生成AIがビジネスや日常生活に急速に浸透しつつあるなか、テクノロジー業界全体を大きく変える起爆剤として期待されているのが「AIエージェント」です。AIエージェントは、人間に代わって高度で複雑なタスクを自律的に実行する役割を担っています。資料の作成から取引先との調整まで、これまで人間が行っていた業務を自動化し、企業の生産性を劇的に向上させるポテンシャルを秘めています。
しかしその一方、この革新的なイノベーションが企業のセキュリティに重大な懸念を生じさせています。AIエージェントの増加にともない、企業内ではAIエージェントが自律的に利用するツールの数も増えていきます。それらのツールは、個人に紐づかない「非人間アイデンティティ(NHI)」として運用されるケースが多く、もし、それらがサイバー攻撃によって乗っ取られた場合、人間が把握できないところで操作が勝手に行われ、従来とは比べものにならないほど広範囲な被害が発生する可能性があります。
そんな中、OktaがAIエージェント時代の鍵を握る「守りの仕組み」として打ち出しているのが「Identity security fabric」です。
これまでのアイデンティティ管理は、特定のアプリや個別のプロセスごとに導入される「ポイントソリューション」の積み重ねでした。課題が生じるたびにパッチを当てるようなその手法は、結果として組織内に「管理の分断(サイロ化)」を引き起こしてきました。これに対し、Oktaは、既存の断片的な対策を強固な「ファブリック」、つまり一枚の布のようにすべてを包み込む包括的なソリューションとして再定義し、提供しています。
セキュリティ業界では、個別の製品を「点」として配置するのではなく、全体を一つの「布(ファブリック)」のように一体化させて織り込むアプローチが加速しています。OktaのIdentity security fabricは、まさにAIエージェントの時代の到来に合わせ、このアプローチを最適化したものです。
ここでは、OktaのCEO兼共同創業者であるトッド・マッキノンとの対話を通じて、Identity security fabricの本質とは何か、そしてそれが企業にもたらす利点を解き明かしていきます。
──まずはIdentity security fabricの基本コンセプトの概要を説明していただけますか?
Identity security fabricは、アイデンティティとセキュリティの状況を捉えるための新たなカテゴリです。 考え方は極めてシンプルで、「アイデンティティ技術は包括的なカバー範囲を持つべきだ」ということです。つまり、管理をサイロ化(孤立)させてはいけません。企業のセキュリティを守る際には、顧客や従業員、パートナーはもちろん、AIエージェントや非人間アイデンティティ(NHI)に至るまで、あらゆる種類のアイデンティティを保護する必要があります。
また、その保護はデータベース、サーバー、SaaSアプリケーション、オンプレミス環境といったリソースの種類を問いません。アクセス管理やガバナンス、特権アクセス管理といった、アイデンティティにまつわるあらゆるユースケースやワークフローをサポートする必要があります。
──OktaのIdentity security fabricはAIエージェントの時代の到来によって新たに生まれたカテゴリということですね。その誕生の背景には、「クラウドベースのアイデンティティ管理」というカテゴリが登場したときと、どのような共通点がありますか?
アプリケーションの時代には、営業支援や顧客情報を統合した「CRM」のカテゴリが生まれました。また、バックオフィスの世界では、Oracleに代表される財務システムや、SAPのような人事システムを一つにまとめた「ERP」というカテゴリが誕生しました。それらと同じように、アイデンティティ技術も、AIエージェントやNHIの普及によって「バラバラでは守りきれない」という、統合が不可欠な段階に到達したのです。
これまではアイデンティティの個別の課題に対して、その都度「ポイントソリューション」で対応してきましたが、今や、そのあり方そのものを再考すべき時です。あらゆるアイデンティティ種別やリソースを統合した包括的なソリューションこそが、真に優れた手法であるということが、業界での共通認識となりつつあるのです。
──では、AIエージェントがもたらす最大のリスクについてお尋ねします。Identity security fabricは、それらを軽減するためにどう役立つのでしょうか?
Identity security fabricの基本となる考え方は、AIエージェントが必要とするデータやアクセスポイントを、包括的に把握し、可視化することです。つまり、データウェアハウスやSaaSアプリケーションなどのあらゆるリソースを管理下に置き、誰がアクセスしているかを可視化するのです。
そこにAIエージェントのレイヤーを重ねていくわけですが、誰もがAIエージェントを使ってまずやりたいのは、そのAIエージェントにアクセス権を与えることです。AIエージェントは、それ自体が強力な「権限の行使者」です。人々は利便性を求め、AIエージェントに特定のロール(役割)や、データウェアハウスやドキュメントへの広範なアクセス権を与えようとします。
AIエージェントをこの「ファブリック」の構造の中に組み込めば、人間でもなく、従来のサービスアカウントや非人間アイデンティティ(NHI)でもない、その両方の組み合わせのような新たなアクセス主体として定義できるからです。
ファブリックはあらゆるリソースやデータストア、アプリケーションを把握しています。その中にこの新しいアクセス主体を配置した瞬間から、可視化やガバナンス、制御が全体にわたって機能します。これにより、リスクを最小限に抑えつつ、AIエージェントを運用することが可能になります。
──Oktaは長年、人間を対象としたアイデンティティ管理において、先駆的な役割を果たしてきました。AIエージェントも、人間のアイデンティティに近いものと考えられるのでしょうか? それとも全く新しいアクセス主体なのでしょうか?
類似点を理解するのは非常に重要です。当社がこれまで人間のアイデンティティを保護し、スムーズでシームレスなアクセス環境を提供するために積み重ねてきた知見や仕組みは、多くの部分で応用できるからです。しかし、やはり異なる点もあります。AIエージェントが必要とするアクセス権は非常に広範になる傾向がありますし、AIエージェントがその時々でどのような権限を必要とするのか、事前にすべてを予見することが難しい側面があるからです。
AIエージェントの真価は、データや情報を自律的に活用して、これまでにないワークフローや価値を切り拓ける点にあります。だからこそ、柔軟性が求められると同時に可視性を損なうことがあってはなりません。AIエージェントが何をしているのかを常に把握し、各アクセスポイントごとに適切な「ガードレール」を設置する必要があります。そうすることで初めて、イノベーションとセキュリティ、あるいは可視性と制御といった、相反しがちな要素を高い次元で両立させることができるのです。
──OktaのIdentity security fabricは、「統合された中立的なコントロールプレーン(システム全体の頭脳)」と説明されています。なぜここで「中立性」が重要なのでしょうか?
Identity security fabricの概念は、一社に閉じたものではありません。特定のベンダーに依存しない、より広範な新しいカテゴリであり、問題に対する根本的な考え方だと捉えています。その上でOktaは、このファブリックを実現するための最適な機能群を構築することに注力しています。
そして、実際に導入に取り組む上では、旧来のやり方から「新しいやり方」へ、いかにスムーズに移行するかが課題になります。一部の企業では、リソースがアイデンティティシステムに接続すらされていないケースもあり、その場合は環境内にファブリックをゼロから展開することになります。また、個別のソリューションは導入済みでも、互いに連携できていない場合もあります。このような問題は、それらが中立的な立場で統合されていないために起きています。いわば中立性の欠如によって「左手が何をしているのか右手が分かっていない」状態になっているのです。
50もの異なるアイデンティティツールを個別に管理したい人などいません。現場が求めているのは、一つのファブリックをベースに、すべてがシームレスに連携することを求めているのです。そこで鍵となるのが中立性なのです。
Identity security fabricの目的は、アクセス管理(IAM)、特権管理(PAM)、ガバナンス(IGA)、ポスチャ管理(ISPM)、脅威保護(ITDR)といった、従来の専門チームごとに分断されてきた組織を、一つの強固な戦略のもとに統合していくことにあります。その実現に向けては、新たな標準を策定し、既存の技術をそれに対応させていく。そして、アイデンティティ製品側も、新旧やレガシーを問わず確実に統合できる能力を備えることが重要です。
──Oktaの「ファブリック」への対応が完全に整った企業はどのようなものになりますか? そのことが、組織にどのようなメリットをもたらしますか?
Oktaの使命は、誰もがあらゆるテクノロジーを安全に使えるようにすることです。Identity security fabricのアプローチが目指す究極の形は、企業がビジネス目標を達成しようとする際、単純に「その時々で最適なテクノロジーを自由に選択すればいい」という状態を作ることです。そこでは、認証やアクセス、ガバナンス、特権、そしてリスク管理などのあらゆる摩擦は、すでに「解決済みの問題」になっているのです。それが究極のビジョンであり、私たちが目指しているものです。
企業にとって最も重要なのは、AIやクラウド、あるいはその次にやってくるテクノロジーから何が生み出せるかであり、管理や設定に時間を取られることではありません。私たちはそこを自動化し、シームレスにしたいと考えています。そうすることで、企業は本来の重要な業務、つまり自社の戦略やビジネス、テクノロジーのロードマップの推進に集中できるようになるのです。
Identity security fabricについて強調しておきたいのは、それが「実現可能なもの」であり、「正しい考え方である」ということです。アイデンティティのサイロ(分断)は存在するべきではありません。Identity security fabricは、私たちが望む成果を導き出す、一つの統合されたファブリックを実現します。
