出典:K illustrator Photo(Alamy Stock Photo経由)
論説
セキュリティチームはインサイダー脅威に精通しています。攻撃者や悪意のある意図を持つ人物が、従業員、信頼された契約業者、あるいは特権アクセスを持つパートナー組織として、すでに組織内部にいるというケースです。
しかし、今や新たなタイプのインサイダーが登場しています。それは必ずしも悪意があるわけではなく、しかも人間でもありません。エージェンティックAI(人工知能)システムは、それを導入した人間の代理として行動する一方で、人間の意思決定を置き換え、従来の認可フレームワークの弱点を露呈させる可能性があります。
このような エージェンティックAI の登場は、現在のSaaS(ソフトウェア・アズ・ア・サービス)プラットフォームにおける認可システムにとって大きな災厄となり得ます。しかし、セキュリティやITチームが課題に積極的かつ適切な視点で取り組めば、そうならずに済みます。まずは、どこで、なぜエージェントが認可システムに重大なリスクをもたらすのかを把握することが重要です。
人間に良いこと=エージェントに良いこと とは限らない
認可(AuthZ)は、ユーザーのリソースへのアクセスを管理すること、つまり許可されたことだけを実行できるようにすることです。
しかし、AuthZシステムはユーザーがやろうとするすべてのことを必ずしも防ぐわけではない点に注意が必要です。既存の多くのAuthZシステムは、外部要因(法律、社会的非難のリスク、習慣など)が人間の不正行為を制限すると仮定して脅威モデルが構築されています。
そのため、AuthZシステムでアクセス権が過剰に付与されても、通常は大きな問題になりません。過剰付与は日常的に発生しています。たとえば、新入社員には、必要なアクセス権を慎重に考えるよりも、既存のロールセットをコピーして割り当てる方が簡単です。これまでは、ほとんどの人が過剰付与されたアクセス権を悪用しないため、大きな問題にはなりませんでした。なぜなら、文脈的に、会社の規則に違反すれば職を失ったり、信頼を失ったり、場合によっては刑務所に行く可能性があると分かっているからです。
エージェンティックAIシステムには、そのような良心の呵責はありません。
混乱のエージェントたちの登場
エージェンティックAIシステムは、あるタスクを比較的自律的に達成するために協働するエージェントの集合体です。その設計により、彼らは解決策を発見し、効率化を図ることができます。
その結果、AIエージェントは非決定的であり、特にシステムが相互運用して複雑になると、タスクを達成する際に予期せぬ行動を取ることがあります。AIエージェントは効率的にタスクを達成しようとするため、人間が考えもしなかった(あるいは考えないであろう)ワークフローや解決策を生み出します。これにより、問題解決の新たな方法が生まれる一方で、許容範囲の限界も必然的に試されることになります。
このような AIエージェントの創発的行動は、定義上、ルールベースのガバナンスの範囲外にあります。なぜなら、それらのルールは人間が行うと予想されることを前提に作られているからです。自ら働き方を発見できるエージェントを作ることで、人間が予想もしなかったことをエージェントが実行する可能性を開いているのです。
その結果、人間の代理として行動するエージェントが、ユーザーの過剰付与されたアクセス権やロールを露呈させ始めるかもしれません。人間を抑制する社会的規範に縛られないAIエージェントは、ビジネスに有害な結果をもたらす可能性があります。
例えば、ユーザーのチェックアウトフローを最適化するためにAIが解決策の作成を任された場合、チェックアウトプロセスを最適化するコードを作り始めるかもしれません。しかし、このエージェントが本来の目的に無関係と判断したAWSやGoogle Cloudのサービス(実際には他のビジネス面で不可欠なもの)を停止させたり、比較的安定したシステム群に不安定さを持ち込んだりするようなコードを本番環境にデプロイしてしまうのは避けたいはずです。
適切なガバナンスでAIエージェントを制御する
セキュリティチームは、新たに登場するベストプラクティスを積極的に取り入れることで、エージェンティックAIがAuthZシステム内で引き起こす混乱を未然に防ぐことができます。責任あるガバナンスがすべてを左右し、組織はまずいくつかの重要な領域に焦点を当てることから始められます。
複合アイデンティティ
現在、認証(AuthN)およびAuthZシステムは、人間のユーザーとAIエージェントを区別できません。AIエージェントがアクションを実行する場合、それは人間ユーザーの代理として、あるいは人間中心のAuthNおよびAuthZシステムに基づいて割り当てられたIDを使って行動します。
そのため、以前は単純だった「このコードを書いたのは誰か?」「このマージリクエストを開始したのは誰か?」「このGitコミットを作成したのは誰か?」といった質問への回答が複雑になります。
また、「誰がAIエージェントにこのコード生成を指示したのか?」「エージェントが構築するために必要としたコンテキストは何か?」「AIはどのリソースにアクセスできたのか?」といった新たな疑問も生じます。
複合アイデンティティ は、これらの質問に答える手段を提供します。複合アイデンティティは、AIエージェントのIDとそれを指示する人間ユーザーを紐付けます。その結果、AIエージェントがリソースにアクセスしようとした際に、エージェントを認証・認可し、責任を持つ人間ユーザーと結びつけることができます。
包括的なモニタリングフレームワーク
運用、開発、セキュリティチームは、複数のワークフロー、プロセス、システムにわたるAIエージェントの活動を監視する方法が必要です。例えば、エージェントがコードベースで何をしているかを知るだけでは不十分であり、ステージングや本番環境、関連するデータベース、アクセス可能なアプリケーションでの活動も監視できる必要があります。
将来的には、既存の人事情報システム(HRIS)に並ぶ自律型リソース情報システム(ARIS)が導入され、自律エージェントのプロフィールを管理し、その能力や専門性を記録し、運用範囲を管理できる世界が想像できます。LLMデータ管理システムの Knosticのような技術にその萌芽が見られますが、これはまだ始まりに過ぎません。
透明性と説明責任
高度なモニタリングフレームワークの有無にかかわらず、組織とその従業員はAIを使用している際には透明性を持つ必要があります。また、自律型AIエージェントに対する明確な説明責任の構造を確立しなければなりません。人間がエージェントの行動や成果物を定期的にレビューし、さらに重要なのは、エージェントが越権行為をした場合に誰かが責任を負う必要があるということです。
エージェントを責任を持って導入する
AIエージェントは、その作業環境に予測不可能性をもたらし、多くの場合、驚くべきイノベーションやブレークスルーを生み出します。同時に、AIエージェントは既存のAuthZシステムの限界を押し広げることも確実です。しかし、組織全体で混乱を引き起こす「AuthZの混乱エージェント」になる必要はありません。
新興技術は、既存のセキュリティ慣行にしばしば挑戦をもたらします。私たちは「知らないことを知らない」状態ですが、それで構いません。適切な比較例は、前回の技術進化であるクラウドコンピューティングへの移行です。セキュリティはしばしばイノベーションに遅れをとりますが、前進するにはバランスを取ることが必要です。責任ある導入は、新たなベストプラクティスを受け入れることから始まります。今、適切なガバナンスフレームワークを構築すれば、エージェントが混乱を引き起こす必要はありません。