AIは急速に進化しています。最新のヘッドラインや発表を見るだけでも、OpenAIでは、ChatGPTをチャット内アプリや自律型エージェントのプラットフォームへと転換しました。Anthropicは、何時間ものタスクを推論できるClaude Sonnet 4.5をリリースしました。GoogleのGeminiは、人のようにWebサイトを見て回ることができるようになりました。MicrosoftのCopilotエコシステムは、WindowsとOfficeに組み込まれたエージェントのネットワークへと拡大しました。
総合的に見て、このような発表は転換点を示すものです(そして、皆様がこの記事をご覧になる頃には、おそらく時代遅れになっていることでしょう)。AIは、質問に答えるチャットボットの域をはるかに超えて進化しており、私たちの生活と仕事のあり方に積極的に関与するようになっています。
人間とは違って、AIは勤務時間を終えたり、忘れたりすることがありません。エージェントは、その目的が終わった後もずっとシステム内に静かに常駐し、アクセス権を保持し続ける可能性があります。ガバナンスがなければ、これらのアイデンティティは人目につかず動作します。そして、セキュリティの世界では、人目につかないものほど脆弱なものはありません。
従来のアイデンティティインフラストラクチャがAIエージェントに適さない理由
従来のIDシステムは、従業員、パートナー、契約社員といった人間を対象に構築されていました。しかし、AIがもたらす新たなアイデンティティの課題は、そのモデルには当てはまりません。
| 課題 | 人間のアイデンティティ | AIのアイデンティティ |
|---|---|---|
| 規模 | 従業員の規模で安定 | 何千もの動的で短命なエージェント |
| 可視性の向上 | 人事またはディレクトリで管理 | API、パイプライン、自動化に隠されている |
| 説明責任 | 個人の認証情報に関連付けられている | 明確な所有者やトレーサビリティがない場合が多い |
AIの導入が進むにつれて、管理されていないエージェントがシャドーアクセスやコンプライアンス上の不備を引き起こします。そのアクセスは誰にも監視されていませんが、全員が責任を負うことになります。
AIエージェントのアイデンティティを管理する方法
AIエージェントのアイデンティティを管理・統制するには、可視性、説明責任、コントロールが必要です。適切なアイデンティティセキュリティのプレイブックがすぐに使える状態になっていれば、必要なものは揃っています。
すべてのAIアイデンティティが以下の条件を満たすようにします。
- 既知 — 環境内で動作するAIエージェントをすべて特定できること。
- 所有 — 各エージェントに担当者が割り当てられ、その動作とアクセスに責任を負うこと。
- スコープ設定 — 権限を限定する明確な目的と期間があること。
- 監査可能 — すべてのアクションが記録され、追跡可能であること。
- 取り消し可能 — タスクが終了すると、アクセスも終了すること。
アイデンティティは、もはや人間だけのものではありません。人間の代わりに動作するAIにまで広がっています。
数多くのユースケースがあっても基本は不変
Oktaではいろいろなお客様と日々お話をしていますが、組織へのAIエージェントの導入段階はそれぞれに異なります。ユースケースが異なるとしても、エージェントを保護するにはまず、アイデンティティをきちんと把握することです。
| ユースケース | 目標 | 例 |
|---|---|---|
| カスタマーサポートエージェント | PIIの過剰な露出を防ぐ | エージェントは顧客データを読み取れるが、エクスポートはできない |
| 開発者用Copilot | システムへのアクセスを制限する | AIアシスタントは、内部リポジトリの読み取りはできるが、本番環境への書き込みはできない |
| 調達用エージェント | 説明責任を維持する | AIは購入リクエストを作成できるが、人間の承認を必要とする |
| 研究調査モデル | 機密データを保護 | モデルは、実際の顧客データではなく、合成データセットを使用する |
成熟度モデルを使用してAIエージェントを保護
OktaのAIエージェントのセキュリティ成熟度モデルを使用すると、組織の準備状況を評価できます。モデルでは4つの段階を定義しており、組織がどのレベルにあっても、AIアイデンティティを保護・統制するのに役立ちます。
どこから手を付けるべきか分からない場合に役立つチェックリスト
ステップ1:AIアイデンティティの一覧を作成する
機密性の高いシステムにアクセスするAIエージェント、モデル、自動化をすべて洗い出します。
ステップ2:人間の担当者を割り当てる
それぞれのAIアイデンティティを、責任者やチームに対応付ける必要があります。
ステップ 3:最小権限を適用する
必要なものにだけアクセス権を付与し、可能な場合はジャストインタイムのトークンを使用します。
ステップ4:アクセスレビューの対象にAIを含める
AIアカウントを人間のアカウントと同じように扱い、定期的にレビューして認証します。
ステップ5:ライフサイクル管理を自動化する
ワークフローを使用して、AIアイデンティティのプロビジョニング、更新、プロビジョニング解除を自動化します。
ガバナンスには、継続的な取り組みが必要です。早く始めれば、AIの規模が拡大していっても、コントロールを保ちやすくなります。
上記の項目の進め方にお困りであれば、組織内のAIエージェントの可視化、管理、保護を、Oktaが支援します。詳しくはこちらをご覧ください。
これらの資料は、一般的な情報提供のみを目的としており、法律、プライバシー、セキュリティ、コンプライアンス、またはビジネス上の助言ではありません。
このコンテンツは、最新のセキュリティ、法律、および/またはプライバシーの動向を反映していない可能性があります。このコンテンツの利用者は、自身の責任において、自身の法的および/または専門的アドバイザーから助言を得るものとし、本資料の情報に依存すべきではありません。
Oktaは、本コンテンツに関していかなる表明または保証も行いません。また、これらの推奨事項をお客様が実装した結果として生じたいかなる損失または損害についても責任を負いません。お客様に対するOktaの契約上の保証に関する情報は、okta.com/agreementsをご覧ください。
