長年にわたり、セキュリティチームはシンプルな前提のもとにプログラムを構築してきました。「アイデンティティを管理できれば、リスクも管理できる」という前提です。従業員はアイデンティティプロバイダーを通じて認証し、サービスアカウントがシステムを連携させ、APIキーがワークロードとクラウドサービス・データベースの通信を可能にしてきました。
こうしたアクターは非常に予測可能な存在でした。その結果、アイデンティティセキュリティとガバナンスのモデルもその予測可能性に沿って構築されてきました。しかし今、この前提が崩れようとしています。
AIエージェントは企業に静かに浸透していきました。会議の要約、メールの下書き、情報収集の補助といった用途で活用され始めたのです。当初、多くのセキュリティチームはAIエージェントについてそれほど深く考えませんでした。生産性ツールのように見えていましたし、実際そのとおりだったからです。
その後、組織はSalesforce、Snowflake、GitHub、Jira、本番データベース、クラウド環境といった重要なビジネスサービスへAIエージェントを接続し始めました。今では情報の取得、ワークフローのトリガー、レコードの更新、コードの作成・デプロイ、複数システムにまたがる操作など、多岐にわたる処理を行うようになっています。
その処理は、人間の指示によるもの、完全に自律的なもの、あるいはどちらか判然としないもの、と様々です。
これにより、AIエージェントは単なるツールではなくなりました。アイデンティティそのものになったのです。しかし、多くの企業はAIエージェントに対応したセキュリティおよびガバナンスのモデルを持っていません。
このパターンはどの組織にも共通して見られます。既存のインフラの上に新たなアイデンティティ層が構築される一方、アイデンティティチームが過去10年かけて整備してきた管理策はほぼ適用されていません。あるエージェントは別のチームが作成し、また別のチームが利用し、5つもの異なるアプリケーションに接続され、まったく別の目的でプロビジョニングされたクレデンシャルで動作しているといったケースも珍しくありません。
誰かが「とにかく動かしたい」と思い、スピードを落としたくなかったため、早い段階で広範なアクセス権限が付与されてしまいます。その結果、多くのセキュリティチームがインベントリ化すらできない、ましてや管理もできない、高権限・低可視性のアクターが際限なく増殖していきます。
Token Securityが委託した2026年のCSA調査によると、過去1年間に82%の組織が、セキュリティチーム・ITチーム・ガバナンスチームの知らないところで作成されたAIエージェントを少なくとも1つ発見しており、41%ではこれが複数回発生していたことが明らかになりました。
ここに、セキュリティに関する議論が的外れになっている問題があります。AIセキュリティへの関心の多くは、プロンプトインジェクション、ジェイルブレーク、不適切な出力といったモデルリスクに集中してきました。これらはいずれもエージェント型AIエコシステムの重要な要素ですが、エンタープライズのセキュリティチームが必要とする全体像を把握するには不十分です。最も重要な問いは「そのエージェントが実際にアクセスできるものは何か」でなければなりません。
公開ドキュメントを要約するだけのエージェントであれば、影響範囲は限定的です。しかし、顧客情報、ソースコード、財務システム、管理者レベルのクラウド認証情報に接続されたエージェントとなると、まったく異なる問題になります。
不正なプロンプト、侵害されたセッション、悪意のあるプラグイン、設定ミスのある統合——これらのいずれかが、過剰な権限を持つエージェントをデータ窃取、破壊的な操作、あるいは本来接続される想定のなかったシステムへの横断的移動(ラテラルムーブメント)の経路に変えてしまいます。
これはもはや仮定の話ではありません。過去1年間に65%の組織がAIエージェントに関わるセキュリティインシデントを経験しており、そのうち61%が機密データの漏洩や不適切な取り扱いが発生したと報告しています(出典)。
管理の第一歩は可視化です。セキュリティチームには、名前やプラットフォームの把握にとどまらず、実際に重要な問いに答えられるAIエージェントの発見とインベントリ管理が必要です。
このエージェントの所有者は誰か。誰が呼び出せるのか。どのシステムに接続されているのか。どのクレデンシャルを使用しているのか。各ターゲットアプリケーションで何を読み取り、書き込み、削除し、実行できるのか。
これは言葉ほど簡単ではありません。攻撃対象領域が一目では分からないためです。あるセキュリティチームは、AIプラットフォーム上にセールスアシスタントが存在することは知っていても、それが管理者権限を持つSnowflakeのサービスアカウントで動作していることは知らないかもしれません。コーディングエージェントが開発者のエンドポイントにインストールされていることは知っていても、そのエージェントがアクセスできるシークレット、リポジトリ、CI/CDパイプラインまでは把握していないかもしれません。
エージェント自体は全体像のほんの一部にすぎません。エージェントのアイデンティティがアクセスできるすべてのものが、実際の露出面となります。
次に重要なのは目的の把握です。AIエージェントに対するセキュリティとガバナンスは、権限ベースだけでは不十分です。エージェントの意図を考慮する必要があります。営業準備用エージェントはCRMレコードへの読み取りアクセスがあれば十分です。データベースのテーブルを削除する権限は必要ありません。
財務ワークフローエージェントに必要なのは請求書の読み取りだけです。新しい特権ユーザーを作成できるべきではありません。エージェントが何をすべきかを理解できれば、その権限がスコープと一致しているかどうかを評価できます。しかし実際には、一致していないケースがほとんどです。そのギャップこそが本当のリスクが潜む場所であり、最小権限ポリシードリフトによって時間とともに拡大し続けます。
意図を把握できれば、強制適用が可能になります。エージェントの実際の目的に合わせて権限を絞り込み、過剰な権限を持つサービスアカウントを修正し、未使用のクレデンシャルをローテーションまたは削除し、インシデントになる前に危険な接続を検出できるようになります。
多くのチームがつまずくのは、これが一度限りの作業ではない点です。アクセスレビューや監査は進歩しているように感じられますが、実際にはある時点のチェックボックスにすぎず、偽りの安心感を与えるだけです。エージェントは変化し、指示は更新され、ユーザーベースはシフトし、統合は拡大していくからです。
当初は限定的な社内ツールとして始まったエージェントが、気づかぬうちに本来接続される想定のなかったシステムに繋がってしまうことがあります。誰かが悪い判断をしたからではなく、スコープがじわじわと拡大していく間、誰も監視していなかったからです。
だからこそ、ガバナンスは継続的である必要があります。通常のパターンを外れてアプリケーションにアクセスし始めたエージェント、想定外のクレデンシャルを使用するエージェント、あるいは本来の目的に合わない行動を取るエージェントを早期に検知するためです。
AIで成功する企業は、エージェントを完全にブロックする企業ではありません。エージェントを管理可能な状態に保ち、セキュアなAIイノベーションを推進する企業です。そのためには、エージェントを所有者、アクセス、動作、リスク、ライフサイクル管理を備えた一流のアイデンティティとして扱う必要があります。
AIエージェントは特権的な内部者になりつつあります。そうした内部者が見えない攻撃経路になる前に、セキュリティとアイデンティティのプログラムが追いつかなければなりません。
Token Securityでのこの課題へのアプローチについて、ぜひご紹介させてください。デモをご予約いただき、テクニカルチームとお話しください。安全性を犠牲にせずにスケールする方法をご提案します。
