Agentic AI(エージェント型AI)とは、最小限の人的監督で、複雑な目標を達成するために、自律的に意思決定を行い、行動を起こすことができる人工知能システムを包含します。従来のAIは、あらかじめ定義された制約の中でデータを分析することが主でしたが、そこからの進化は、既存のセキュリティフレームワークを再考する必要がある重大なサイバーセキュリティリスクをもたらします。
AIエージェントとは何ですか?また、どのように機能しますか?
AIエージェントとは、特定の目標を追求し、ユーザーに代わってタスクを実行するために人工知能を利用するソフトウェアシステムです。従来のボットが入力に対して受動的に応答するのとは異なり、AIエージェントは積極的に環境と対話し、フィードバックから学習し、目的を達成するために行動を適応させることができます。
大規模言語モデル(LLM)のマルチモーダル機能によって強化されたこれらのエージェントは、広範囲のデータ(テキスト、音声、ビデオ、コードなど)を処理し、高度な意思決定を行います。
AIエージェントの運用サイクル
AIエージェントは、自律的な意思決定と適応を可能にする継続的な反復サイクルを通じて動作します。
認識
エージェントは、センサー、API、データベース、またはユーザーインタラクションを介してデータを取り込みます。推論
LLMまたはその他のモデルは、データを分析して洞察とコンテキストを抽出します。目標設定と計画
エージェントは、プロンプトまたはルールに基づいて目標を定義し、それに応じて計画を立てます。意思決定
エージェントは、可能なアクションを評価し、最も効率的なパスを選択します。実行
エージェントは、API、システムコール、またはUIインタラクションを通じてアクションを実行します。学習と適応
エージェントは結果を評価し、時間の経過とともにその動作を改善します。オーケストレーション
複数のエージェントが、オーケストレーションプラットフォームまたは直接通信を介して、複雑な環境で連携できます。
新たな脅威の状況の特性
拡大された攻撃対象領域
エージェントは、API、システム、およびデータへのアクセスを必要とし、脆弱なポイントを増やします。
予測不可能な動作
学習エージェントは予期しない方向に進化する可能性があり、監視が困難になります。
侵害の速度と規模
単一の侵害されたエージェントは、人間よりも迅速かつ広範囲に行動できます。
不透明な意思決定
多くのLLMに見られる「ブラックボックス」という性質は、根本原因の分析と脅威への対応を複雑にしています。
セキュリティ上の脅威とリスク
自律型AIシステムの自律的かつ動的な性質は、独自のセキュリティ上の脅威をもたらします。
データポイズニングと整合性攻撃
攻撃者は、エージェントのトレーニングデータまたは運用データに悪意のある入力を送り込み、不正確な出力、偏った決定、または誤った目標につながる可能性があります。
エージェントの目標操作
悪意のある攻撃者は、プロンプトインジェクションまたはメモリ改ざんによってエージェントの目的を改ざんし、明示的なシステムの侵害なしに、悪意のある目的に向かわせる可能性があります。
特権の侵害と特権過多のエージェント
AIエージェントは、ユーザーまたはシステムから権限を継承することがよくあります。きめ細かい制御がないと、これにより、特権過剰なエージェントが発生し、侵害された場合、不正または破壊的なアクションを実行する可能性があります。
ツールの誤用とAPIエクスプロイト
攻撃者は、エージェントの外部ツールやAPIへのアクセスを操作して、意図しないアクションを引き起こす可能性があります。これにより、信頼されている連携機能が攻撃経路に変わる可能性があります。
認証および認可バイパス
AIエージェントは、失効した認証情報に依存することが多いため、認証情報の盗難、スプーフィング、および不正アクセスの主要な標的となります。
非同期ワークフローの脆弱性
AIエージェントがタスクを完了するには、数分、数時間、または数日かかる場合があり、アクティブなユーザーセッションなしでバックグラウンド操作が必要になり、不正なアクションのためのウィンドウが作成されます。
アイデンティティスプーフィングとAIを活用したフィッシング
脅威アクターは、エージェントまたはユーザーになりすまして不正アクセスを取得したり、誤った指示を挿入したりします。多くの場合、AIを使用してパーソナライズされた、検出が困難なフィッシングコンテンツを生成します。
連鎖的な障害とリソースの過負荷
複数の同時アクションを実行するエージェントは、誤ってDoS状態を引き起こしたり、システム全体に波及する幻覚応答を増幅したりする可能性があります。
否認と追跡不能
エージェントのアクションは、堅牢なログ記録なしで記録または分析されない可能性があり、フォレンジック調査とアカウンタビリティにギャップが生じます。
検索拡張生成(RAG)システムを介したデータ漏洩
Agentic AIシステムは、適切な認可制御がない場合、RAGを通じて機密性の高いエンタープライズデータを自律的に取得し、操作できるため、ユーザーの権限を超える情報を公開する可能性があります。
ディープフェイクと合成メディアの悪用
攻撃者は、AIで生成されたメディア(音声、ビデオ、画像など)を利用して、説得力のあるソーシャルエンジニアリング、偽情報、またはなりすましキャンペーンを開始します。
ハードコードされた認証情報と脆弱な構成
不適切に構成されたエージェント、または埋め込まれた認証情報を持つエージェントは、不正アクセスまたは特権昇格を求める攻撃者にとって容易な標的になります。
Agentic AIセキュリティの脅威 vs 従来のAIリスク
脅威カテゴリ | 従来のAIのインパクト | Agentic AI の影響 | 主な区別 |
|---|---|---|---|
データ操作 | トレーニングデータの汚染 | 動的メモリ破壊 | 永続性と進化 |
アクセスコントロール | 権限境界の侵害 | 自律的な特権拡大 | プロアクティブな自律性 |
システムインテグレーション | 単一ポイントのAPI不正利用 | システム間の連携攻撃 | 連携範囲 |
トレーサビリティ | ブラックボックスの意思決定 | 難読化された自律的なアクション | アカウンタビリティの深さ |
リソースの誤用 | モデルの過負荷 | インテリジェントなリソース枯渇 | 適応型増幅 |
アイデンティティスプーフィング | 単一のアイデンティティスプーフィング | マルチエージェントIDの複雑さ | アイデンティティ・エコシステムの規模 |
Agentic AIによる脅威軽減戦略
AIエージェントによるリスク軽減には、実績のあるサイバーセキュリティ対策とAIネイティブの制御を組み合わせる必要があります。
非ヒューマンアイデンティティ(NHIs)のためのアイデンティティファーストのセキュリティ
AIエージェントを特権ユーザーとして扱い、IDおよびアクセス管理(IAM)を拡張してNHIをカバーします:
最小特権アクセスを確保するために、RBAC/ABACを適用します。
ライフサイクル管理を適用して、AIアイデンティティをプロビジョニング、ローテーション、および廃止します。
行動ベースラインを監視し、リアルタイムで異常を検出します。
AI固有の認証と資格情報管理
アカウントのリンク、必要に応じたステップアップ認証、APIアクセスのための安全なトークン管理など、AIエージェント向けに調整された認証システムを導入します。
OAuth 2.0のようなセキュアな標準をトークン管理に使用し、トークンの更新と交換を自動的に処理すると同時に、セキュアなトークンボールティングを実装して、認証情報の漏洩を防ぎます。
ガバナンスと人的監督
倫理的なAIポリシーを確立し、許容される使用法、ガードレール、エスカレーション経路を定義します。
機密性の高い、または影響の大きい決定のために、ヒューマンインザループ(HITL)チェックポイントを実装します。
コンテキスト認識型認可制御
ユーザーが明示的なアクセス許可を持つドキュメントとデータのみをAIエージェントが取得できるようにする、RAGシステムのきめ細かい認可を実装します。
セキュア開発ライフサイクル
トレーニングデータと運用データを検証して、ポイズニング攻撃から防御します。
プロンプトエンジニアリングのベストプラクティスに従って、インジェクションを防ぎます。
エージェントが依存するAPIと統合を強化します。
定期的にレッドチームと敵対的テストを実施します。
強化された可観測性とフォレンジクス
すべてのエージェントの決定とアクションについて、変更不可能な署名付きログを保持します。
監査可能性を向上させるために、可能な場合は説明可能なAI(XAI)アプローチを使用します。
マイクロセグメンテーションと環境分離
ネットワークをセグメント化し、エージェントが重要なデータやシステムにアクセスできる範囲を制限します。
環境レベルで最小特権の設計原則を適用します。
エージェント型AIセキュリティの脅威の実際の例
最近の調査では、ITプロフェッショナルの23%が、AIエージェントがアクセス資格情報を明らかにするようにだまされたと報告しており、80%の企業がボットが「意図しない行動」をとったと報告しています。
エンタープライズ環境でAIエージェントのセキュリティ上の脅威がどのように発生するかを理解することで、組織はエクスポージャーを評価し、防御を計画することができます。
今日の新たなユースケースに基づいたシナリオ例:
侵害されたマーケティングエージェント
攻撃者はプロンプトインジェクションを使用して、マーケティング自動化プラットフォームに統合された生成AIエージェントを操作し、エージェントをだまして内部製品ロードマップの詳細と顧客の価格データを公開させ、評判と規制上の結果を引き起こします。
特権が過剰なIT自動化エージェント
インフラストラクチャのヘルスを管理するように設計されたエージェントは、スーパーユーザーロールから継承された特権を取得します。設定ミスにより、予定外のフェイルオーバーがリージョン間で発生し、重要なシステムのダウンタイムにつながります。
なりすましの調達ボット
脅威アクターが、マルチエージェントワークフロー内の正当なAI搭載購買エージェントになりすまします。スプーフィングされたエージェントは、脆弱な認証をバイパスし、不正なベンダー支払いを承認します。
許可されていないカスタマーサポートエージェント
AIエージェントが、顧客サービスの問い合わせを処理する際に、継承されたアクセス権を通じて顧客データベースへの過剰な権限を取得します。不適切な認可制御により、エージェントは日常的な質問に答える際に、機密性の高い顧客個人情報を公開し、プライバシー規制に違反しています。
これらの例は、自律的な行動が可能なエージェントAIが、潜在的な攻撃の速度と複雑さをどのように拡大するかを示しています。これらのシステムを保護するには、受動的な境界防御から、積極的なアイデンティティ優先の保護への移行が必要です。
AIエージェントと人間のユーザーの違い
アカウンタビリティの欠如:エージェント(NHI)は、特定の人物ではなく、ソフトウェア、サービスアカウント、ワークロード、または自律エージェントインスタンスに関連付けられています。
短いライフスパン:人間のユーザーアカウントとは異なり、エージェントは動的で、一時的で、短命であるため、迅速なプロビジョニングとデプロビジョニングが必要です。
非人間による認証方法:エージェントは、APIトークン、JSON Web Token、相互TLS、および暗号証明書に依存します。
プログラムによるプロビジョニング:多くの場合、CI/CDパイプラインからデプロイされるエージェントは、人的な相互作用なしに自動的にプロビジョニングされる必要があります。
特定の権限要件:エージェントはユースケース固有であり、露出を最小限に抑えるために、限られた期間の特定の権限が必要です。
特権情報アクセス:エージェントは、目標を達成するために機密性の高い情報にアクセスする場合があります。
監査と修復の課題:エージェントは追跡可能な所有権と一貫したロギングを欠いていることが多く、インシデント後のフォレンジックが遅れます。
エージェント型AIセキュリティのアンカーとしてのアイデンティティ
AIエージェントがAPI、クラウドアプリケーション、データベース、およびエンタープライズツールとの連携をますます強化するにつれて、統合されたアイデンティティセキュリティファブリックが不可欠になります。つまり、AIエージェントを第一級のアイデンティティとして扱うということです。
ヒューマンおよび非ヒューマンアクター全体での統一された可視性
最小特権アクセス ポリシーの一貫した適用
AIエージェントのプロビジョニング、非アクティブ化、およびクレデンシャルローテーションによるライフサイクル管理
リアルタイムの行動分析および異常検出との統合
Agentic AIは、保護する必要のある単なる別のテクノロジーではありません。システムの動作方法の変化です。非ヒューマンアイデンティティを含む、アイデンティティ・ファーストのエージェント型セキュリティがなければ、組織は誰が、または何が重要なシステムにアクセスできるかという脆弱性にさらされます。
エージェントAIの脅威に対して将来にわたって対策する方法
アダプティブガバナンスを採用する
AIの能力は急速に進化します。組織のガバナンスは、そのペースに遅れないようにする必要があります。NIST AI Risk Management FrameworkやEU AI Actのような新しい標準に準拠し、新しいエージェント型AIリスクに合わせて調整されるポリシーを構築します。
セキュリティ体制を継続的に改善する
セキュリティは継続的なプロセスです。敵よりも先を行くには、脅威インテリジェンスを活用し、監視を自動化し、従業員のスキルアップを図ります。
アイデンティティを強化
アイデンティティレイヤーは、人間とマシンの両方のユーザーを管理するための基盤となります。すべての人間および非人間のエンティティにわたって不審なアクティビティを検出する、統合されたインテリジェントなID管理に投資してください。
新たなコンテキスト共有標準への対応
適切な情報のみが適切なタスクのために適切なエージェントに到達するように、Anthropicのモデルコンテキストプロトコル(MCP)のような新しいコンテキスト共有標準に、きめ細かいアクセスチェックを統合します。
標準化のために連携する
セキュリティチームは、情報を共有し、標準化団体に参加し、ベンダー間で協力して、エコシステムの集団防御体制を強化する必要があります。
回復力を構築する
十分に保護されたシステムであっても、最終的には侵害に直面する可能性があります。ビジネスの中断を最小限に抑えながら、AI主導の脅威を迅速に検出し、封じ込め、回復できる、回復力のあるAIシステムを設計します。
AIを活用した未来を保護する準備はできていますか?IDから始めましょう
根本的なパラダイムシフトには、AIエージェントを特権的なアプリケーションとして扱うことから脱却し、人間の従業員と同じ高度なアイデンティティライフサイクル管理を必要とする自律的なデジタルワーカーとして認識する必要があります。ただし、機械速度のプロビジョニング、行動分析、および動的な認可機能を備えています。人間と非人間のエンティティの両方にまたがる統合されたアイデンティティガバナンスを確立する組織は、エージェントAIの可能性を最大限に引き出す一方で、エンタープライズセキュリティとコンプライアンスに不可欠な、きめ細かい制御と包括的な監査証跡を維持します。
