30分でわかるAIエージェントのアイデンティティ戦略 イベントに登録する
無料トライアル お問い合わせ

セキュリティマルチプライヤー:非営利団体においてAIエージェントのリーチと影響を最大化

AIエージェントを安全に導入して、任務を拡大する方法

作者について

Calah Vargas

Manager, Developer Marketing

Calah is the Manager of Developer Marketing for Auth0. She joined Okta in 2022 and has focused on building content, digital experiences, and in-person events for the developer community, including startups and nonprofits. Before Okta, Calah crafted marketing and customer experience initiatives at startups, nonprofits, and political advertising agencies. She was born and raised in Orange County, CA, and made her way up to the Bay. In her free time, she loves to cook, read, try new restaurants, and travel with her family and friends.

Taylor Whitfield

Marketing Manager, Okta for Nonprofits

Taylor is a Marketing Manager on the Okta for Nonprofits team. She leads content and events that raise awareness in the nonprofit sector about how Okta’s identity products can help mitigate rising threats and secure stakeholders — including employees, volunteers, donors, community members, and AI agents. She also manages Okta’s partnerships with AWS for Nonprofits, NetHope, TechSoup, and Tech Impact. Prior to Okta, Taylor crafted content for fintech product launches at Brex and built a global community engagement program at Kiva, the microfinance nonprofit. She's based in Santa Cruz, CA, where she enjoys both the beach and redwood forests, and volunteers at nonprofits focused on ocean conservation, performing arts, and women’s health.

20 2月 2026 読了目安時間: ~

トピック

AI Agents, Identity Sprawl, AI, セキュリティ

目次

非営利団体での能力ギャップとAIエージェントによる革命

課題:非営利団体は、任務に影響を及ぼす、広範囲にわたる目標を追求しながら、大きなプレッシャーの中で活動しています。テクノロジーと研修のリソースが限られているため、スタッフはEメールの管理、レポート業務、ボランティアの調整など、反復的でありながら不可欠な作業に時間を取られています。

機会: AIエージェントは、任務を軸とする組織が必要とする「インパクトマルチプライヤー」となり得ます。これは自律的に働くデジタルスタッフとして機能し、寄付者との個別のコミュニケーションや助成金提案などの人的な活動が伴うワークフローを処理します。 

注意点:寄付者や受益者の個人識別用情報(PII)や財務情報などのステークホルダーの機密データをこれらの強力な新しいエージェントに委ねるためには、非営利団体は強固なセキュリティフレームワークに基づいてAI戦略を構築する必要があります。AIエージェントのアイデンティティとアクションを保護することで、非営利団体はアイデンティティ負債、プロンプトインジェクション、過剰なアクセス権限といった予防可能なリスクを回避しながら、大幅な業務効率の向上を実現できます。

AIエージェントの保護と制御の維持

これらのリスクを理解することが、任務を安全に守るための第一歩です。以下に留意すべき点をいくつか示します。 

  • AIエージェントは、アプリやデータに安全に接続されている必要があります。 
  • ステークホルダーは、AIエージェントが実行できるアクションとアクセスできるデータを制御可能であるべきです。
  • エージェントの重要なアクションには、人間による確認が必要です。
  • 管理されていないAIエージェントは、侵害を引き起こす前に特定する必要があります。
  • すべてのAIエージェント、スクリプト、サービスアカウントは、アイデンティティとして扱う必要があります。 

エージェントを職員と同様に非人間アイデンティティとして扱うことで、「内部脅威」のリスクを回避してAIのスピードを活用できます。

AIエージェントはどのようにチームを支援できるか?

AIエージェント、さらにはAI戦略の構築は、特にチームのリソースが限られている場合には、大掛かりな取り組みになり得ます。しかし、AIへの投資には多くのリターンがもたらされる可能性があります。 2025年の初めに、非営利団体Sage Futureは、ヘレンケラーインターナショナルへの資金調達において4つのAIモデルを活用しました。ディレクターのSage Adam Binksmith氏は、この実験はエージェントの現在の能力とその進化の速度を示す有用な例であると語っています。まだ進行中の段階だとしても、AI戦略のメリットは非常に大きいと考えられます。 

Center for Effective Philanthropy(効果的な慈善活動センター)の「AI with Purpose 2025」レポートでは、「非営利団体の90%が、組織におけるAIの活用拡大に少なくとも一定の関心を示している」とされています。最も一般的なユースケースには、以下のようなものがあります。

  • 内部の生産性:63%
  • コミュニケーション:84% 
  • 開発業務と資金調達:61%

今年初めに、Okta for Goodチームは重点的な評価を実施し、エコシステム全体の20人以上の非営利団体のリーダー、技術資金の提供者、そしてAI専門家にインタビューを行いました。調査では、AIの中核的な価値はスタッフの余剰能力を生み出すことであると明らかになりました。AIの成熟度はさまざまですが、AIが付加価値をもたらす可能性は業界全体で広く認められています。

AIエージェントはどのようにスタッフの余剰能力を生み出るのか? 

AIエージェントは、チームが手作業や反復作業を自動化して、生産性を高めるのに役立ちます。以下に主な例をいくつか挙げます。  

  • スケジュール設定やデータ入力、頻繁に内部から寄せられる問い合わせへの対応といった日常的な業務を自動化することで、チームは付加価値が高く影響力のある仕事により多くの時間を費やすことができます。
  • よくある質問やサービス情報など、ステークホルダーからのリクエスト対応を担って、場所や時間に関係なく、スタッフの支援を最も必要としている人々に対応できます。 
  • 大量のデータを迅速に処理し、予測モデルを提供することで、戦略的なインサイトをリアルタイムで提供します。こうした分析はサービス提供の在り方に影響を与え、その効果を最大化することにつながります。

それでは、さらに具体的な例を見ていきましょう。

AIのユースケース

Area

どのようなタイプのエージェントを構築できるか?

エージェントは何ができるか?

アイデンティティソリューションがない場合

資金調達と寄付者の担当

パーソナライズされた寄付者対応エージェント:パーソナライズされたお礼状を作成し、寄付履歴に基づいてフォローアップの電話をスケジュールし、寄付者への即時の受領確認を処理します。

このエージェントは、寄付者のロイヤルティを高めて、定着率を上げることができます。寄付者担当チームは、確保できた時間を活用して、一人ひとりに寄り添ったコミュニケーションを行えます。 

アイデンティティ負債:多くのエージェントは、ほとんどローテーションされない静的で長期間有効なAPIキーに依存しており、攻撃者が収集できる永続的な「シークレットの拡散」を生み出します。たとえば、資金調達を行うエージェントが寄付者のデータベースにアクセスするために永続的なAPIキーを使用し、そのキーが安全でないスクリプトから盗まれた場合、攻撃者が、機密性の高い財務記録への「目に見えない不正な手段」を手に入れることになってしまいます。

操作 

ボランティアマネージャー役エージェント:ボランティアのオンボーディングを自動化し、シフト調整、リマインダーの送信、申し込みフォームの管理を行います。

このエージェントは、管理上の負担を軽減し、ボランティアの体験を向上させて、強固なコミュニティ基盤を構築できます。 

機械的なスピードでの悪用:エージェントは、人間よりも100倍速くデータを漏洩・削除できてしまいます。ほんの数秒のうちに、侵害を受けたボランティアマネージャー役のエージェントは、ボランティアのデータベース全体にフィッシングリンクをEメールで一斉送信したり、何年分ものシフト履歴データを削除したりするように強制される可能性があります。

プログラムとサービスの提供

助成金調査エージェント:任務の基準に基づいて関連する助成金の機会を検索し、申請期日を割り出して、提案の概要作成を支援します。

このエージェントは、資金調達を加速し、調査能力を広げて、現在の開発チームを強化することができます。 

プロンプトインジェクション:攻撃者は、ソーシャルエンジニアリングエージェントを使用して、寄付者のEメールや助成金関連のテキストに悪意のある指示を仕込んで、エージェントのロジックを乗っ取ってセキュリティルールを回避することができます。

内部の効率

レポート機能エージェント:複数のシステムからデータ(CRM、財務、サービス測定基準)を収集し、取締役向けにリアルタイムのパフォーマンスダッシュボードを自動生成します。

このエージェントは、手動でのレポート作成にかかる時間を何時間も削減し、取締役会やその他のステークホルダーと迅速かつ正確にデータを共有する必要がある場合に、速やかな戦略的対応を可能にします。 

過剰なアクセス権限:エージェントの利便性を高めるために、多くの場合、エージェントには「スーパー管理者」権限が与えられます。これにより、エージェントが侵害された場合に、被害範囲が極めて大きくなります。たとえば、「すべて読み取り」のアクセス権限を持つ助成金調査エージェントが、悪意のあるプロンプトに騙された場合、機密性の高い取締役会議事録や従業員の給与データを誤って取得・要約してしまう可能性があります。

AIエージェントのセキュリティにおいてアイデンティティが重要である理由 

Okta for AI Agents

Oktaは、職員に適用されるのと同等の厳格さで、内部エージェントのセキュリティ保護と管理を支援します。このアプローチにより、エージェントのアイデンティティが保護され、AIエージェントを潜在的な内部脅威からチームの信頼できる一員へと変えることができます。Oktaを使用すると、次のことが可能になります。

  • 検出と発見:Identity Security Posture Management(ISPM)を活用して、管理されていないAIエージェントを自動的に検出し、侵害につながる前にリスクの高い設定を積極的に特定して修正できます。
  • プロビジョニングと登録:すべてのAIエージェントとサービスアカウントをアイデンティティとして扱います。各AIエージェントに人間の所有者を割り当て、基本レベルのセキュリティポリシーを適用して、Universal Directoryでエージェントの管理を一元化します。
  • 認可と保護:ツールとデータへの最小権限アクセスを適用することで、エージェントが実行できる操作を制御します。Oktaを使用してエージェント認証を標準化し、一貫性とセキュリティを確保して、有用なAIエージェントが内部脅威になることを防ぎます。
  • 管理と監視:Okta Identity Governanceを使用して、エージェントのアクティビティを継続的に監視し、リアルタイムで脅威を検出します。アクセス許可を検証し、エージェントが疑わしい行動をとった場合は、アクセス権をすぐに取り消します。

Auth0 for AI Agents

Auth0は、エージェントのアイデンティティと、外部ユーザー、ツール、機密データとのやり取りに重点を置いています。Auth0 for AI Agentsは、以下を提供しています。

  • 安全なログインフレームワーク。これにより、エージェントがユーザーに代わって行動する前に、ユーザーが認証できます(エージェントによって管理される個人用ポータルに寄付者がログインする場合など)。
  • Token Vault。アプリとAIエージェントを、GoogleカレンダーやDropboxなどのサードパーティツールと統合する機能です。アクセストークンとリフレッシュトークンを安全に処理し、トークンのスコープと期限が適切に設定されるようにします。 
  • RAG向けのFine Grained Authorization(FGA)。エージェントがユーザーと情報やドキュメントを共有するときに、ユーザーが実際に閲覧を認可されているものだけを取得します。
  • Asynchronous Authorization。リスクの高いアクションに対して「ヒューマンインザループ」の承認手順を設けます。エージェントが、対象グループに重要な更新を送信するなどのアクションを開始しますが、処理を進める前に、認可されたスタッフメンバーが明示的な同意を与える必要があります。

セキュリティを犠牲にしないイノベーション

強力なAIエージェントと堅牢なアイデンティティセキュリティを組み合わせることで、非営利団体は責任ある形でイノベーションへの道筋を得ることができます。OktaとAuth0を使用すると、スピードと安全性のどちらかを選択する必要はなく、両方を実現できます。この実現に向けて、当社では審査済みの非営利団体に無料および割引価格で製品を提供しています。さっそく利用資格を確認し、AIエージェントのセキュリティ保護を開始してください。

作者について

Calah Vargas

Manager, Developer Marketing

Calah is the Manager of Developer Marketing for Auth0. She joined Okta in 2022 and has focused on building content, digital experiences, and in-person events for the developer community, including startups and nonprofits. Before Okta, Calah crafted marketing and customer experience initiatives at startups, nonprofits, and political advertising agencies. She was born and raised in Orange County, CA, and made her way up to the Bay. In her free time, she loves to cook, read, try new restaurants, and travel with her family and friends.

Taylor Whitfield

Marketing Manager, Okta for Nonprofits

Taylor is a Marketing Manager on the Okta for Nonprofits team. She leads content and events that raise awareness in the nonprofit sector about how Okta’s identity products can help mitigate rising threats and secure stakeholders — including employees, volunteers, donors, community members, and AI agents. She also manages Okta’s partnerships with AWS for Nonprofits, NetHope, TechSoup, and Tech Impact. Prior to Okta, Taylor crafted content for fintech product launches at Brex and built a global community engagement program at Kiva, the microfinance nonprofit. She's based in Santa Cruz, CA, where she enjoys both the beach and redwood forests, and volunteers at nonprofits focused on ocean conservation, performing arts, and women’s health.

アイデンティティ施策を推進

今すぐ無料トライアルをご利用いただけます。個別のご要望については、お気軽にお問い合わせください。

今すぐ始める
見積もりなどのお問い合わせ