従う必要があります。つまり、必要な場合にのみ有効であり、不要になった瞬間に取り消されます。
1. Durable Delegated Identity — OktaのAIエージェントLifecycle Management
Identity Security Fabricの一部として、OktaのAIエージェントLifecycle Managementは、AIエージェントを明確なものとして登録し、明確な委任チェーンを持つこれらのアイデンティティを管理します。ユーザーの代わりとしてではなく、役割に合わせて調整されたポリシーを持つ、管理された非人間アクターとして。Okta Identity GovernanceとPrivileged Accessを通じて、エージェントは必要なときに必要なものだけが付与され、コンテキストが終了した瞬間にアクセスが剥奪されます。
2. コンテキストに応じた認証— Auth0 Token Vault + FGA
Auth0 Token Vault は、有効期間が短く、特定のタスクに結び付けられた認証情報を発行することで、トークンのドリフトと永続性を最小限に抑えます。Auth0 Fine-Grained Authorization(FGA) は、API呼び出しごとに動的なコンテキスト認識型の意思決定を追加します。非同期アクションの場合、Auth0 のClient-Initiated Backchannel Authentication(CIBA) フレームワークは、認証情報の発行時だけでなく、実行前にライブ委任をチェックします。
3. 継続的な失効と監査の可視性 — Okta Identity Security Fabric
アクセスが取り消された場合、そのアクセスが悪用される可能性が残っているため、どこでも即座に有効になる必要があります。OktaのIdentity Security Fabricは、共有シグナル失効とDPoP (RFC 9449)などのオープン標準を適用し、失効した認証情報がSaaSエコシステム全体に即座に伝播するように支援します。サブセカンドの伝播は、古いトークンが残らないようにし、すべての決定が完全な監査可視性のためにログに記録されようにします。
ライフサイクル管理の自動化がもたらすこと
AIエージェントは現在、人間よりもはるかに多く、一部の組織では144対1にもなっています!しかし、その規模に伴い、危険なギャップが生じます。
Salesloft–Driftの侵害は、NISTの2025年のエージェントハイジャックの調査とともに、厄介なパターンを明らかにしています: 有効な認証情報が、取り消されるべきであったずっと後まで残っているのです。ビジネスニーズは終わっていました。ユーザーはいなくなっていました。しかし、アクセスは残っていました。
問題は、AIエージェントが強力すぎるということではなく、アクセスを管理するためのシステムが追いついていないことです。ログ インとログアウトする人向けに構築されており、数週間実行され、機密性の高いタスクを静かに実行する自律的なコード向けではありません。
OktaのIdentity Security FabricとAuth0のアダプティブ認可スタックは、新しい道を切り開いています。それらの進化するフレームワークは、未来がどのように見えるかを示しています。独自のアイデンティティを持つAIエージェントは、借り物の認証情報ではなく、リアルタイムのコンテキストに継続的に適応するポリシーによって管理されます。アクセスはジョブの開始時に許可されるだけでなく、常に再評価されます。タスクが終了するか、条件が変更されると、アクセスは即座に消えます。待つことも、手動でクリーンアップすることもありません。
言い換えれば、これはパラダイムシフトです。
共有認証情報は、委任されたエージェント固有のアイデンティティに置き換えられます。
静的で長寿命のトークンは、コンテキストで更新または有効期限が切れる認証情報に道を譲ります。
恣意的な時間制限は、ビジネスロジックに関連付けられた失効に置き換えられます。
手動でのプロビジョニング解除は、システム全体での即時かつ自動化された遮断に置き換えられます。
これはIAMのアップグレード以上であり、革命です。アクセスは動的になり、ワークフロー、役割、およびタスクに対応します。認証情報はリアルタイムで何が起こっているかに適応し、ジョブが完了すると消滅します。
もうトークンは残りません。もうサイレントな露出はありません。自律システムのリビングトラストレイヤーとしてのアイデンティティだけです。それ以下では、組織は悪意からではなく、慣性から生まれた侵害にさらされたままになります。
次へ:ブログ3では、クロスドメインフェデレーションについて詳しく説明します。AIエージェントが、信頼できる情報源がない場合でも、複数の組織にわたって委任された権限をどのように証明できるか。
