執筆:Ido Shlomo、共同創業者兼CTO、Token Security
AIアシスタントはもはや会議の要約やメール作成、質問への回答だけではありません。チケットの発行、ログの分析、アカウント管理、さらにはインシデントの自動修復まで行動を起こしています。
次に何をすべきかを教えるだけでなく、それを実行してくれるエージェンティックAIの時代へようこそ。これらのエージェントは非常に強力ですが、同時に全く新しい種類のセキュリティリスクをもたらしています。
静かに台頭する自律型エージェント
当初、企業内でのAI導入は無害に見えました。ChatGPTやCopilotのようなツールは、基本的な文章作成やコーディングを支援していましたが、自律的に行動することはありませんでした。しかし、それは急速に変化しています。
セキュリティレビューや承認なしに、チームは目標を解釈し、手順を計画し、APIを呼び出し、他のエージェントを起動できる自律型AIシステムを導入しています。AIマーケティングアシスタントは、キャンペーンのパフォーマンスデータを分析し、ターゲティングや予算を積極的に最適化できます。DevOpsエージェントは、インシデントを検知し、人間を待たずに修復を開始できます。
その結果は?人間が監視するよりも速く意思決定し行動するエージェントが増え続けています。
「ただのボット」ではない
組織はサービスアカウントやAPIキーなどの非人間ID(NHI)の管理を始めていますが、エージェンティックAIは同じ枠組みに収まりません。
ワークフローのように予測可能な一連のアクションに従うのではなく、AIエージェントは次に何をすべきかを推論します。複数のステップを連鎖させ、異なるシステムにアクセスし、途中で計画を調整することができます。この柔軟性こそが、エージェントを強力かつ危険なものにしています。エージェントは境界を越えて行動できるため、データベースやCRM、Slackへのアクセスを与えるだけで、社内で最も強力なユーザーになり得ます。
マルチエージェントのエコシステムは新たな複雑さをもたらしています。一度エージェントが他のエージェントを呼び出したり作成し始めると、どの人間がその行動を開始したのか追跡するのが難しくなります。
シャドーAIはすでに存在している
慎重な企業でさえ、シャドーAIが自社環境に忍び込んでいることに気づき始めています。プロダクトマネージャーが新しいAIリサーチツールに登録する。チームがミーティングボットを社内ドライブに接続する。エンジニアが顧客ログを照会できるローカルAIアシスタントを立ち上げる。
それぞれは技術的にはサービスであり、したがってガバナンスが必要です。しかし、これらのツールのほとんどは正式なレビューやセキュリティスキャン、ID登録なしに企業に導入されています。
従来の可視化ツールでは、これらを明確に捉えることができません。CASBツールは新しいSaaSドメインを検出するかもしれませんが、クラウドファンクションやVM上で静かに動作する数百のAIエージェントは見逃します。
悪意があるわけではなく、ただ速いだけです。そして、スピードは常に監督の敵です。
新しいIDタイプのための新しいルール
では、可視化できず、機械のスピードで動作するものをどうやって守るのでしょうか?セキュリティチームはID戦略を新しい形で適応させる必要があります:
- 所有者とライフサイクルの追跡。すべてのエージェントに名前付きの所有者が必要です。所有者が退職したら、エージェントも削除されるべきです。
- 意図とコンテキストの適用。すべてのエージェントのアクションには「誰の代わりに」データが付随すべきです:誰がトリガーしたか、どんなタスクを実行しているか、どのデータにアクセスできるか。この連鎖が失われると、責任の所在も失われます。
- デフォルトは閲覧権限のみ。エージェントは最初は閲覧のみ許可されるべきです。書き込み権限は明示的な承認と期間限定が必要です。
ライフサイクルの問題
ほとんどの企業は、不要になったAIエージェントを廃止する明確なプロセスを持っていません。3月に実験として始まった開発者のプロトタイプが、10月になってもそのまま稼働し、すでに退職した人が作成した認証情報を使い続けていることもあります。別のエージェントは、プロンプトやツールの変更を経て、今では顧客データにアクセスできるようになっています。これらのエージェントは悪意があるわけではありませんが、見えにくく、持続的で、強力です。
そのため、より多くの企業が、すべてのアクティブなエージェント、その目的、所有者、権限、寿命をリスト化したAIエージェントのインベントリを作成しています。これは、AIエージェントとそのIDを管理可能にするための基盤です。
恐怖よりガードレールを
目標は、組織が効率化や競争力向上のためにAIを活用する中で、エージェントの活動を止めることではありません。効果的な監督とガバナンスを確保することです。
新入社員に全ての管理者権限を与えないのと同様に、AIエージェントにも特定の責任を与え、その作業をレビューし、意思決定を確認する必要があります。
重要なのは、チームが自動的に範囲を制限し、行動を記録し、悪質なプロセスを被害が出る前に停止できるシステムを構築できるようにするガバナンスです。なぜなら、これらのエージェントは単にレポートを要約したり、チケットを振り分けたりしているだけではありません。インシデントをクローズし、取引を承認し、顧客と直接やり取りしているのです。
それが現実になれば、「シャドーAI」はもはや好奇心の対象ではなく、危機となるでしょう。
まとめ
エージェンティックAIは未来の問題ではありません。すでにあなたのシステムに存在しています。もし、ID管理を人間か非人間かの2種類だけで行っているなら、3つ目のカテゴリ「自律的アクター」のための枠を設ける時です。彼らにもID、権限、責任が必要です。
また、コントロールとガバナンスも必要です。エージェントを資格情報を持ったスクリプトではなく、スーパーパワーを持つ同僚として扱うほど、企業はより安全になります。
Token SecurityのAIセキュリティガイドでは、14人以上のサイバーセキュリティ業界リーダーによるベストプラクティスを紹介しています。
Token Securityによるスポンサードおよび執筆。
