AIエージェントは新種のIDである——多くの組織はまだ備えができていない

解説

先日、Omdiaのプリンシパルアナリストであるトッド・ティーマン氏がTechTargetに寄稿したAIエージェントのアイデンティティセキュリティについての論考を読みました。このテーマについてこれまで読んだ中でも特に明快な内容でしたが、同時に私自身がさらに深掘りしたいと考えているテーマ、すなわち現在のエンタープライズセキュリティにおいて最も重要でありながら、正当な注目を集めていない要素——開発環境について、改めて考えさせられました。

ティーマン氏は、私が以前から繰り返し主張してきたポイントを指摘しています。それは声を大にして繰り返す価値があります。AIエージェントは単なる別種の非人間アイデンティティではありません。根本的に異なる存在なのです。もしいまだにサービスアカウントやAPIトークンと同じように扱っているなら、すでに対応が遅れていると言わざるを得ません。

すべてを変える違い

これまで管理してきたあらゆる非人間アイデンティティを思い浮かべてみてください。サービスアカウント、APIトークン、ボット——これらにはすべて共通点があります。何をすべきかを指示すれば、その通りに動くという点です。一貫していて予測可能であり、定められた範囲内で動作します。

AIエージェントはそうではありません。目標だけが与えられ、そこに至る方法は自ら考え出します。過程で意思決定を行い、状況に適応していきます。しかも午後5時になっても止まりません。チームが眠っている間も稼働し続け、リポジトリに触れ、パイプラインを起動し、プルリクエストを開き、場合によっては人間が監視していない状態で、あるいは何が起きたかを示す監査証跡もないままコードをマージしてデプロイまで行ってしまいます。

これはサービスアカウント問題の延長線上にあるものではなく、根本的に異なる種類のリスクです。そしてガバナンスに対しても根本的に異なるアプローチが求められます。

AIエージェントもアイデンティティの一種です。人間や他の非人間の開発者アイデンティティと同様に、プロビジョニングし、監視し、統治し、そして役目を終えれば権限を剥奪する必要があります。違うのは、これまで構築してきたあらゆるガバナンスモデルを打ち破ってしまうほどの速度とスケールで動作するという点です。だからといって扱いを変える理由にはなりません。むしろ、より優れたガバナンスを行う理由になります。

AIエージェントは、超人的な能力を持つ非人間アイデンティティです。その組み合わせに対応するには、人間向けに行ってきたことと機械向けに行ってきたことの両方を取り入れ、さらにその先へと進むガバナンスのアプローチが求められます。

人間の開発者向けに構築されたガバナンスモデルは、人間の速度と人間の判断力を前提としていました。非人間アイデンティティ向けに構築されたモデルは、決定論的で範囲が限定された振る舞いを前提としていました。AIエージェントはこの両方の前提を同時に崩してしまいます。だからこそ、ほとんどのセキュリティツールはそもそもAIエージェントを捕捉するようには作られておらず、まして統治することなど想定されていないのです。

SDLCの盲点

調査結果は明確です。組織あたり平均22件もの異なるAIエージェントプロジェクトが、IT、法務、コンプライアンス、営業など多岐にわたる部門で動いています。これほど多くの自律的な活動がありながら、誰がそれを統治しているのかという疑問には答えが出ていないケースが多いのです。

AIエージェントは企業のあらゆる領域に姿を現しつつありますが、中でも開発環境は最も深く組み込まれ、最も自律的に動作し、そして私の見立てでは、現時点で最もガバナンスが行き届いていない領域です。私が取り上げたいのは、まさにこの点です。

エンジニアリングチームの内部で実際に何が起きているのかを、はっきりさせておく必要があります。というのも、そこには性質の大きく異なる2種類のAIが存在し、それぞれ全く異なるリスクプロファイルを抱えているからです。

現在、ほとんどの組織はコーディングアシスタントの段階にあります。GitHub Copilot、Cursor、Claudeなど、開発者がより速くコードを書き、より良い提案を受け、問題を早期に発見できるよう支援するツール群です。ここでは人間がまだループの中に残っています。開発者がコードを書き、AIが提案し、開発者が判断を下す。これは一つのリスクプロファイルであり、少なくともセキュリティチームの多くはその影響について考え始めています。

自律型エージェントはまったく別の話です。これらのエージェントはコードを書き、テストを実行し、プルリクエストを開き、マージを承認し、パイプラインのデプロイを引き起こします。しかも時には人間が一切レビューしないまま実行されます。すべての組織がこの段階に到達しているわけではありませんが、状況はこの方向に進んでおり、しかもほとんどのセキュリティ・ガバナンスチームの準備が追いつかないペースで進行しています。

両方のシナリオにおいて、私が特に印象的だと感じるのは次の点です。セキュリティチームは脆弱なコードが紛れ込むことを懸念していますが、それ自体はもっともな懸念です。しかし、ほとんどの組織が答えられないのはもっと根本的な問いです。どのAIエージェントがそのコードを持ち込んだのか、そのエージェントは何にアクセスできたのか、そしてそのループのどこかに人間は関与していたのか。コードはあくまで症状に過ぎません。原因は、統治されていないAIアイデンティティそのものです。そして原因を把握できなければ、いつまでも症状に対処し続けることになります。

このギャップは、悪意ある活動だけの問題ではありません。私たちが調査する環境の大半において見つかるのは、悪意あるものではなく、単に統治されていない活動です。そして統治されていないこと自体がリスクなのです。

本当に必要なもの

ティーマン氏は、AIエージェントのアイデンティティセキュリティに必要な中核的な能力として4つを挙げていますが、これらは私たちが開発環境で組織が苦戦している姿を目にしてきた内容と、まさに重なり合っています。

  • 自組織の環境で稼働しているすべてのAIエージェントを把握する必要があります。承認済みのものだけではなく、すべてです。開発者が個人アカウントで立ち上げたもの、誰もレビューしていないもの、何カ月もかけて静かにアクセス権限を蓄積してきたものも含まれます。

  • これらのエージェントが何にアクセスでき、実際に何を利用してきたかを把握する必要があります。何が正常な状態かを把握し、異常が発生した際に察知できるよう、行動のベースラインが必要です。そして、プロジェクトが終了した際にはアクセス権限もあわせて終了させるライフサイクル管理の仕組みも必要です。

ここで述べていることは、決して新しい発想ではありません。私たちはこれらの原則を、人間のアイデンティティに対しては何年も前から適用してきました。開発環境におけるAIエージェントはまだ新しい領域であり、それを統治するためのフレームワークはようやく追いつこうとしている段階です。それが現状です。今からその基盤づくりに着手する組織は、他社より大きく先行することになるでしょう。

なぜ今、急を要するのか

AI分野で開発・リリースされている機能は、ほとんどのセキュリティチームやエンジニアリングチームが消化できるスピードを上回るペースで進化しています。コードベース全体にわたって機械的な速度で脆弱性を発見できるツールは、すでに大企業の手に渡っています。これは未来のシナリオではなく、現在進行形の現実です。

ここで考えてみるべき問いがあります。もし今日、あなたの組織の開発環境で何か問題が起きたとしたら(未承認の変更、AIエージェントによって持ち込まれた脆弱性、承認なしに起動されたパイプラインなど)、正確に何が起きたのか、どのアイデンティティに責任があったのか、そして人間が関与していたのかどうかを再構築できるでしょうか。

これは仮定の話ではありません。監査人や規制当局は、サーベンス・オクスリー法をはじめとする各種の枠組みのもとで、20年以上にわたってこれに類する問いを投げかけてきました。新しいのは、AIエージェントの登場によってその問いに答えることが桁違いに難しくなったという点です。コンプライアンスチームが頼りにしてきた監査証跡は、今日のAIエージェントの活動の大半について、そもそも存在していないのです。

問題は、あなたの組織の開発環境にリスクがあるかどうかではありません。ほぼ間違いなくリスクは存在します。誰が、何が、そのリスクを持ち込んだのかを把握し、それに先手を打って対処できる基盤を備えているか、そしていずれ問われることになる相手に対して、統制が効いていることを証明できるかどうかが問われているのです。

多くの組織はまだその段階に達していませんが、先手を打つための好機は今まさに開かれています。

好機

ティーマン氏は論考の結びで、アイデンティティチームはこれまで「ノーと言うチーム」という評判を持たれがちだったと指摘しています。今こそ「イエスと言うチーム」になり、AI導入を安全に加速させるためのガバナンス基盤を築くべき好機だというのです。

ここで重要な背景を補足しておきます。アイデンティティチームはこれまで、シングルサインオンやアクセス管理、プロビジョニングといったエンタープライズレベルの領域に主眼を置いてきました。開発者アイデンティティ、非人間アイデンティティ、AIエージェント、CI/CDパイプラインなど複雑さを抱える開発環境は、これまでその守備範囲の外に置かれてきました。ティーマン氏が描く好機は、実際にはセキュリティチームとエンジニアリングチームが共同で担うべきものです。両チームは開発環境を理解しており、日々そのリスクを目の当たりにしています。そして正しい基盤のもとで両者が協力すれば、ガバナンスは障害物であることをやめ、安全なAI導入を可能にする存在へと変わります。

自組織の開発環境において、AIエージェントが何にアクセスできるのかを把握できていないのなら、これから到来する事態への備えはまだできていません。

翻訳元: https://www.darkreading.com/identity-access-management-security/ai-agents-new-kind-identity-most-organizations-not-ready

ソース: darkreading.com