OktaでAIを保護
AIエージェントに権限を与えても、完全な自由は与えません。AIを広く導入するには、妥協のないセキュリティが必要です。
AIエージェントの労働力はすでに存在
シャドー ITはシャドーAIへと進化しました。エージェントが不正行為を行っている場合、リスクは未来形ではなく、すでに境界を越えて内部に侵入している可能性があります。
すでにAIエージェントを利用している組織の割合*
意図しないエージェントの挙動を経験した組織の割合**
ガバナンスを整備していない組織の割合**
エージェントによる認証情報の漏洩を報告した組織の割合**
統合アイデンティティプラットフォーム
初日からエージェントを管理
エージェントを構築する場合でも、ベンダーのソリューションを導入する場合でも、開発者、セキュリティ、IT向けに構築されたプラットフォームで、作成から廃止までのライフサイクル全体を保護します。
開発者向け
最初から安全にAIを構築
従業員にサービスを提供する場合でも、顧客にサービスを提供する場合でも、セキュアバイデザインでエージェントを構築します。
誰の代理として行動しているかをエージェントが確認できるようにします。検証済みのユーザーコンテキストをエージェントに与え、信頼と説明責任を保ちます。
エージェントをサードパーティのツールにシームレスに接続します。アクセストークンとリフレッシュトークンの処理を自動化して、認証情報の無秩序な増加を減らします。
重要なリスクを伴う決定を自信を持って行えます。実行時間の長いワークフローを自動的に一時停止して、人間の承認を得るようにします。
RAGパイプラインの機密データを保護します。きめ細かな許可を適用し、エージェントが必要な情報だけにアクセスするようにします。
-
エージェントにアイデンティティのコンテキストを付与
誰の代理として行動しているかをエージェントが確認できるようにします。検証済みのユーザーコンテキストをエージェントに与え、信頼と説明責任を保ちます。
-
安全なサードパーティ統合
エージェントをサードパーティのツールにシームレスに接続します。アクセストークンとリフレッシュトークンの処理を自動化して、認証情報の無秩序な増加を減らします。
-
人間が介在
重要なリスクを伴う決定を自信を持って行えます。実行時間の長いワークフローを自動的に一時停止して、人間の承認を得るようにします。
-
必要なアクセス権限だけを付与
RAGパイプラインの機密データを保護します。きめ細かな許可を適用し、エージェントが必要な情報だけにアクセスするようにします。
セキュリティおよびITチーム向け
AIワークフォースを大規模に管理
単一のコントロールプレーンから、非人間ワークフォースのライフサイクル全体を自動化します。
スタックで実行されている管理されていないエージェントを自動的に検知し、盲点を排除します。
エージェントをディレクトリに登録し、人間の担当者を指定することで、説明責任を強化します。
厳格な最小権限のスコープを適用することで、役に立つボットが内部の脅威になることを防ぎます。
アクティビティを監視し、脅威をリアルタイムで検知します。アクセス許可を検証し、エージェントが疑わしい行動をとった場合は、アクセス権をすぐに取り消します。
-
シャドーエージェントを検知
スタックで実行されている管理されていないエージェントを自動的に検知し、盲点を排除します。
-
すべてのエージェントに所有権を付与
エージェントをディレクトリに登録し、人間の担当者を指定することで、説明責任を強化します。
-
エージェントのスコープを制限
厳格な最小権限のスコープを適用することで、役に立つボットが内部の脅威になることを防ぎます。
-
不正なエージェントを検出
アクティビティを監視し、脅威をリアルタイムで検知します。アクセス許可を検証し、エージェントが疑わしい行動をとった場合は、アクセス権をすぐに取り消します。
AIセキュリティブログシリーズ
マシンのスピードで自律した信頼を構築
概要
自律性のためにIAMを再構築
AIセキュリティの新時代を取り上げたDeep Diveシリーズをご覧ください。エージェント型AI特有のリスクに対応するために、アイデンティティがどのように進化しているかをご紹介します。
パート1
エージェントの速度でIAMを実現
人間による監視は、毎分5,000 回のオペレーションに対応できません。ランタイム認証がマシンスピードのエージェントを保護する唯一の方法である理由をご紹介します。
パート2
認可の存続が意図した長さを超えるケース
休眠トークンは、静かな脅威になります。Salesloft Driftの侵害事例で明らかになった認証情報のリスクと、認可ドリフトを阻止する方法についてご紹介します。
パート3
システム間エージェントの信頼
エージェントがドメインを越えて機能すると、セキュリティの境界は消え去ります。検証済みの委任と即時失効が重要な理由をご紹介します。
リソース
よくある質問(FAQ)
AIエージェントは、人間による継続的な監視なしに、機密データにアクセスしてタスクを実行できる自律した「スーパー管理者」として機能できるため、アイデンティティセキュリティが重要です。
エージェントを保護するには、エージェントを厳格な認証、認可、ガバナンスを備えた最優先のアイデンティティとして扱い、内部脅威になるのを防ぐ必要があります。
AIの急速な導入にガバナンスが追いつかず、重大な「シャドーAI」リスクを生み出しています。主な脅威には、エージェントの意図しない動作(組織の80%が経験*)、認証情報の漏洩(組織の23%が報告*)、エージェントが存在する場所の可視性の欠如などがあります。
さらに、適切に管理されていないエージェントは過剰な特権アクセスを持つことが多く、本来アクセスできないはずのエンタープライズデータにまでアクセスできる可能性があります。
AIエージェントのライフサイクルを保護するには、構築と管理という2つのアプローチが必要です。
構築(セキュアバイデザイン):開発者は、Auth0などのツールを使用して、アイデンティティ標準(きめ細かな認可やトークンボールトなど)を直接エージェントのコードに組み込む必要があります。
管理(安全なコントロールプレーン):セキュリティチームは、Oktaなどの統合プラットフォームを使用して、実行中のエージェントを検出し、そのエージェントをディレクトリに登録し、エージェントのアクセスポリシーとライフサイクルイベントを管理する必要があります。
Identity Security Fabricは、あらゆるタイプのアイデンティティ(人間と非人間を含む)を管理する統合コントロールプレーンをITチームとセキュリティチームに提供して、するアーキテクチャで、セキュリティギャップを防ぐために役立ちます。AIエージェントは実質的に労働力の一部となっているため、Identity Security Fabricに組み込む必要があります。
このアプローチは、ガバナンス、特権アクセス、アイデンティティ管理を統合することで「回転イス式セキュリティ」を排除し、人間の従業員に適用されたポリシーを自律型エージェントにも適用できるようにします。
Cross App Accessは、ユーザーエクスペリエンスを損なうことなく、AIエージェントが重要なアプリケーションに接続する方法を保護するために設計された新しい標準プロトコルです。
Cross App Accessは、リスクの高い管理されていない統合とアドホックなユーザー同意プロンプトを、アイデンティティプロバイダーが管理するポリシーベースのアクセス決定に置き換えます。これにより、エンタープライズ管理者はエージェントの接続を可視化して制御できるようになり、エンドユーザーの同意疲れも解消されます。