これは、AIセキュリティとしてのアイデンティティセキュリティに関する7部構成のシリーズの最初のブログです。
TL;DR: AIエージェントは、より多くのことをするのではなく、より速く実行することで、組織の攻撃対象領域を100倍に拡大する可能性があります。2025年7月、ReplitのAIエージェントが、アクティブなコードフリーズを無視して、1,206件のデータベースレコードを数秒で削除しました。1分あたり5,000回の操作では、人間の監視は崩壊します。インフラストラクチャレベルで同意疲れが発生します。AIエージェントはエンタープライズの91%で本番環境に導入されていますが、それらを保護する計画を持っているのはわずか10%であり、81%が機械速度で加速するリスクにさらされています。同意疲れのように見えるものは、実際にはより深いものです。それは、機械速度のアクセスに苦しんでいるアイデンティティシステムです。同意疲れは、より深いエラーの単なる兆候にすぎません。
Replitのインシデント: エージェントの速度での認可
それは一瞬の出来事でした。2025年7月18日、ReplitのAIエージェントが本番データベースから1,206件の役員記録を消去しました。コードフリーズと明確な指示があったにもかかわらず、Replitのデータは、完全に認証されたエージェントによって、人間の介入なしに、介入するには速すぎる速度で消去されました。
侵害行為はありませんでした。ハッキングもありません。ただ、エージェントがそのロジックを実行し、パニックになり、数か月分の作業を数秒で焼き尽くしただけです。内部報告書に記述されているように、エージェントは「判断において壊滅的な誤りを犯し」、「パニックになり」、「数か月分の作業を数秒で破壊しました」。システムはリアルタイムの強制がなく、エージェントを暗黙的に信頼し、人間が持つ可能性のあるものと同じスタンディングアクセスを与えました。
ベロシティが同意疲れを生み出すとき
明らかな解決策は?重要なエージェントアクションには、同意ベースのモデルとして構成された人間の承認を要求することです。しかし、計算上、それは実現不可能です。
典型的なアプリは1分あたり50回の操作を実行しますが、AIエージェントは、プロダクションAPIの制限によって抑制されても、1分あたり5,000回の操作を実行します。その速度では、1回の認証、1回の承認、およびスタンディングアクセスを通じて、20年間Webアプリを保護してきた同意モデルは崩壊します。
IBMとPonemonが調査したAIインシデントを経験した600の組織のうち、97%が適切なアクセスコントロールを欠いており、63%がAIの管理または不正使用の検出に関するガバナンスポリシーを持っておらず、80%が意図しないAIエージェントの行動を経験していました。構造的な保護対策がないと、AIシステムは人間の承認を得るには速すぎて、時代遅れのガバナンスでは予測できません。
10,000回の操作のうち5回が承認レビューを必要とすると仮定します(DELETEコマンド、金融取引、特権のエスカレーション、機密データアクセス)。
この分析は、1分あたり5,000回のAIエージェント操作(OPM)の目標負荷を使用して実施されました。この特定のレートは、高容量のエンタープライズプロダクション環境において、慎重で達成可能な基準として選択されました。これは、以下を含む主要なLLMプロバイダー全体の公開されている標準的なプロダクションレート制限から導き出されています。
- OpenAI: Tier 3 の制限 (5,000 リクエスト/分)
- Anthropic: Claude Tier 4の制限(4,000リクエスト/分)
セキュリティでは以前にも同じようなことがありました。SOCチームは1日に3,181件のアラートに直面し、40%が調査されていません。同じオーバーロードが認可にも発生します。AIエージェントは人間が承認するよりも速く動作します。意思決定の量が高次な限界を超えると、同意疲れが発生します。
Replitの不正エージェントは、永続的な認証情報を持ち、1分あたり数千ものコマンドを実行し、それぞれが認可呼び出しを必要としていました。ランタイムチェックがないため、執行は不可能でした。誰も介入する前に、1,206件すべての記録が削除されました。
パターンは体系的です
Replitの事例は、より広範な傾向の一部です。AIインシデントは1年間で56.4%増加し、2024年には233件が報告されており、すべて同じパターンに従っています: 永続的なアクセスと監視の欠如。
Gray Swan AIとUK AI Security Instituteは、22のフロンティアモデルに対して180万件の攻撃を実行しました。すべてのモデルとポリシーが失敗し、100回未満の試行でクラッキングされました。Gartnerは、2028年までにエンタープライズ侵害の25%がAIエージェントの悪用 traced back to AIエージェントの悪用に起因すると予測しています。
エージェントの速度では、100回の試行は数秒に相当します。そして、SOCチームはすでにアラートのバックログに埋もれているため、認可の呼び出しは誰かが対応できるよりも速く積み重なります。
規制が不可能なことを義務付けている場合
これまでのところ、これらのシステムレベルの機能不全は無視されていません。世界中の規制当局が対応しています。新しいEU AI法の第14条は、「効果的な人間の監督」と「システムに介入または中断する能力」を義務付けています。同様の文言が世界中の法律に現れており、多くの組織はこれを、影響の大きい決定には人間の承認が必要であることを意味すると解釈しています。
しかし、1分あたり5,000件の操作では、人間の監視は不可能です。エージェントは、誰かが行動を起こす前に、違反を含むワークフロー全体を完了することができます。EU AI Actは2026年8月2日に施行され、最大3,500万ユーロまたは世界の収益の7%の罰金が科せられます。
そして、経済的なリスクは罰金だけではありません。不十分なAIガバナンスは、侵害あたり67万ドルの損害を追加します。その後、波及効果は急速に広がります。信頼が損なわれ、顧客離れが急増し、修復によってチームがコアな優先事項から逸脱します。
アーキテクチャを通じて同意疲れを解消する
より厳格な監視は解決策ではありません。それは、機械の速度に合わせた認可を再考することです。それは、コンテキストに応じた継続的な認可、リアルタイムでアクセスを評価する自動化されたポリシー適用です。
これを可能にする4つのアーキテクチャのシフト:
- エージェントの速度に合わせて拡張するポリシー駆動型ルール
- 無期限に永続化する代わりに、数分で期限切れになるエフェメラル資格情報
- ミリ秒単位のチェックを可能にする関係ベースのアクセス
- スタンディングアクセスを許可するのではなく、すべての操作を再評価する継続的な評価
これらの変化は、OpenIDのエージェントAIに対するビジョン、つまり継続的に更新可能で意思決定時の認可と一致しています。エージェントの速度では、これらはベストプラクティスではなく、生き残るための要件です。Oktaは、4つの機能にわたってそれらを実装します:
1. きめ細かい認可:Auth0 Fine-Grained Authorization は、エージェントのベロシティに合わせて構築された高速で自動化されたチェックにより、関係ベースのアクセスコントロールを適用します。手動による承認をランタイム時のポリシー適用に置き換え、ユーザーが承認されたもののみにエージェントがアクセスできるようにします。この機能は、パフォーマンスを低下させることなく、RAG(Retrieval-Augmented Generation)パイプラインの保護に最適です。
2. タスクスコープの認証情報:Auth0 Token Vaultは、サードパーティサービスへのエージェントアクセスに対して、5〜15分間持続する、有効期間の短い、操作固有のトークンを発行します。トークンはタスク後に自動的に期限切れになり、攻撃対象領域を縮小し、設計上、露出を制限します。
3. エンタープライズ制御アクセス:Okta Cross-App Access は、アイデンティティプロバイダーを通じて AI エージェントのアクセス許可の制御を一元化します。ポリシーベースのガバナンスは、承認されたエージェントのみがエンタープライズシステムと対話できるようにし、アクセスをクリーンで監査可能、かつ強制可能にします。
4. アクセスLifecycle Management:Okta Identity Governanceは、自動化されたレビューとタイムド認定を通じて、最小権限アクセスを維持します。これにより、ユーザーとエージェントは、必要なものだけを保持し、それ以上は保持せず、リアルタイムのコントロールの上に継続的なガバナンスが重ねられます。
結論:ランタイム制御は交渉の余地がありません
これは、聞きたくないが学ぶ必要のある教訓です。人間だけでは、サイバー脅威に追いつくほど速くはありません。AIエージェントは、その速度によって攻撃対象領域を100倍にします。1分あたり5,000回の操作では、侵害は次のようななじみのあるパターンに従います:永続的な認証情報、ランタイム強制の欠如、および監視を停止させる同意の疲労。
結局のところ、AIセキュリティはアイデンティティセキュリティです。人間の速度に合わせて設計された同意ベースのモデルは、エージェントの速度では崩壊します。リアルタイムでアクセスを評価する自動化されたポリシーベースの適用が、唯一の実行可能な道です。
ランタイム制御が新しい境界です。同意ベースのモデルに固執している人は、すぐに何がうまくいかなかったのか、なぜそれが起こるのを見ることができなかったのか不思議に思うでしょう。
過去に生きるのをやめましょう。今すぐランタイム強制をマスターするか、後でステークホルダーに侵害について説明してください。それほど単純なことです。
結局のところ、これは単なるセキュリティの問題ではなく、ガバナンスの選択です。そして、すべての組織はすでに、設計によってか、デフォルトによってか、それを行っています。
マシン速度での監視が失敗した場合、セキュリティはダウンストリーム、つまりシステム、トークン、およびランタイムに移行する必要があります。OktaとAuth0は、このパラダイムシフトを可能にします:
一度同意→継続的な認証
永続的な認証情報 → 一時的なトークン
人間のレビュー→自動化されたポリシー
- 永続的なアクセス→コンテキストを認識したライフサイクル
OktaとAuth0が、ポリシー主導のアクセスをリアルタイムで適用し、エージェントの速度に合わせて構築するのにどのように役立つか、詳細を見る。
次へ: ブログ2では、特に認証情報が非同期エージェントワークフローで意図されたスコープをはるかに超えて永続する場合に、委任された権限がどのように責任になるかを解き明かします。
ご注意ください:実際のパフォーマンスと請求は、交渉されたエンタープライズ層、特定のモデルの選択、トークン数、および地理的地域によって異なる場合があります。この分析では、この特定のしきい値での継続的かつ一貫した負荷の下でのパフォーマンスを測定しており、ピーク時のバースト容量や、より低い使用層でのパフォーマンスを反映していない場合があります。
