2026年、エージェンティックAIと自律型エージェントがトレンドとなる中、企業は新たな大きな壁に直面しています。標準的なIAMスタックは、こうした非人間の行為者を統治するようには設計されていないのです。
昨年のあるクライアント案件で、本番稼働中のKubernetesクラスターへの常時アクセス権を持つLLMベースのデプロイエージェントが、不正な形式の設定プッシュをきっかけに4時間のサービス停止を引き起こしました。IAM上でこのエージェントは、長期間有効なAPIキーを持ち、MFAもなく、スコープを限定した失効経路も存在しないサービスアカウントとして表示されていました。インシデントレビューチームが「エージェントの最後のアクションを承認したのはどの人間か」と尋ねたとき、部屋にいた誰も答えられませんでした。私はこの1年間で、業種の異なる3つの案件、ベンダースタックの異なる3つの環境で、同じ問いが答えられないまま終わるのを目にしてきました。
今やあらゆるCISOのプレゼン資料には、エージェンティックAIに関するスライドが含まれています。しかし、これらのエージェントがアイデンティティの観点で実際には何者なのかを扱うスライドは、はるかに少ないのが実情です。このギャップこそがより危険です。前者は戦略上の問いですが、後者は統制上の問いであり、いずれ監査担当者、インシデント対応担当者、そして取締役会が問いただすことになるものです。Director AnalystのAlex Michaels氏が発表したGartnerの「2026年サイバーセキュリティトップトレンド」では、このギャップを構成する両方の要素、すなわちエージェンティックAIの監督(トレンド1)とAIエージェントへのIAMの適応(トレンド4)を、今年のサイバーリスクを再定義する要因として名指ししています。
本稿では、非人間かつエージェントベースのアイデンティティ(NHI)のための6段階成熟度モデル、本番デプロイを正当化する前に満たすべき6つの最低要件、そしてアクセス・アイデンティティ領域における最も重要な報告上の決断、すなわち人間と非人間のアイデンティティガバナンスを算術平均で丸め込むことの拒否について論じます。
エージェントベースシステムが既存のアイデンティティモデルを崩壊させる理由
従来型のサービスアカウントは、バックアップの取得、定期レポートの実行、ビルド成果物への署名といった、狭く予測可能なタスクを実行します。そのスコープは設計時点で固定されており、周辺の統制(ローテーション、保管、監査)についても十分に理解が進んでいます。
エージェントベースシステムはこのようには機能しません。意図を受け取り、それを一連のステップに分解し、適切だと判断したツールやAPIを呼び出して、事前に一つひとつのアクションとして規定されていなかった結果を生み出します。非人間アイデンティティ管理に関するKuppingerColeの「2026年リーダーシップコンパス」は、多くのエンタープライズ環境において今やNHIが人間ユーザーの数を上回っており、場合によっては25倍から50倍にも達すると指摘しています。Principal AnalystのMartin Kuppinger氏の監修による同レポートは、joiner-mover-leaverのライフサイクルを軸に構築されてきたツール群が、そもそもこの規模でNHIを発見・特定・統治するようには設計されていなかったと述べています。
OWASP GenAI Security Projectは、こうして生まれた攻撃対象領域を2度にわたってカタログ化しています。2025年2月の「エージェンティックAIの脅威と対策」タクソノミーと、同年後半のより実運用寄りの「OWASP Top 10 for Agentic Applications」(カテゴリーASI01からASI10)です。注目すべき発見は、評価が最も高い4つのリスクのうち3つがアイデンティティに関わる問題だという点です。ツールの誤用・悪用(ASI02)、委任された信頼や継承された信頼を含むアイデンティティ・権限の悪用(ASI03)、そして意図された挙動の枠を超えて行動する不正エージェント(ASI10)です。4つ目のエージェンティックなサプライチェーンの脆弱性(ASI04)も、アイデンティティに隣接する問題といえます。
このテーマに関するCISA初のFive Eyes合同勧告、すなわちNSA、オーストラリア信号局(ASD)傘下のACSC、カナダサイバーセキュリティセンター、NCSC-NZ、NCSC-UKと共同で2026年5月1日に公表された「エージェンティックAIサービスの慎重な導入」も、同じ結論に収斂しています。権限リスクこそが根本的な懸念事項だとされているのです。Center for Internet Securityも2026年4月、プロンプトインジェクションを複合的リスクの筆頭に挙げる独自レポートを発表しました。また、2026年2月に発足したNISTのAI Agent Standards Initiativeは現在、こうしたガイダンスと並び立つ正式な標準の策定を進めています。
言い換えれば、エージェンティックAIがもたらす支配的なリスクの種類は、目新しい暗号技術や新種のエクスプロイト手法ではありません。既存のIAMモデルがそもそも統治するよう求められてこなかった、アイデンティティの無制限なスコープそのものなのです。
エージェントを本番投入する前に満たすべき6つの最低要件
成熟度に関する議論が意味を持つためには、その前提となる最低ラインが必要です。以下の6つの要件は、これを下回るとエージェントベースシステムをエンタープライズ環境に責任を持って展開できないという境界線を示しています。これらは、製薬、エネルギー、金融、製造業の各案件で私が収集してきたインシデントおよび監査結果の知見に基づくものであり、最新のIAM・PAMプラットフォーム上であれば技術的に実現可能です。ただし、多くの企業が実際に保有しているIAMスタックでは、めったに実現されていません。
- 各エージェントには、一意に特定可能な非人間アイデンティティが割り当てられていること。複数のエージェント間、あるいはエージェントと人間の管理者との間でサービスアカウントを共有することは認められません。
- 権限は「代理行為(on-behalf-of)」モデルの下で付与されること。エージェントは指名された人間のプリンシパルの権限に基づいて行動し、そのプリンシパルの権限を、定義された目的の範囲内で継承します。エージェント自身の常時権限に基づいて行動することはありません。
- 長期間有効な認証情報を使用しないこと。1時間を超えて有効なAPIキーは認められません。コードへの認証情報の埋め込みも不可です。使用するのは、コンテキストに紐づいた短期間有効な認証情報のみとし、異常検知時には失効可能であること。
- SIEM連携による完全な監査証跡。エージェントのすべてのアクションは、タイムスタンプ、実行アイデンティティ、指示を出した人間のプリンシパル、入力コンテキスト、結果とともに記録されること。
- 継続的な再認証。長時間稼働するエージェントについては、セッション開始時だけでなく、定期的にリスクベースでアイデンティティを再検証すること。
- リアルタイムでの失効。エージェントを数秒以内にシステムから切断できる能力は、選択肢の一つではなく必須です。これこそが、進行中のエージェントベースのインシデントを実際に封じ込められる唯一の統制です。
この6つすべてを満たせない組織が抱えているのは、エージェントガバナンスの問題ではありません。デプロイ準備状況の問題です。以下のモデルは、これらがステージ3までに整備されていることを前提としています。それより前の段階は、あくまで発見のフェーズにすぎません。
6段階のNHI成熟度モデル
多くのエンタープライズ成熟度スケールは、アクセス・アイデンティティ領域を人間のアイデンティティという物差しで測ります。中央集権的なIAMが存在するか、特権アクセスにMFAが強制されているか、joiner-mover-leaverのライフサイクルが機能しているか、といった具合です。これらは依然として正しい問いですが、そこで止まってしまっています。人間のアイデンティティガバナンスではステージ4、エージェントガバナンスではステージ1という組織は、成熟したアイデンティティ実践を持っているとは言えません。片方だけ明るく照らされ、もう片方は闇に包まれているのです。
以下の6段階スケールは累積的なもので、各ステージはその下のすべてのステージを前提とします。責任の閾値はステージ3にあります。私の見解では、ステージ3に満たないエージェントベースシステムの本番デプロイは、取締役会、規制当局、あるいはインシデントレビューに対して正当化できません。
| ステージ | ラベル | 非人間・エージェントベースアイデンティティの基準 | 監査への耐性 |
| 0 | 未認識 | 非人間アイデンティティは存在するが、インベントリに含まれていない。サービスアカウントの共有、長期間有効なキー、監査証跡なし。 | なし — エージェントの活動はフォレンジック上不可視。 |
| 1 | 可視化 | アイデンティティはインベントリ化され資産クラスに割り当てられているが、まだ独立したガバナンス下にはない。 | なし — エージェントごとのアカウンタビリティなし。 |
| 2 | 一意化 | 各アイデンティティが一意に特定可能(アカウント共有なし)。初期のライフサイクルルールは存在するが、適用は一貫していない。 | 部分的 — 「誰が行動したか」には答えられるが、「誰の権限で」には答えられない。 |
| 3 | 統制済み | 6つの最低要件をすべて満たしている。代理行為モデル、短期間有効な認証情報、SIEM監査証跡、リアルタイム失効。 | あり — 防御可能な最低限の状態。 |
| 4 | 境界設定・監視済み | エージェントのアクションには境界が設けられ、すべてのアクションはレビュー可能であり、プロセスが許す限り取り消し可能である。エージェントの活動指標は、単に収集されるだけでなく評価されている。 | あり — 封じ込めが証明可能。 |
| 5 | 自己統制型 | エージェントの挙動における異常は自動的に検知され、リスクに基づく一時停止や失効をトリガーする。各エージェントには、責任を負う担当者が指名されている。 | あり — 最先端の状態。 |
ステージ4と5は、詳しく解説する価値があります。このモデルがアクセス制御の枠を超え、挙動そのものを統治し始めるのがこの段階だからです。「境界設定」とは、エージェントの権限範囲に明確な限界があり、その外では行動できないことを意味します。「レビュー可能」とは、すべてのアクションが意図・実行・結果とともに記録されていることを意味します。「取り消し可能」とは、不可逆的な影響が生じる前にアクションをロールバックできることを意味し、物理的なプロセス、金融取引、対外的なコミットメントに関わる環境では厳格な制約となります。「自己統制型」とは、システムがエージェントの挙動における異常を検知し、人間が合理的に対応できるよりも早く介入することを意味します。
「人間参加型(human in the loop)」は自動的にガバナンスを意味しない
組織のエージェントガバナンスを常に過大評価させる誤解が一つあります。意思決定ループに人間が関与していることが、十分な監督として広く扱われている点です。しかし、それは誤りです。人間が一つひとつを精査する時間もないまま、何百、何千というエージェントのアクションを承認するよう求められているとしたら、そこにあるのは統制ではなく、人間の署名がついた承認の自動化にすぎません。人間によるレビューは、自律システムのアクション量に対してスケールしないのです。
成熟したガバナンスの姿勢は、この点を認識しています。統制の重心を、アクションごとの承認から構造的な制約へと移すのです。すなわち、エージェントが行えることそのものに境界を設け、その挙動における異常を監視し、監督機能が実行システムではなくプリンシパルに忠実であることを確保します。エージェントガバナンスの全体を人間によるアクションごとの承認だけに依存している組織は、その承認がどれほど丁寧に文書化されていようと、このモデルのステージ4には到達しません。ステージ4に必要なのは、手作業のスケールアップではなく、構造的な境界設定です。
監査対応可能なエビデンス基盤としてのOWASP
成熟度評価には、主観的な自己採点に陥るリスクがあります。前述のOWASPの各カテゴリーは、各ステージを検証可能なエビデンスに結びつける監査上の問いへと具体化できます。
| OWASP攻撃対象領域(Top 10 for Agentic Applications) | 成熟度評価のための監査上の問い | 達成対象となるステージ |
| ASI03 — アイデンティティ・権限の悪用 | 各エージェントは一意のアイデンティティを持ち、アカウントの共有はないか? | 2 |
| ASI02 — ツールの誤用・悪用 | エージェントが使用を許可されているインターフェースは、明確に境界設定されているか? | 4 |
| ASI01 — ゴールハイジャック | 各エージェントの権限範囲は明確に境界設定され、操作から保護されているか? | 4 |
| ASI04 — エージェンティックなサプライチェーンの脆弱性 | エージェントのソフトウェア構成は、SBOMを通じて文書化されているか? | 4 |
| ASI10 — 不正エージェント | エージェントの挙動における異常は検知され、一時停止や失効へと処理されるか? | 5 |
右側の列が重要です。よくある評価上の誤りは、一意のアイデンティティや基本的なロギングといった容易な要件をクリアしているというだけで、より要求水準の高い項目に取り組んでいないにもかかわらず、組織を高く評価してしまうことです。上位のステージを難易度の高い基準に結びつけることで、こうした評価の水増しを防ぐことができます。
人間と非人間のアイデンティティは別々に報告する
最も重要な報告上の決断は、算術平均を拒否することです。成熟度レーダーにおけるアクセス・アイデンティティ領域は、ステージ4の人間アイデンティティ実践とステージ1のエージェントアイデンティティ実践を、安心感を与えるだけの中間値へと丸め込んではいけません。両方の評価値は同じ軸上に位置づけられるべきですが、報告は別々に行われるべきです。
現在進行中の案件から得られた典型的な調査結果を紹介します。人間のアイデンティティガバナンスはステージ4(中央集権的なIAM、MFA、ライフサイクル管理あり)である一方、エージェントガバナンスはステージ1にとどまっており、エージェントは最近になってようやくインベントリ化されたものの、依然として長期間有効なAPIキーを使い、共有サービスアカウントを通じて認証を行い、独自の監査証跡も持っていません。これを合算した平均値は、ステージ2から3程度となり、一見すると許容できる水準に見えてしまいます。しかし、別々に報告することで、管理が行き届いていない側のアイデンティティクラスこそが、最も広範かつ予測困難な行動範囲を持つことが明らかになります。この可視性こそが、優先度の高いロードマップ上のアクションを引き起こすものであり、集約されたスコアはそれを覆い隠してしまうのです。
「責任者が指名されているか」というテスト
新しい案件で診断を一つだけ行うとしたら、これを選びます。環境内で稼働しているすべての本番エージェントベースシステムについて、次のように問うのです。「このエージェントが害を及ぼした場合、誰が、名前をもって責任を負うのか」と。責任者が指名されていないエージェントは、誰もが使うのに誰も所有していないワークステーションの、非人間版だといえます。このモデルのステージ5は、デプロイされた各エージェントに対して責任を負う担当者を指名することを正式に要件としています。その理由は、官僚的なものではなく、実務上のものです。「このシステムの責任者は誰か」という問いには、インシデントが起きている最中ではなく、その前に答えられていなければなりません。
実務上、こうしたアカウンタビリティは、当該プロセスに関わる業務上のリスクをすでに担っている役割、典型的にはビジネス機能内の資産オーナーに紐づけるのが最も適切です。そこに紐づけることで、エージェントベースシステムがIT、セキュリティ、事業部門の間の組織的な灰色地帯へと漂流するのを防げます。まさにそこにこそ、責任の所在が不明なアクションが生まれる土壌があるからです。
本稿で示した成熟度モデルは、あくまで出発点となる枠組みです。これを取り入れるにあたって誠実に踏み出すべき最初の一歩は、高いスコアを得ることではありません。真実に即したスコアをつけ、人間と非人間のアイデンティティガバナンスを別々に報告し、その間のギャップを、次のエージェントが本番投入される前に、エージェンティックAI時代のセキュリティロードマップの最優先項目として扱うことです。
本稿はFoundry Expert Contributor Networkの一環として掲載されています。
参加をご希望の方はこちら