AIエージェントがリスクをもたらすという点について、セキュリティリーダーたちをいまさら説得する必要はありません。欠けているのは、AIエージェントが本番環境に移行し、エンタープライズ環境全体で自律的に動作し始めた後、どのようにガバナンスを実現するかという具体的な方法論です。
AIエージェントはすでに機密文書の読み取り、内部APIの呼び出し、ワークフローのトリガー、そして本来は人間の判断を要する意思決定を行っています。セキュリティの観点から見て最も重要な変化は、エージェントの「知性」ではなく、その「行動と意図」です。AIエージェントは委任された権限を持ち、自律的に動作し、多くの場合、自身がサポートする人間よりも広いアクセス権を保持しているからです。
幸いなことに、セキュリティチームはゼロから始める必要はありません。NIST AIリスク管理フレームワーク(AI RMF)とISO/IEC 42001は、AIエージェントをガバナンスするために必要な構造をすでに提供しています。難しいのは、アイデンティティという効果的なコントロールプレーンを通じてそれらを実際に適用することです。
AIエージェントをアイデンティティを持つエンティティとして扱う
最初のステップは基本的なものですが、運用上の直接的な影響を伴います。AIエージェントは、アプリケーションに組み込まれたソフトウェアコンポーネントとしてではなく、人間的な特性を持つマシンスケールのアイデンティティとして扱わなければなりません。NIST AI RMFとISO 42001はいずれも、アカウンタビリティ、オーナーシップ、ライフサイクルガバナンスを重視しています。AIエージェントに当てはめると、各エージェントには明確なオーナー、明確な目的、限定されたアクセス範囲、そして明示的なライフサイクルが必要です。
セキュリティチームが「どのエージェントを保有しているか」「誰がそのエージェントのオーナーか」「どのような目的で作られたか」「どのシステムにアクセスできるか」「いつ廃止すべきか」といった問いに答えられないなら、すでにガバナンスの及ばないエンティティが環境内に存在していることになります。これはサービスアカウントで学んだ教訓と同様ですが、AIエージェントは推論し、適応し、マシンの速度で行動するため、潜在的な影響は劇的に拡大します。
NIST AI RMFをアイデンティティリスクに適用する
NIST AI RMFは、AIリスクを静的なものではなく継続的なものとして捉えるため、特に有用です。これは、アクセスと行動が時間とともに変化するアイデンティティセキュリティの原則とも一致しています。
実際には、まずオブザーバビリティとガバナンスの整備から始めます。AIエージェントがアイデンティティをどのように使用するか、またIAMコントロール・監視・アカウンタビリティにどのように従うかを明示的に分類するポリシーが必要です。だからこそ、エージェントは特権ユーザーと同等の厳格さで承認されるべきなのです。
次に必要なのがマッピングです。セキュリティチームには、エージェントが実際に何をするかを把握するためのオブザーバビリティが求められます。インベントリや設計上の意図だけでなく、どのシステムにアクセスするか、どのアクションを開始するか、どのように決定を連鎖させるか、そしてそれらのアクションがどのような波及効果をもたらすかまで把握する必要があります。これはモデルのドキュメント化ではなく、アイデンティティマッピングです。
測定は絶対に欠かせません。リスクは自律性の度合い、権限の広さ、データの機密性に基づいて評価されなければなりません。トランザクションの開始やインフラの変更が可能なエージェントは、見えないバックグラウンドプロセスではなく、高度な特権を持つアイデンティティとして扱う必要があります。
管理は適応的でなければなりません。権限は四半期ごとのレビューではなく、リアルタイムで取り消し可能でなければなりません。エージェントが意図したスコープ外で行動し始める「行動のドリフト」は、人間の異常行動と同様に調査のトリガーとなるべきです。継続的なリスク管理を重視するNISTの考え方は、AIアイデンティティセキュリティを一度きりのコントロールにしてはならないことを改めて示しています。
ISO/IEC 42001でガバナンスを運用化する
NISTが構造を提供するのに対し、ISO/IEC 42001は運用上の規律をもたらします。ISO 27001のような管理システムの厳密さを、エージェンティックシステムを含むAIデプロイメントにまで拡張するものです。
AIアイデンティティに適用すると、ISO 42001はライフサイクルコントロールを強化します。エージェントは正式にオンボーディングおよび登録され、定期的にレビューされ、不要になれば廃止されるべきです。一時的なエージェントは自動的に有効期限が切れるようにし、長期運用のエージェントは継続的なアクセスの正当性を定期的に証明する必要があります。
ロギングとトレーサビリティも同様に重要です。エージェントが行うすべての重要なアクションは、特定のアイデンティティに帰属可能であり、事後に監査できなければなりません。組織がエージェントのシステムアクセスやワークフロー実行の理由を説明できない場合、そのアクセスは取り消されるか、エージェントは廃止されるべきです。
ISO 42001は継続的な監視と定期的なリスクアセスメントも強調しています。AIエージェントにとってこれは、特権のクリープ、予期しないツール使用、エージェントの定義されたスコープを超えたアクションといったアイデンティティの失敗を監視することを意味します。
エージェントファーストの現実へのIAM適合
ほとんどのIAMプログラムは人間を中心に構築されており、アプリケーションと自動化は後から追加されました。AIエージェントはそのモデルを逆転させます。AIエージェントは自律的で、短命であり、従来のIAMワークフローの外で作成されることが多いのです。
セキュリティチームは、デフォルトでエージェントが人間のアクセスを継承することを許可すべきではありません。委任された権限は常に、サポートする人間のそれより狭い範囲に限定されなければなりません。クレデンシャルは静的なシークレットとして埋め込むのではなく、短命で動的に発行されるべきです。また、監視は定期的なアクセスレビューから、エージェントの実際の動作を反映した行動ベースラインの設定へとシフトする必要があります。
これらは新しいIAMの原則ではありません。マシンの速度とスケールで動作する新しいクラスのアイデンティティに適用する必要がある、これまでもおなじみのコントロールです。
AIアイデンティティガバナンスの継続的な実施
よくある間違いの一つは、AIガバナンスをプロジェクトとして扱うことです。NIST AI RMFとISO/IEC 42001はいずれも、継続的な管理を明確に推奨しています。これはオーナーシップの割り当て、メトリクスの定義、定期的なアクセスレビューの実施、そしてエージェントの進化に合わせてコントロールを継続的に改善していくことを意味します。
アイデンティティは常にエンタープライズのコントロールプレーンであり続けてきました。AIエージェントがデジタル従業員となりつつある今、AIエージェントのアイデンティティを特権を持つ人間ユーザーと同等の厳格なガバナンスの下に置く組織こそが、制御を失うことなくイノベーションを実現できるでしょう。
翻訳元: https://www.helpnetsecurity.com/2026/06/12/nist-iso-frameworks-govern-ai-agents/
