AIエージェントは企業のあり方を再構築しつつありますが、その普及スピードはセキュリティの整備を上回っています。これにより新たな「アイデンティティギャップ」が生じており、多くの組織が「エージェントはどこにいるのか?」「何に接続できるのか?」「何ができるのか?」という3つの基本的な問いに答えられない状況にあります。
これらの問いに答えられなければ、組織はエージェントによる業務(エージェンティックワークフォース)を安全に拡大させることはおろか、暴走したエージェントを止めることもできません。「Okta for AI Agents」が一般提供(GA)開始となったことにより、企業はすべてのAIエージェントを把握・保護・統治するための単一のコントロールプレーンを手にすることになります。
YahooやRampといった早期導入企業は、すでにOktaを活用して安全なイノベーションを推進しています。両社は、AIエージェントの導入が進む中で、セキュリティを後回しにするのではなく、最初から組み込むための基盤を築いています。
Yahooにおける「強力なガバナンス」からのスタート
Yahooの目標は、人間とAIエージェントの両方に共通のセキュリティモデルを構築することです。このアプローチにより、デジタルエコシステム全体におけるアクセスが簡素化され、ガバナンスが強化されます。
Yahooのシニアプリンシパルアーキテクト、ブライアン・マイスター氏は次のように述べています。
「強力なガバナンスを確立しておくことは極めて重要です。『後で対応すればいい』というものではなく、そこからスタートしなければなりません。ガバナンスを念頭に置いて構築する必要があるのです」
マイスター氏によれば、中央集中型のガバナンスがなければ、AIエージェントがもたらすリスクはアクセス可能なアプリケーションに直結します。コードリポジトリやドキュメントストレージにアクセスできる、統制の取れていないAIエージェントは、重大な攻撃対象(アタックサーフェス)となり得ます。
「計測できないものは管理できません」とマイスター氏は言います。「エージェントが何をしているかを効果的に制御、あるいは可視化できなければ、リスクレベルは上昇する一方です」
この可視化と制御の必要性から、Yahooはアイデンティティを基盤としたAI戦略を構築しています。すべてのAIエージェントを「第一級のアイデンティティ」として扱うことで、ガバナンスにおける「信頼できる唯一の情報源」を確立できるのです。
Rampが導入する「ストレスフリー」なアイデンティティ制御
財務自動化のリーダーであるRampは、顧客や従業員のコストと時間を削減するためにAIエージェントを導入しています。AIエージェントが機密性の高い業務を扱うため、同社は生産性を損なうことなく、摩擦のない強力なアイデンティティ制御の必要性を認識していました。障壁を作るのではなく、従業員が必要なツールへ簡単かつ安全にアクセスできる「舗装された道路」を提供することがRampの哲学です。
RampのスタッフITエンジニア、キャメロン・リーベンワース氏は次のように述べています。
「Okta for AI Agentsの本質は、安全なイネーブルメントにあります。誰が何をしているかを明確に把握し、リスクのある接続をブロックしつつ、必要なツールへはストレスなくアクセスできるようにしています」
このアプローチは、AIに伴う監査やコンプライアンスのリスクを管理する上で不可欠です。Rampのセキュリティ原則の一つは、「すべての自律的なアクションを特定の個人まで遡れるようにすること」です。これにより、所有者が不明なままエージェントが動作する事態を防ぎます。
「エージェントとは、アクションを実行する一つのアイデンティティです」とリーベンワース氏は言います。「誰がその指示を出したのかを把握せずに、ただ動かし続けるわけにはいきません」。アイデンティティ優先のアプローチを採ることで、RampはすべてのAIエージェントに明確な人間のオーナーを紐付け、定義され監査可能な範囲内で運用することを保証しています。
終わりのない道のり
大多数の組織にとって、安全な「エージェント型企業」への道のりは現在進行形です。
しかし、Yahooのブライアン・マイスター氏が指摘するように、最も有望な解決策はパートナーシップとコラボレーションを通じて生み出されます。「Oktaは私たちの声に耳を傾けてくれています。AIセキュリティと、それをOktaがどう解決できるかについて、私たちは毎日深い対話を重ねています」
お客様からのフィードバックがどのように「Okta for AI Agents」の構築に役立てられたかについては、次回詳しくご紹介します。
