エンタープライズが組織全体にAIエージェントを急速に展開するにつれて、重要なセキュリティの可視性のギャップが生じています。ITチームは、これらの自律的なツールが機密データにどのようにアクセスするかを把握または制御する能力を欠いており、シャドーAIおよびIdentity Governanceに関連するリスクが生じています。
この課題に対処するために、Cross App Access(XAA)と呼ばれる新しいオープン標準プロトコルは、完全な可視性と制御を提供します。既存のOAuthおよびOpenID Connect標準の拡張として構築されたXAAは、集中型ID 管理を使用して、安全なアプリ間通信を促進します。これにより、新たなAIエージェントエコシステムのためのアイデンティティ優先のセキュリティが可能になり、組織はAIを安全に大規模展開できるようになります。
独立系ソフトウェアベンダー(ISV)、アイデンティティプロバイダー(IdP)、およびエンタープライズアプリケーションによる実装を想定して設計されたクロスアプリアクセスは、AIエージェントのガバナンスとアプリ間のアクセスコントロールを一元化し、断片化されたアプリ固有の許可を統合されたセキュリティ監視に置き換えます。このOAuth拡張は、新しいアイデンティティインフラストラクチャを必要とせずに、AIエージェントと非人間アイデンティティ(NHI)のコンテキストをIdPのガバナンスレイヤーに導入することで、既存の認可フローを強化します。
エンタープライズAIセキュリティの課題
現代のエンタープライズは、従来のアイデンティティおよびアクセス管理(IAM)では対応できなかった保護を必要としています。それは、IT管理者とユーザーに代わって自律型AIエージェントを保護することです。これらのエージェントは、人間の継続的な監督なしに複数のApplication (アプリケーション)にまたがって動作し、堅牢な非人間アイデンティティ(NHI)セキュリティを必要とします。
Gartnerは、2026年までにエンタープライズアプリケーションの40%がタスク固有のAIエージェントを含むようになると予測しています。この加速的な成長は、組織にとって大きなセキュリティとコンプライアンスの課題を生み出します。
可視性のギャップ
ユーザーがOAuth認証またはシングルサインオン(SSO)フローを通じてAIツールをアプリに接続すると、IdPはユーザーを認証できますが、通常、AIエージェントが要求している正確な許可を確認できません。ユーザーには「ファイルへのアクセスを許可する」のようなプロンプトが表示されることがありますが、IT部門はそれが1つのファイルを意味するのか、データベース全体を意味するのかを確認できません。
これにより、3つの重大な脆弱性が生じます。
承認疲れ:ユーザーは、AIツールの権限について、同意する内容を注意深く読まずに「許可」をクリックするため、機密データへの広範なアクセスを許可する可能性があります。
可視性の欠如:ITおよびセキュリティチームはユーザーのアイデンティティを確認できますが、AIエージェントの特定のアクセス権限を確認または管理する方法がなく、危険なセキュリティの可視性のギャップが生じます。
拡張性の欠如:組織が数十、数百ものAIエージェントを導入し、手動で管理する場合、新しいAI接続はすべて潜在的なセキュリティリスクになります。
シャドーAI
シャドーAIは、組織内のユーザーがIT部門の承認または監視なしにAIテクノロジーを使用する場合に発生します。従来のシャドーITとは異なり、AIエージェントは積極的にアクションを実行し、機密情報を分析し、ユーザーに代わって意思決定を行います。過剰なアクセス権を持つ過剰な権限を与えられたAIエージェントは、誤って機密データを公開したり、コンプライアンス規則に違反したり、法的責任を生じさせたりする可能性があります。
AIエージェントのID管理における課題
AIエージェントは、従来のエンタープライズアイデンティティ管理システムでは処理できない、独自のAI ID 管理の課題を提示します。
動的なパターン:AIエージェントは、変化するタスクと責任に適応するコンテキスト認識アクセスコントロールを必要とします。
非ヒューマンIdentity Governance:人間とは異なり、AIエージェントは常に監視されることなく、信頼境界を越えて自律的に動作します。
トークンスプロール:管理されていないAIエージェントが、APIトークン、リフレッシュトークン、サービスアカウントなどの認証情報を拡散的に生成し、攻撃対象領域を拡大させます。自動化されたアイデンティティ Lifecycle Management の必要性が浮き彫りになります。
ゼロトラスト要件:AIエージェントのセキュリティでは、リスクを最小限に抑えるために、最小権限アクセスとジャストインタイムの許可の適用が必要です
Cross アプリ Accessとは?
Cross App Accessは、AIおよびアプリ間接続の一元化されたアクセスコントロールのために特別に設計された業界標準プロトコルです。個々のアプリケーションから組織のアイデンティティプロバイダーに認可の判断を移行します。IdPは、Identity Governance、ポリシーベースの認可、および最小権限アクセスコントロールを通じてリソースへのアクセスを管理する中心的なシステムとして機能します。
このプロトコルは、安全な委任を可能にすることで、マシン-to-マシン認証とAI ID 管理の課題に対応します。これは、AI エージェントが異なる信頼ドメインにわたって複数のApplication (アプリケーション)にアクセスする場合でも、IdPがユーザーのアイデンティティと認可コンテキストを保持することを意味します。各アプリが直接アクセスをネゴシエートする代わりに、IdPが信頼できる認可ブローカーとして機能し、システム全体でユーザーとエージェントのコンテキストを維持するOAuthトークンを発行および管理します。
Cross アプリ Accessには、次の3者間の連携が必要です。
エンタープライズのIdP(認証ブローカーおよびIdentity Governanceセンターとして機能)
(Box、Salesforce、またはAIアシスタントのような)プロトコルを実装するISV Application (アプリケーション)
エンタープライズITチーム(セキュリティポリシーを設定)
ISVはCross App Accessを自社製品に統合し、エンタープライズは既存のIdPを介してこれらの機能を有効化および構成します。
CrossアプリAccessの仕組み
Cross App Accessは、AIエージェントとアクセスする必要のあるApplication (アプリケーション)の間に位置し、集中型のアクセスコントロールとIdentity Governanceを提供します。
AIツールが会社概要データにアクセスする必要がある場合:
AIエージェントはアイデンティティプロバイダーに許可を要求します。
IdPはITセキュリティポリシーとクエリをチェックします:
このAIツールは承認されていますか?
このユーザーのロールは、AIがこのデータにアクセスすることを許可していますか?
すべてがチェックアウトされた場合、アクセスが付与され、ITはトランザクション全体を確認できます。
すべてのアクセスイベントは、監査とコンプライアンスのためにログされます。
Cross アプリ Accessは、IETFのOAuthワーキンググループによって採用された新しい仕様であるアイデンティティ アサーション Authorization Grantを使用して、既存のアイデンティティ標準を基に構築されています。これにより、エンタープライズIdPはAI-to-アプリおよびアプリ-to-アプリ接続を仲介し、ドメイン間でアイデンティティと認可コンテキストを変換できます。XAAは、標準のトークンベースの認可フロー(特にOpenID ConnectとOAuth)を活用し、AIエージェントのガバナンスのためにそれらを拡張します。IdPは、人間のユーザーとAIエージェントの両方に関する必要なコンテキストを含むトークンを発行できるため、安全な委任が促進され、システム全体で明確な監査証跡が維持されます。Automation Anywhere、Boomi、Box、Glean Technologiesなどの初期の協力者は、新しいプロトコルへのサポートを示しており、初期の業界での採用を示しています。
従来のアプローチ vs. Cross App Access
重要な考慮事項。 | Cross アプリ Accessなしの場合 | Cross アプリ Accessを使用 |
AI接続に対するIT部門の可視性 | 可視性なし(セキュリティの盲点) | 完全な可視性 |
セキュリティポリシー管理 | 各アプリが個別に決定します。 | IT部門による一元化されたアクセスコントロール |
アクセス失効の速度 | 各アプリで手動で無効にする必要があります | すべてのアプリで即時 |
監査証跡のロギング | ログの散在または欠落 | 完全な監査証跡 |
ユーザーエクスペリエンス(UX) | 複数の承認画面 | シームレスな1回限りのセットアップ |
リスクレベル | 不明(セキュリティの可視性のギャップ) | 管理(完全な監視) |
CrossアプリAccessのビジネス上の利点
ITおよびセキュリティリーダー向け。
集中管理:セキュリティポリシーはIdPで一度設定され、Identity Governanceを通じてエンタープライズ全体に適用されます。
即時応答:集中管理されたアクセスコントロールを介して、すべてのアプリでアクセスをすぐに取り消したり、調整したりできます。
監査証跡:詳細なログ記録と包括的な監査証跡を通じて、SOC 2、HIPAA、GDPRへの準拠をサポートします。
AIリスク管理:組織が新たなガバナンスの期待に応え、シャドーAIを防止できるようにします
ビジネスの意思決定者向け
AIの採用を加速する:アイデンティティ優先のセキュリティによるエンタープライズ全体のAIツールの安全な展開
コンプライアンス要件への対応:Identity Governanceを通じて、機密データへの承認された監査可能なアクセスを保証します。
競争上の優位性:早期採用企業は、競合他社よりも安全にAIをより迅速に展開できます。
シャドーAIの排除:管理されていないAIツールを可視化し、ITガバナンスの下に置きます。
ユーザー向け
ユーザーエクスペリエンスの向上:承認プロンプトの減少とアクセス速度の向上
自律性:AIエージェントはITが承認した境界内で動作し、複数のアプリにわたってタスクを完了します。
実際のビジネスシナリオ
営業チームの生産性:AIエージェントは、アイデンティティベースのアクセスコントロールを通じてCRMおよびE メールデータに安全にアクセスし、チームの変更に自動的に対応します
カスタマーサポートの効率化:AIエージェントは、ゼロトラストセキュリティでロールと地域に基づいて、チケットシステムとデータベースにアクセスします。
規制産業のコンプライアンス:ヘルスケアAIエージェントは、エンタープライズID管理を通じて、HIPAAに準拠したロギングとアクセスコントロールを維持しながら、データを集約します。
Cross App Accessと他のAI標準との適合方法
Cross App Accessは、他の新しいAIエージェント標準を補完します。
モデルコンテキストプロトコル(MCP):AIエージェントがデータソースおよびAPIと通信する方法を定義します。クロスアプリアクセスは、AIに必要なAPIセキュリティを提供し、これらの通信が確実に管理されるようにします。
Agent2Agent(A2A):AIエージェントがどのように連携し、タスクを委任するかを指定します
MCPとA2AはAIシステムがどのように通信するかを定義しますが、クロスアプリアクセスは認可とアクセススコープを管理します。これにより、OAuthおよびOpenID Connectフレームワークとシームレスに統合された、認証済み、アイデンティティ検証済み、およびポリシー承認済みのシステム間でのみ通信が行われるようになります。
XAAが今重要な理由
AIエージェントのセキュリティに関する緊急性は、仮説ではありません。組織は、セキュリティチームが対応できるよりも速いペースでAIエージェントを展開しています。
Gartnerは2028年までに、AIが日常業務の意思決定の15%を自律的に行うと予測しています。
一元化されたAIアクセスガバナンスとアイデンティティの可視性がない場合、エンタープライズはデータ漏洩、コンプライアンス違反、シャドーAIの蔓延、監査証跡の喪失など、増大するリスクに直面します。Cross App Accessは、AIの生産性の利点を活用しながら、これらのリスクを管理するためのフレームワークを提供します。
クロスアプリケーションアクセスの評価と採用
組織は、以下のような状況が発生している場合は、Cross App Accessを検討する必要があります。
シャドーAI:使用中の管理されていないAIツール
可視性のギャップ:AIアクセスを追跡することの難しさ
コンプライアンスに関する懸念:監査役は、AIがどのように機密データにアクセスするかを尋ねます。
ユーザーの摩擦:反復的な許可プロンプト
アクセス管理の課題:AIツールのアクセスを取り消すことの難しさ
XAAを実装するには、エンタープライズは以下が必要です。
IdPサポート:IdPがクロスアプリアクセスをサポートしていることを確認します。
ISVサポート:アプリケーションがXAA機能を統合していることを確認します。
段階的なロールアウト計画:重要でないアプリから開始する
セキュリティポリシーの整合性:ロールアウト前に、AIエージェントのアクセスポリシーと承認プロセスを定義します。
FAQ
Cross App Access(XAA)とは何ですか?また、AIエージェントのアクセスをどのように保護しますか?
Cross App Accessは、ITチームに、アイデンティティベースのアクセスコントロールを通じてAIエージェントが企業アプリケーションに接続する方法の可視性と制御を提供する新しいセキュリティ標準です。ユーザーが(ITの監視なしに)AI接続を個別に承認する代わりに、Cross App Accessは、一元化されたID管理のために、これらの決定を組織のアイデンティティプロバイダーに集中させます。
Cross App AccessはAIエージェントの採用を遅らせますか?
いいえ、実際にはAIエージェントの安全な導入を加速します。ユーザーは、繰り返しの承認画面を操作することなく、ITによって承認されたAIツールにシームレスにアクセスできます。ITチームは、AIエージェントに対する可視性と制御を把握しているため、安心してAIエージェントを有効にできます。
Cross App Accessは、既存のSSOおよびアイデンティティプロバイダーシステムと統合できますか?
はい。Cross アプリ Accessは、既存のSSOおよびIdPシステムと連携するように設計されています。インフラストラクチャを変更せずにエンタープライズID管理を提供し、既存のOAuth標準を置き換えるのではなく、拡張します。
組織はCross App Accessを使用するために、アイデンティティプロバイダーを変更する必要がありますか?
No. Cross App Accessは、主要なエンタープライズ アイデンティティプロバイダーと連携します。組織は既存のIdPを引き続き使用し、プロトコルをサポートするISV Application (アプリケーション)に対してCross App Accessを有効にします。
Cross App Accessは、エンタープライズAIセキュリティとコンプライアンスにどのようなビジネス上のメリットをもたらしますか?
組織は、AIエージェントの接続状況の完全な可視性、Identity Governanceによる一貫したセキュリティポリシーの適用、コンプライアンスのための包括的な監査証跡、必要に応じた即時アクセス取り消し、およびAIツールをエンタープライズ全体に安全に展開する機能を得ることができます。
クロスアプリアクセスは、AIエージェントにのみ適用できますか、それとも他のアプリ間接続も保護できますか?
特にAIエージェントのセキュリティに役立ちますが、クロスアプリアクセスは、自動化ツール、CI/CDパイプライン、API統合、およびアカウント管理を含む、あらゆるアプリ間接続シナリオに実装できます。
エンタープライズにおけるCross App Accessの一般的な実装タイムラインはどのくらいですか?
実装スケジュールは異なります。簡単なデプロイメントは、完了までに数週間かかる場合があります。多数のApplication (アプリケーション)と複雑なセキュリティポリシーを持つエンタープライズでは、実装に数か月かかる場合があります。ほとんどの組織は、重要でないシステムから始めて、段階的なアプローチを取ります。
現在、どのエンタープライズベンダーがクロスアプリアクセス(XAA)をサポートしていますか?
初期のサポーターには、Automation Anywhere、Boomi、Box、およびGlean Technologiesが含まれます。この標準は業界で勢いを増しており、組織がより優れたAIエージェントのガバナンス機能を要求するにつれて、より多くのISVベンダーが採用すると予想されています。
コンプライアンスはどうですか?
クロスアプリアクセスは、すべてのAIエージェント接続に対して包括的な監査証跡を提供し、SOC 2、HIPAA、GDPR、およびその他の規制要件への準拠をサポートします。監査役は、どのAIエージェントがいつ、どのデータに、なぜアクセスしたかを、統合されたID 管理を通じて正確に確認できます。
エンタープライズ規模でAIエージェントとアプリ間接続を保護
Okta Cross App Accessは、実績のあるOAuthおよびID 管理標準に基づいて構築された集中型ガバナンス、完全なIT可視性、およびインスタントアクセスコントロールを提供し、組織がアイデンティティファーストのセキュリティでエンタープライズ規模でAIエージェントを安全に採用できるように支援します。
詳細を見る
