セキュリティベンダーのSemperisによると、世界中の組織の大多数(93%)が、重大な漏洩やデータ流出の可能性があるにもかかわらず、パスワードリセットやVPNアクセスなどのセキュリティタスクにAIエージェントを使用しているか、使用予定である。
このセキュリティベンダーは、米国、英国、フランス、ドイツ、スペイン、イタリア、シンガポール、オーストラリアの1100組織を調査し、AI時代におけるアイデンティティセキュリティの現状レポートを作成した。
機密セキュリティ業務にエージェントを使用している、または12ヶ月以内に使用予定の組織のほか、回答者の大多数(92%)が、SSHと暗号化キーへのアクセス権を持つ少なくとも一部のローカルマシンにAIがインストールされていることを認め、セキュリティリスクにさらに露出している。
同時に、回答者の74%がAIがアイデンティティインフラストラクチャへの攻撃を増加させると同意した。
アイデンティティ脅威について詳しく読む:SentinelOneが警告、ハッカーが大規模にエンタープライズアイデンティティの侵害を悪用
AIによるリスクに組織を露出させているにもかかわらず、回答者のわずか3分の1(32%)だけがAIによるクレデンシャル露出後に制御を取り戻せることに「非常に自信がある」と答えた。
「このレポートで注目すべき点は、AIがアイデンティティシステムに統合される速さだけでなく、多くの組織が問題が発生したときに回復するためにどの程度準備不足であるか、ということです」と、サイバーセキュリティベンチャーキャピタルファームTen Eleven Venturesのパートナーであるグレース・キャッシー氏は述べた。
「アイデンティティレイヤーにAIを導入することは運用上の利点をもたらしますが、ガードレール、可観測性、復旧準備体制を伴う必要があります。これは実は古い質問の新しい側面です:重大な中断が発生した場合に対応するのに十分な回復力はありますか?」
多すぎるエージェント、多すぎる権限
AIエージェントを含む非人間アイデンティティ(NHI)の急増は、セキュリティチームのアイデンティティガバナンスの作業を複雑にしている。
課題は、それらの拡散が、脅威アクターが乗っ取る可能性のある放棄された「ゾンビ」エージェントやシャドウNHIが多く存在することを意味していることです。多くのエージェントが人間ユーザーと同じ権限を付与されるため過剰な権限を持たされているという事実は助けにならないと、レポートは説明している。
組織のわずか65%のみがAIアイデンティティを正式なシステムに完全に登録、認証、認可し、6%は全くトラッキングしていないことが明らかになった。トラッキングしている組織の半分以上(57%)は人間アイデンティティと同じシステムを使用している。
AIアイデンティティのベストプラクティスとは
朗報は、レポートによると、AIアイデンティティガバナンスが今後12ヶ月間で世界的な組織の83%の優先事項であるということです。しかし、使用を制御、監視、保護するためにどのような措置を講じるかは明確ではありません。
現在のところ、Semperisは組織に以下を推奨している:
- エージェントを人間アイデンティティではなくNHIとして扱う
- 人間アイデンティティを統治するのと同じ方法で、エージェントに最小権限、十分な権限、ジャストインタイムアクセスを実施する
- 必要に応じてエージェントと人間の信頼境界を分離する
- ユーザーおよびエンティティ行動分析(UEBA)またはそれに類するツールを使用してゾンビまたは疑わしいエージェント行動を検出する
- 侵害された場合に組織が迅速にアイデンティティシステムを信頼できる状態に回復できるようにする
翻訳元: https://www.infosecurity-magazine.com/news/most-organizations-ai-agents/
