アイデンティティ管理サービスのリーディングカンパニーであるOkta, Inc.(本社:米国・サンフランシスコ 以下Okta)は本日、AIを活用する企業を保護するため、Okta PlatformとAuth0 Platformの新たな機能を発表しました。これにより、組織はセキュアで標準に基づくAIエージェントを構築し、それらをIdentity Security Fabric(訳註1)にシームレスに統合して、エンドツーエンドのライフサイクル管理を実現できます。さらに、このFabricの一部として、組織は改ざん不可能なデジタルクレデンシャルの発行と検証ができるようになり、信頼の確立と、増加するAIを悪用した不正への対応を支援します。
訳註1: Identity Security Fabricとは、人間・非人間・AIエージェントを問わずあらゆるアイデンティティを統合し、認証前・認証中・認証後にわたって一貫したセキュリティ、可視性、制御、ガバナンスを提供するOktaの包括的なフレームワークです。
なぜ重要なのか
AIエージェントはすでに91%の組織で利用されており、大幅な生産性向上を約束する一方で、既存のセキュリティギャップを拡大し、新たなリスクを生み出しています。
ところが、それらを管理する戦略を持つ組織はわずか10%にとどまっています。
これは机上のリスクではありません。例えば、パスワード「123456」を試したハッカーによって数百万件の応募者データが流出したAI採用ボットのような事例は、誤設定や未管理のAIエージェントがもたらす脅威を浮き彫りにしています。
AIエージェントは、アイデンティティ、アクセス、認可のために設計された制御を備え、エージェント、アプリケーション、システム間の安全な相互運用を可能にする新世代の標準の上に構築され、設計段階からセキュリティが組み込まれている必要があります。
これにより、AIエージェントはIdentity Security Fabricに統合でき、あらゆる種類のアイデンティティに対してエコシステム全体で包括的な可視性、制御、ガバナンスを提供できるようになります。
現在の環境では、AIエージェントが高い権限を持ち、超高速で動作し、ライフサイクルも短い上に、AIによるディープフェイクが正規ユーザーと悪意あるなりすましとの境界を曖昧にしています。こうした状況において、分断されたアーキテクチャやレガシーソリューションではもはや対応できません。
2027年までにIdentity Fabric Immunityの原則に従うことで企業は新たな攻撃の85%を防ぐとガートナーは予測しています。
Oktaのデザイン兼リサーチ担当シニアバイスプレジデントのKristen Swansonは次のように述べています。「AIは、組織が適応できるスピードを上回る速さで職場を変えています。設計や導入、管理が不十分なエージェントによって、従来の断片的なアイデンティティソリューションに潜むリスクが露呈し始めています。現代の企業には、分断をなくし、攻撃対象領域を減らすことができるIdentity Security Fabricが必要です。Oktaの最新イノベーションは、エージェントをこのFabricに統合し、アイデンティティライフサイクル全体を管理します。そして、Cross App Accessのような標準プロトコルを活用することで、業界全体の水準を高め、より安全なAI主導のエコシステムを実現します。」
Okta for AI Agentsが実現するAIエージェントのライフサイクル全体を通じたセキュリティ
Okta for AI Agentsは、AIエージェントをIdentity Security Fabricにシームレスに統合し、ライフサイクル全体にわたるエンドツーエンドのセキュリティを実現します。リスクのあるエージェントを検出・特定する可視性、アクセス制御のための集中管理、セキュリティポリシーを強制しアイデンティティのライフサイクル全体を管理する自動ガバナンスを提供します。フェーズ1はFY27第1四半期に早期アクセス(EA)で提供開始予定、フェーズ2はFY27内に一般提供(GA)を予定しています。
検出と特定: Identity Security Posture Management (ISPM) により、AIエージェントを検出し、サービスアカウント、APIキー、OAuthトークンに関連する潜在的なセキュリティリスクを特定します。
プロビジョニングと登録: Universal Directoryにより、AIエージェントのアイデンティティを確立・管理し、すべての非人間アイデンティティ(NHI)にリスク分類と所有権情報を付与します。
動的な認可と保護: セキュリティポリシーと最小権限の原則を適用し、AIエージェントに必要なアクセスを必要な時間だけ付与します。新しい標準プロトコルであるCross App Access (XAA) は、AIエージェントとアプリケーション間の安全な接続方法を標準化します。サービスアカウントやAPIキーのような静的クレデンシャルを使用するエージェントには、Okta Privileged Access (OPA) が適切なレベルのアクセスを提供します。
- ガバナンス、監視、対応: Okta Identity Governance (OIG) は、すべてのエージェントの行動と決定に関する包括的な監査証跡とアクティビティログを提供します。Identity Threat Protection with Okta AI (ITP) は、ユーザーの行動を継続的に監視し、行動分析によって異常な挙動を検知し、自動的な修復を実行することで、アクティブなセッション中のセキュリティポスチャを維持します。
Cross App Accessによるエージェントとアプリの安全な相互運用
Cross App Access (XAA) は、OAuthを拡張し、エンタープライズ全体におけるエージェント主導のやり取りやアプリ間のやり取りを安全に保護します。Automation Anywhere、AWS、Boomi、Box、Glean、Google Cloud、Grammarly、Miro、Salesforce、WRITERといった業界リーダーがXAAをサポートしており、制御の主体を個々のアプリケーションからアイデンティティ層に移すことで、リアルタイムの可視性、ポリシーに基づくセキュリティ、より安全な統合を実現します。
XAAはまもなくAuth0で標準サポートされ、B2B SaaS開発者はこのプロトコルにネイティブ対応したアプリケーションやAIツールを容易に構築できるようになります。さらに、Auth0 for AI Agentsを補完することで、開発者がAI駆動アプリケーションにアイデンティティ優先のセキュリティを組み込む作業を簡素化します。XAAとAuth0 for AI Agentsを組み合わせることで、各エージェントのアイデンティティがガバナンスされ、すべての接続が保護されたFabric対応のアプリケーションを、最小限の開発工数で大規模に安全に提供できるようになります。
エンタープライズ向けには、XAAは現在Okta Platform内で早期アクセスとしてサポートされており、お客様はそれを体験できます。今後より多くの組織がこのプロトコルを採用することで、以下の利点を享受できるようになります。
集中型ポリシーベースのアクセス管理: ITおよびセキュリティチームは、アプリやエージェントがアクセスできるデータを制御し、一貫したポリシー適用とリアルタイムの可視性を実現できます。
強化されたセキュリティと監査性: 未承認リクエストを監査したり、ブロックしたりすることができます。これにより隠れた接続や盲目的な信頼を排除し、インシデント発生時には即座にアクセスを取り消すことができます。
ユーザー負担の削減: アプリ間やエージェントとアプリ間の接続を事前に承認することで、XAAはユーザーが遭遇する同意プロンプトの回数を減らし、よりシームレスな体験を提供します。
Salesforceのプロダクト担当SVPであるMarla Hay氏は次のように述べています。
「お客様がエージェンティックAIの利用を拡大する中で、安全で信頼できるプラットフォームを提供することが私たちの最優先事項です。XAAによってエージェンティックワークフローを保護するための継続的な投資が行われていることを喜ばしく思います。また、Oktaの価値あるアイデンティティインサイトをSalesforce Security Centerに取り込み、共有のお客様が自らのセキュリティポスチャをより確信を持って管理できるよう協力できることを楽しみにしています。」
Gleanの最高情報セキュリティ責任者(CISO)、Sunil Agrawal氏は次のように述べています。
「世界中の企業が、自社データを使ってAIをいかに安全に活用するかに苦心しています。お客様は、知識を統合し、AIエージェントが意味のある行動を起こせるよう支援するためにGleanを頼りにしています。Gleanのエージェントは、追加の権限を持たず、あくまでユーザーの代理としてのみ行動します。XAAはこの原則をさらに一歩進め、AIエージェントがシステムを越えてより安全かつシームレスにつながるための次のステップを示しています。私たちは、この新しいプロトコルをサポートし、業界が標準に基づいたエージェント間のやり取りへと進んでいくことを後押しできることを嬉しく思います。」
Verifiable Digital CredentialsによるAI不正防止
Identity Security Fabricに統合されたOkta Verifiable Digital Credentials (VDC) は、FY27内に提供開始予定です。これにより、政府発行ID、雇用記録、認証情報などの改ざん不可能で再利用可能なアイデンティティデータを発行・検証できるようになります。個人は自分の身元や資格をデジタルで証明でき、AIを利用した不正やオンボーディング時の摩擦を軽減できます。エンドユーザーにとっても、消費者向けアプリやウェブサイトを利用する際に煩雑な手動検証をなくし、よりシンプルでスムーズな体験が可能となります。
オープンスタンダードの上に構築されたVDCは、最大限の制御と将来の相互運用性を確保し、AIエージェントが普及する世界において信頼を確立します。これにより、「誰であるか」「何をしたか」「何を許可されているか」を証明する、安全かつプライバシーを保護するクレデンシャルを実現します。
新しいDigital ID検証機能は、FY26第4四半期に早期アクセスで利用可能となる予定です。これにより企業は政府発行IDを直接検証できます。まずはモバイル運転免許証に対応し、将来的にはより多くの身分証明書への対応が計画されています。
ご参考情報
免責事項
本資料で言及されている製品、機能、機能性、認証、認可、または証明は、現在一般に利用可能ではない、またはまだ取得されていない、または現在維持されていない場合、予定どおりに提供または取得できない可能性があります。製品ロードマップは、いかなる製品、機能、機能性、認証、または証明を提供することに対する約束、義務、保証を表すものではなく、購入決定に依拠すべきではありません。
