アイデンティティとアクセス管理(IAM)におけるAIは、2つの収束する課題に対応します。エンタープライズアクセス管理において、自律的なAIエージェントと非人間アイデンティティ(NHI)を第一級の要素として管理します。そして、行動アナリティクスとリスクベースのオーケストレーションを利用して、機械の速度でアイデンティティポリシーを適用します。静的な、ある時点でのチェックに依存する従来のIAMとは異なり、AI駆動のシステムは、クラウド規模で動作する人間のユーザー、サービスアカウント、APIキー、および自律エージェントに対して、継続的なアクセス評価と認可を提供します。
クラウドネイティブ環境では、サービスアカウントとAPIキーの数が人間のユーザー数を上回ることがよくあります。これらは監視が限定された状態で動作することがあり、ほぼリアルタイムのポリシー適用とアイデンティティ脅威検知および対応(ITDR)に不可欠な集中管理フレームワークが必要です。
AIエージェントにおける5つの重要な制御
組織はAIエージェントを、第一級のアイデンティティとして扱う必要があります。
エージェントのワークフローを保護するための制御:
- 委任された権限の強制
AIエージェントは、人間の認証情報ではなく、明示的に委任されたアクセス ポリシーを使用する必要があります。OAuth 2.0トークン交換(RFC 8693)やワークロードアイデンティティ連携などの標準化されたパターンは、スコープが設定された有効期間の短いアサーションを発行します。トークン交換により、エージェントはユーザーのプライマリ認証情報を公開することなく、委任された権限を持つスコープ付きアクセストークンと自身のIDトークンを交換できます。これらのアサーションは、認証情報の詐称を防ぎ、暗号化された信頼の連鎖を確立するのに役立ちます。 - きめ細かい認可(FGA)の適用
従来型のロールベースアクセスコントロール(RBAC)は、AI主導の判断には粗すぎます。関係性ベース(ReBAC)または属性ベース(ABAC)モデルを導入して、正確でコンテキストに応じた許可を適用します。「閲覧者」の関係を持つエージェントは、プロジェクトドキュメントを要約できますが、外部APIにデータをエクスポートすることはできません。 - Identity Security Posture Management(ISPM)を実行する
ISPMは、アイデンティティ環境全体にわたって継続的なディスカバリーを提供します。システムは、未承認のOAuthグラント、サービスアカウント、およびシャドーAIに関連付けられている可能性のあるトークンを識別します。ISPMは、セキュリティチームが認証情報のスプロール化や認可のドリフトを悪用される前に検出するのを支援します。 - 高リスクなアクションに対するHuman-in-the-Loop(HITL)のトリガー
本番データの削除など、機密性の高い操作はClient-Initiated Backchannel Authentication(CIBA)などの標準ベースの人間による承認ワークフローをトリガーします。認可サーバーはエージェントの実行を一時停止し、承認リクエストを人間の登録済みデバイスにプッシュします。エージェントは明示的な承認を受け取るまで非特権状態のままになります。 - Continuous Access Evaluation(CAEP)の有効化
Shared Signals フレームワーク(SSF)とCAEPを活用して、リスクコンテキストの変化に応じて、ほぼリアルタイムでエージェントアクセスを無効にします。サポートされている場合、イベント駆動型の失効により、セキュリティが静的なセッションを超えて拡張されます。システムは、行動異常やインフラストラクチャの変更に動的に対応します。
従来のIAMとAI駆動型IAMの比較
ディメンション | 従来のIAM | AI駆動型IAM |
|---|---|---|
アイデンティティスコープ | 人的ユーザーおよび制限されたサービスアカウント。 | 人間、NHI、AIエージェント、一時的なワークロード |
アクセス決定 | 静的なポリシー、ロールベース(RBAC) | 継続的なリスク評価、ReBAC/ABAC |
脅威検知 | ルールに基づいたアラート、手動調査 | 行動異常検知と自動化されたITDR |
プロビジョニングの速度 | 手動のチケット発行ワークフロー | ポリシーガードレールを備えたリアルタイムのセルフサービス |
ガバナンスモデル | 定期的なアクセスレビュー | ISPMを使用した継続的なポスチャ評価 |
認可の粒度 | 粗い(Application (アプリケーション)/データベースレベル) | きめ細かい(属性、関係、リソースレベル) |
監査証跡 | 静的ログ | 来歴追跡によるコンテキスト化されたイベントストリーム |
IAMにAIを実装するタイミング
従来のIAMは、アイデンティティの作成が人間のガバナンスを通じて管理可能な場合に機能します。
AI主導のIAMが不可欠になるのは、以下のような場合です。
- 非人間アイデンティティ(NHI)はヒューマンユーザーよりも多い。
- サービスアカウントとAPIキーは、手動レビューが追跡できるよりも速いペースで増加します。
- AIエージェントは、エンタープライズリソースへの自律的なアクセスを必要とします。
- コンプライアンスには、継続的な認可と監査証跡が必要です。
- シャドーAIツールは、IT部門の可視性の外で動作します。
AIがアイデンティティセキュリティをどのように変革するか
静的なチェックから継続的な認証へ
従来のIAMは、ログイン時にアイデンティティを検証し、静的なロールに基づいてアクセスを許可し、セッションの有効期限が切れるまで信頼を維持していました。このアプローチでは、セッション中にリスクが検出されずに変化する可能性のある脆弱性が生じます。
AI駆動のIAMは、継続的な認可とアクセス評価を実装し、すべてのインタラクションを通じて信頼を評価します。認証はアイデンティティを一度証明します。継続的な認可はリアルタイムのリスク評価に基づいてアクションごとのアクセス権を検証します。
最新のIAMシステムは以下を含むコンテキストシグナルを並行して分析します。
- コンプライアンス状況、パッチレベル、セキュリティ構成などのデバイスポスチャ
- 過去の行動や予想されるアクセスパターンから逸脱する場所の異常
- API呼び出し頻度、実行タイミング、リクエストエントロピー、リソースアクセスシーケンスなどの非人間行動シグナル
- 類似ユーザーまたはエージェントに対するアクティビティをベンチマークし、外れ値を特定するためのピアグループ比較
- リクエストがリソースアクセスポリシーに一致するかどうかを評価するためのデータ機密性分類
動的なリスクスコアは、これらの入力を集約し、継続的にアクセス決定を行い、セッション状況の変化に応じて適応します。
統合された防御アーキテクチャ
Identity Security Fabricは、共有コンテキストとリアルタイムのシグナル相関によって、これまでサイロ化されていたセキュリティツールを接続するアーキテクチャフレームワークです。これは、アイデンティティが主要なセキュリティ境界となる統合されたコントロールプレーンを作成します。
AIエージェントがアクセスを要求すると、ファブリックは統合されたシステム全体のセキュリティシグナルをリアルタイムで関連付けます。脅威インテリジェンスのフラグ、SIEMデータのエクスフィルトレーションパターン、およびエンドポイントの隔離アクションは、孤立したイベントから相関性のある脅威インテリジェンスに変わります。
AIをIAMに統合する主な利点
機械のスピードでアイデンティティライフサイクルを自動化する
クラウドネイティブ環境では、従来型のガバナンスが追跡できるよりも速いペースでマシンアイデンティティが生成されます。単一のKubernetesクラスターで、数千のサービスアカウントが数分でプロビジョニングされます。手動によるアクセスレビューでは、この速度に追いつくことができません。AIは、自動化されたライフサイクル管理を通じて、ガバナンスの欠如を解消します。
NIST SP 800-207(ゼロトラストアーキテクチャ)によると、組織は「攻撃者が環境内に存在し」、「物理的またはネットワーク上の場所のみに基づいて、資産またはユーザーアカウントに暗黙的な信頼を与えない」と想定する必要があります。この原則は、人間の監視が追いつかないほどの速さで増加するマシンアイデンティティを管理する際に重要です。
インテリジェントなプロビジョニングは、役割の要件とプロジェクトのコンテキストを分析して、適切な許可をプロビジョニングするモデルを使用します。AIエージェントまたはサービスアカウントが廃止されると、システムはすぐに認証情報を取り消します。継続的な構成証明は、定期的な手動レビューではなく、実際の使用パターンに基づいて許可の適切性を検証します。
シャドウAIの発見
シャドーAIとは、IT部門の可視範囲外で動作する未承認のAIツールを指します。これらのツールは、機密データに自律的にアクセスし、明示的なユーザー操作なしに情報を流出させる可能性があります。LLMアプリケーションにおけるサプライチェーンの脆弱性は、組織がAIシステムの存在を知らない場合、軽減できない重大なリスクを引き起こします。
ISPMにより、未登録のエンティティを含む環境全体のアイデンティティの継続的なディスカバリーとリスク評価が可能になります。
- 認証情報のスプロール検出により、過剰な権限を持つOAuthトークンとAPIキーを特定します。
- データアクセスマッピングは、どのApplication (アプリケーション)と統合がエンタープライズデータにアクセスするかを追跡します。
- 権限ドリフト分析は、元の要件を超えてアクティブなままになっている、昇格されたアクセス権を持つサービスアカウントをフラグします。
適応型セキュリティによる摩擦のないユーザーエクスペリエンス。
AIは制御をアダプティブにし、ユーザーエクスペリエンスを向上させます。リスクが高い場合は制御が厳しくなり、リスクが低い場合は目に見えなくなります。
- パスワードレス生体認証は、認証情報の盗難の脆弱性を排除し、認証の遅延と認証情報の露出を削減するのに役立ちます。
- リスクベースの適応型MFAは、認証要件を動的に調整します。既知のデバイスからのルーチンApplication (アプリケーション)アクセスは、追加の課題なしで進行します。新しい地理的な場所から金融システムへのアクセス試行は、検証が保留されている間、ステップアップ認証またはブロックを引き起こします。
- コンテキストを認識したステップアップ認証は、デバイスの信頼スコア、行動分析、脅威インテリジェンスフィード全体でリアルタイムにリスクを計算し、各リクエストに適切な認証要件を判断します。
ユーザーは認可されたリソースにシームレスにアクセスでき、セキュリティチームはリスクベースの制御を実施します。
チャットボットからエージェントワークフローまで、生成AIを保護する
委任された権限という概念
AIエージェントは、説明責任のギャップを生じさせることなくユーザーになりすますことはできません。AIアシスタントがユーザーの認証情報を使用してアクションを実行すると、監査ログは、それらのアクションを自律システムではなく、人間のユーザーに帰属させます。これにより、コンプライアンス違反が発生し、フォレンジック調査が曖昧になります。
委任された権限は、標準ベースのパターンを介して実装された認証情報の偽装ではなく、明示的な許可を通じてAIエージェントがユーザーの代わりに行動する正式な認可モデルを提供します。OAuth 2.0トークン交換(RFC 8693)およびアサーションベースの認可フレームワーク(RFC 7521/7522)は、許可されたアクション、対象リソース、時間範囲、条件付き要件を指定します。
監査証跡は、委任を明示的に記録します。たとえば、AIスケジューリングアシスタントが会議室を予約すると、システムは「Agent-Calendar-Bot-v2(user@company.comの代理として動作)」とシステムログに記録します。2026-05-15 14:00-15:00 UTCにRoom-401を予約しました」と記録します。委任は、ユーザーのプライマリー認証情報に影響を与えることなく、監査および取り消し可能です。
AIエージェント向けのきめ細かい認可(FGA)
FGAは、AIエージェントが指定されたタスクに必要な特定のデータのみにアクセスできるようにします。検索拡張生成(RAG)アーキテクチャでは、AIシステムはエンタープライズ知識ベースにクエリを実行して質問に答えます。
FGAがなければ、組織は二者択一を迫られます。広範なアクセスを許可してデータ漏洩のリスクを負うか、エージェントが機能できないほど厳しくアクセスを制限するかです。関係性ベースのアクセス制御(ReBAC)により、正確な制御が可能になります。「このAIエージェントは、project=Phoenix、sensitivity=internalとタグ付けされたドキュメントを読み取ることができますが、financial=trueのドキュメントにはアクセスできず、コンテンツの要約のみ可能で、コピーやエクスポートはできません。」
FGAは、ロールベースのアクセスコントロール(RBAC)を超えて、属性ベースおよび関係ベースの認可を実装します。
- 属性評価では、エージェントのアイデンティティだけでなく、試みられている特定のアクションも考慮します。
- リソースコンテキスト評価には、どのリソースが関与しているか、およびその機密性分類が含まれます。
- 時間的条件は、リクエストが発生するタイミングと、そのタイミングが承認された期間内であるかどうかを考慮します。
- 目的制限コントロールは、アクセス要求がエージェントの定義された範囲およびビジネス目的に一致していることを検証します。
高リスクなアクションに対するHuman-in-the-loop(HITL)
自律的なAIによる意思決定には、財務送金の承認、セキュリティポリシーの変更、本番データの削除など、リスクの高いオペレーションに対する監視が必要です。
Client-Initiated Backchannel Authentication(CIBA)は、OpenID Connect(OIDC)仕様の一部であり、非同期のユーザー同意を可能にします。「デカップルドフロー」では、認可サーバーは認証を開始するために使用されるデバイスとは別のデバイス上で、ユーザーからの承認を要求します。このアプローチは、リスクの高いアクションを実行するAIエージェントに対するHITL(Human-in-the-Loop)の監視をサポートします。
AIエージェントが機密性の高い操作を試みると、承認ワークフローが一時停止し、人間の承認を要求します。
- コンテキストの保持は、AIが試みたアクションとビジネス上の正当性に関する完全な情報を人間のレビュー担当者に提供します。
- マルチチャネル配信により、モバイルプッシュ通知、E メール、またはSMS経由で承認リクエストを意思決定者に送信します。
- 安全な待機状態は、明示的な承認があるまでエージェントを非特権付き状態に維持します。
- 監査証跡の完全性は、タイムスタンプ、レビュー担当者のID、およびコンテキストメタデータを含むすべての承認または拒否をログに記録します。
HITLコントロールは、リスクレベルに比例して監視を拡大するのに役立ちます。
将来のトレンド:IAMにおけるAIの進化
Model Context Protocol(MCP):AIとエンタープライズ接続の標準化
Model Context Protocol(MCP)は、AIエージェントがエンタープライズツールおよびデータソースとどのように連携するかを標準化する初期段階の仕様です。MCPは接続性とコンテキスト交換のためのフレームワークを提供しますが、このプロトコルはアクセスポリシーを適用するための認可レイヤーを定義していません。MCPはポリシーエンジンとして機能するのではなく、IAMポリシーの標準化された導管として機能します。
仕様が成熟するにつれて、MCPはIAMチームが多様なLLMプロバイダーとエージェントフレームワークにわたって一貫したセキュリティ制御を適用できるようにする可能性があります。
このプロトコルは、予想される4つの分野でIAMアーキテクチャに影響を与える可能性があります。
- コンテキストインジェクション制御は、推論時にAIシステムが利用可能な特定のデータセットを定義することができます。
- アクション認可は、AIエージェントがアクセスしたリソースで実行できる操作を制限する場合があります。
- セッション管理では、アクセス期間と有効期限のルールを設定できます。
- 監査の透明性により、AIの意思決定を左右する特定のデータに対する可視性が提供される可能性があります。
AIエージェントを本番環境にデプロイするエンタープライズは、将来のコンプライアンスおよび監査要件に備えて、MCP(監視、制御、およびプロビジョニング)の開発を監視する必要があります。現在のIAM(IDおよびアクセス管理)アーキテクチャは、これらの新しいプロトコルが成熟するにつれて、統合できるよう柔軟性を維持する必要があります。
デジタルワークフォースの管理:NHIは主要な攻撃対象です
クラウドネイティブ**エンタープライズ**では、**非人間アイデンティティ(NHI)**は、多くの場合、人間のユーザー数よりも多く、自動化の拡大に伴い増加し続けています。
NHI(サービスアカウント、APIキー、OAuthトークン、CI/CDパイプラインの認証情報)は、通常、より広範な許可、より脆弱な認証、より長い認証情報のライフスパン、および監視の弱体化を特徴とするため、攻撃対象として好まれるようになっています。
デジタルワークフォースを保護するには、NHIを人間と同じガバナンスの厳格さで扱う必要があります。組織は、拡大する攻撃対象領域を保護するために、ガバナンスの4つの柱を実装する必要があります。
- 認証情報の自動ローテーションにより、有効期間の長い静的なシークレットが、ジャストインタイム(JIT)アクセスおよび時間制限付きトークンに置き換えられ、暴露のリスクを最小限に抑えます。
- 行動ベースラインは、異常検知を導入して、確立された実行パターンから逸脱したり、通常とは異なるリソースシーケンスにアクセスしたりするサービスアカウントを特定します。
- 最小権限の適用は、広範で静的なエンタイトルメントから、リアルタイムの使用状況とビジネスニーズに基づいて調整される動的な権限スコープに移行します。
- 包括的な監査証跡により、すべてのNHIアクションを特定のビジネスコンテキストとフォレンジックアカウンタビリティのための人間のオーナーに結び付けます。
NHIの管理を怠るIAMアーキテクチャは、最新のインフラストラクチャにおける最も脆弱な経路を保護できません。真のゼロトラスト体制を実現するには、すべての自律エージェントとワークロードを統合されたIdentity Security Fabricの下に置く必要があります。
設計によるAIのセキュリティ保護
アイデンティティは、クラウド規模で動作する人間および非人間のアクター全体のアクセスを管理するための、最も一貫してスケーラブルでコンテキストに対応したコントロールプレーンです。ネットワーク、データ、およびエンドポイントの制御は依然として必要ですが、AIエージェントがクラウド、SaaSプラットフォーム、およびパートナーエコシステム全体で動作する場合、それだけでは不十分です。
Identity Security Fabricは、以下を通じてAIの運用速度に一致するように進化する必要があります。
- デフォルトでゼロトラスト
- すべてのリクエストにおける継続的な認可
- 動的に適用される最小権限
- ISPMによる継続的なディスカバリー
- 明示的で監査可能な委任モデル
セキュアバイデザインAIは、IAM制御をデプロイ後の追加としてではなく、開発およびデプロイライフサイクルに直接組み込みます。
FAQ
委任された権限とインパーソネーションの違いは何ですか?
委任された権限は、Application (アプリケーション)間の委任されたアクセスパターンを使用して、人間とエージェント間の検証可能なリンクを確立しますが、なりすましは人間の認証情報の背後にエージェントのアイデンティティを隠します。
AIエージェントにとって、きめ細かい認可(FGA)が重要なのはなぜですか?
FGAは、AIエージェントが指定されたタスクに必要な特定のデータにのみアクセスできることを意味します。これは、AIがエンタープライズ**知識ベース**を照会する検索拡張生成(RAG)アーキテクチャにおいて重要であり、不正アクセスや機密エンタープライズデータの流出を防ぎます。
IAMにおけるAIは、ゼロトラストアーキテクチャをどのようにサポートしますか?
AIは、行動アナリティクスとShared Signals(SSF/CAEP)に基づいてアイデンティティの信頼を継続的に評価することで、ゼロトラストを実現します。従来のゼロトラストは、ネットワーク境界でアイデンティティを検証することに重点を置いています。AI主導のIAMは、デバイスのポスチャ、場所の異常、および行動パターンを分析することにより、リクエストごとに信頼を再評価することで、これを拡張します。これは、NISTゼロトラスト原則に沿ったものであり、ネットワークの場所のみに基づいて暗黙的な信頼を付与すべきではないと述べています。すべてのアクセス決定は、ログイン時に確立されたセッションベースの信頼に依存せず、新たな認可イベントとなります。
OktaでAIのための安全な基盤を構築する
AIエージェントがパイロットから本番環境に移行するにつれて、人間のユーザーと同じアイデンティティガバナンスの厳密さが求められます。Oktaは、継続的な検出のためのISPM、正確なアクセス制御のためのFGA、およびAIライフサイクル全体での統合オーケストレーションを通じて、Identity Security Fabricの原則をAIエージェントに拡張します。
