ビジネスリーダーが準備できているか否かにかかわらず、AIエージェントは企業のあり方を変容させています。近年の調査が示す通り、従業員は生産性を向上させるために、たとえIT部門の管理外であってもAIを活用し始めています。
2025年のガートナー社の調査によると、69%の組織が、従業員が禁止されているパブリックな生成AIを利用している疑いがある、あるいはその証拠を掴んでいることが分かりました。また、同社は2030年までに、企業の40%以上が未承認の「シャドーAI」に起因するセキュリティやコンプライアンスのインシデントを経験すると予測しています。
ITセキュリティ上の死角はそれだけでも十分に危険ですが、AIエージェントの持つスピード、自律性、権限は、リスクをさらに増幅させる要因となります。機密情報へのアクセス権を持つ管理不届きなエージェントが、攻撃者の手に落ちれば、コンプライアンス違反や情報漏洩を招くだけでなく、被害の範囲を劇的に拡大させる恐れがあります。
こうした変化に直面する中、組織はいかにして「エージェント型企業」の安全を確保しているのでしょうか。私たちは経営層のリーダーたちに、シャドーAIを「安全なイノベーション」へと転換するための戦略を聞きました。
1. 制限よりも可視化を優先する
調査によれば、労働者は業務を効率化できるツールがあれば、公式なガイドラインを回避してでもそれを利用する傾向にあります。例えば、2025年のKPMGの調査では、米国の労働者の約半数が職場で未承認のAIツールを使用していることが判明しました。KPMGのグローバル・トラステッドAIリーダーであるBryan McGowan氏は、従業員が未承認ツールを使う理由は、承認済みツールよりも「速くて使いやすい」からだと説明します。
フィンテック企業Paysafeのシニアバイスプレジデント兼チーフアーキテクトであるAmar Akshat氏は、ツールの遮断は逆効果になり得ると指摘します。
「遮断することは、単に可視性を失わせるだけです。AIの進化は非常に速いため、人々は日常的にAIを利用します。無理に禁止すれば、水面下での利用を助長するだけです」
2. 承認済みAIツールへのハードルを下げる
従業員が勝手に未検証のツールを選ばないようにするためには、リーダーによる先見的な行動が必要だと、Equals Moneyの最高運用製品責任者(COPO)であるJames Simcox氏は提案します。
「私たちは早い段階でChatGPTをスタッフに積極的に提供しました。何もしなければ、彼らが独自にツールを導入してしまうことを懸念したからです」
シャドーIT自体は新しい問題ではありませんが、データやシステムへの広範なアクセス権を持つAIエージェントは、新たなリスクの層を加えるとSimcox氏は言います。
「もし誰にも気づかれずに、多数のサービスと連携したAIエージェント製品が誤って導入されたら、それは深刻な事態です」
当然ながら、従業員は知らないポリシーに従うことはできません。どのツールが承認されているか、いかに生産的に活用するか、企業データの取り扱いルールは何かを教育することは、リスクを軽減し、労働力のポテンシャルを引き出すことにつながります。
3. アクセス管理と過剰な権限の抑制
安全なAI環境を育む鍵は、「非人間エージェント」のアイデンティティと権限を、人間と同じ厳格さで管理することにあります。残念ながら、ガバナンスの取り組みはAIの利用スピードに追いついていません。Oktaの「AI at Work 2025」レポートによると、AIの中央集権的なガバナンスモデルを持つ組織はわずか36%でした。さらに、非人間アイデンティティ(NHI)を管理するための戦略やロードマップが整備されていると回答したのは、わずか10%に留まっています。
この現実は、組織に根本的な課題を突きつけています。手に負えなくなる前に、この状況をどう管理すべきかという点です。
特にリスクを悪化させるのが、AIエージェントが作成したユーザーの権限をそのまま引き継ぐ「権限の継承」です。「CRMの管理者がAIツールを動かすのに苦労している際、『もういい、自分の管理者権限をすべて使え』と設定してしまうかもしれません」とSimcox氏は語ります。これが、過剰な権限を持つエージェントがネットワーク内に蔓延する原因となります。
可視化と制御を統合するための第一歩は、環境内にどのようなAIエージェントが存在するかを「発見」することです。ここで適切なツールの導入が役立ちます。
「全プラットフォームを回って、一つひとつのツールが役割に応じた適切なアイデンティティやアクセス権を持っているか、手作業で確認させるわけにはいきません」とSimcox氏は続けます。
そこで重要になるのが「Identity Security Posture Management(ISPM)」です。ISPMは、AIエージェントを含むあらゆるアイデンティティを自動で継続的に検出し、悪用される前に過剰なアクセス権を持つものを特定します。
Oktaの製品管理担当バイスプレジデント、Jack Hirschは次のように述べています。
「非人間アイデンティティとAIエージェントは、企業にとって最も急速に拡大している攻撃対象領域です。可視化と制御が断片化していれば、データ漏洩やコンプライアンス違反、偏ったAI出力といったリスクが高まるだけです」
今後の展望:アイデンティティはAIの基盤である
すべてのAIエージェントを、独自のライフサイクル、権限、および監視体制を持つ「主要なアイデンティティ」として扱うことで、リーダーはシャドーAIの時代を脱し、安全なエージェント型イノベーションの時代へと進むことができます。
「未来の企業は自動化によって推進され、AIによって強化されるでしょう」とHirschは言います。「そして、その未来の基盤には、包括的な可視化とアイデンティティガバナンスが含まれていなければなりません」
AIを「シャドー」から引き出したいとお考えですか? 現在提供中の「ISPMにおけるAgent Discovery」を活用して、シャドーAIの発見、隠れたアイデンティティのリスクや設定ミスの特定、そしてエージェントによる被害範囲のマッピングを行う方法をぜひご確認ください。
