人間ユーザーを超えて:AIエージェントのためのアイデンティティガバナンスが次の大きな課題である理由

このブログはこちらの英語ブログ(2025年7月14日公開)の機械翻訳です。

エージェント型AIは、効率性とイノベーションの新たな可能性をもたらしますが、同時にサイバーセキュリティにおける新たな課題ももたらします。それは、非人間AIアイデンティティの保護です。人間のアイデンティティガバナンスがコンプライアンスとセキュリティのために重要であるのと同様に、AIエージェントに対するエンドツーエンドのアイデンティティセキュリティはもはや選択肢ではなく、必須となっています。そうでなければ、AIエージェントが次なる内部脅威となる可能性があるからです。

AIエージェントのユニークなアイデンティティ

人間ユーザーと異なり、AIエージェントは自律的に動作し、人間による継続的な介入なしに意思決定を行い、システムとやりとりします。この本質的な違いにより、人間を前提とした従来のアイデンティティセキュリティ対策をそのまま非人間アイデンティティ(NHI)に適用することはできません。

以下は、AIエージェントのアイデンティティ管理に新たなアプローチが求められる主な理由の一部です:

  • 非人間的な存在:AIエージェントは人ではなく、ソフトウェアやサービスアカウント、自律的なインスタンスであるため、特定の人に責任を帰属させることが難しくなります。
     
  • 動的かつ一時的なライフサイクル:人間のアカウントとは異なり、AIエージェントは頻繁に立ち上げ・終了されるため、迅速なプロビジョニングとデプロビジョニングが必要です。
     
  • 多様な認証方法:AIエージェントはAPIトークン、JSON Webトークン、双方向TLS、暗号証明書といったプログラムによる認証手段に依存しており、人間のログインフローとは大きく異なります。
     
  • 自動プロビジョニング:CI/CDパイプラインからデプロイされることが多く、人手を介さずにプロビジョニングされる必要があります。
     
  • 細かく限定的な権限:AIエージェントは、使用目的に応じて非常に限定的かつ一時的な権限を必要とするため、露出を最小限に抑える工夫が求められます。
     
  • 特権情報へのアクセス:タスク実行のために、AIエージェントはしばしば機密性の高いデータにアクセスするため、特権管理は厳格に行う必要があります。
     
  • 監査と復旧の課題:ライフサイクルやアイデンティティ制御が弱いと、所有者の追跡やログの一貫性が不足し、インシデント後の調査や復旧が遅れる原因になります

AIエージェントによって新たなセキュリティリスクが生じる

AIは、AIによるフィッシング、ディープフェイク、ハードコードされた脆弱な認証情報など新たな脅威をもたらします。導入されたAIエージェント1体ごとに、組織のデジタル攻撃対象面は拡大します。AIエージェントに広範なアクセスを与えることは、「スーパー管理者」の権限を誰かに与えて放置するのと同じです。この自律的な存在は、予測不能な形で、休むことなく目的に向かって動き続けます

侵害されたエージェントは、高価値な取引を実行したり、パスポート情報やクレジットカード番号といった機密情報を不正な相手に共有してしまうおそれがあります。ライフサイクルやアクセスに関する正式なポリシーがない状態では、監査の抜け穴が生まれ、コンプライアンス報告が困難になり、責任の所在も曖昧になります。

なぜ今この課題が重要なのか

AIエージェントの導入は加速しており、すでに51%の企業が導入済みです。しかしながら、セキュリティとガバナンスはそのスピードに追いついていません。この課題の緊急性を示す憂慮すべき統計があります:IT担当者の23%が、AIエージェント経由で認証情報が漏洩したと報告しており、80%が意図しないエージェントの挙動を経験しています。さらに、AIエージェントを管理するポリシーを有している組織はわずか44%にとどまり、新たな攻撃ベクトルに対して脆弱な状態に置かれています。企業はエージェントを導入するスピードの方が、それらを保護するスピードを上回っており、エージェントのアクセスと挙動に対する重大な可視性の欠如を招いています。

Oktaの解決策:アイデンティティを制御プレーンに

Oktaでは、アイデンティティこそがセキュリティの土台であると信じており、この原則はAIエージェントにも拡張されます。Oktaは、非人間アイデンティティ(NHI)をアイデンティティセキュリティ基盤に組み込むことを支援し、AIエージェントを一級のアイデンティティとして安全に構築・管理・ガバナンスできるようにします。

このアプローチにより、AIがアイデンティティの盲点になることを防ぎ、認証からガバナンス、ポスチャー管理、脅威対応に至るまで、AIエージェント向けのニーズに対応する統一された制御プレーンを提供します。

Okta Platformは、サードパーティ製であれ社内開発であれ、AIエージェントをアイデンティティセキュリティ基盤にシームレスに統合できます。

これにより以下が可能になります:

  • 包括的な可視性と集中管理:
    人間・非人間問わずすべてのアイデンティティを可視化し、監査ログ、ガバナンス、ポリシー制御を一元化。コンプライアンスや迅速なインシデント対応に不可欠です。
     
  • 標準化された認証・認可:
    AIエージェントのリソース認証方法とアクセスレベルをアプリケーション全体で統一。
     
  • 最小権限アクセスの強制:
    すべてのAIエージェントのインタラクションに対して、最小権限アクセスの原則と継続的な評価・保護を適用。
     
  • AIエージェント向けのCross App Access(CAA):
    この新しい認可プロトコルにより、アプリとエージェントのアクセス制御を企業のアイデンティティレイヤーに集約。リアルタイムにポリシーを適用し、システム全体のデータアクセスを標準化。リスクのある認証情報や管理されていない接続を排除。

AIエージェントがより相互接続され、洗練されていく中で、そのアイデンティティを管理することが信頼とセキュリティの根幹となります。Oktaのアプローチにより、AIの展開と共に進化するセキュリティ体制を実現し、比類なき可視性・制御・対応能力を提供します。

Oktane 2025で、OktaがどのようにAIを保護するかについて詳しくご紹介します。

以上の内容は、原文(英語)の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。