アジェンティックセキュリティの課題は、技術そのものではなく組織の考え方に起因しています。したがって解決には、組織が「制御」というものをどう捉えるか、その根本的な発想の転換が求められます。
アジェンティックシステムは、サイバーセキュリティやソフトウェア開発、カスタマーサポートに至るまで、さまざまな業務で組織の時間を大幅に節約できます。しかしその一方で、エージェントは組織に重大なリスクももたらします。こうしたシステムは、タスクを人間の監視をほとんど、あるいはまったく受けずに完遂するために、機密情報への高いレベルのアクセス権と外部ツールの利用を必要とします。これは脅威アクターにとって新たな攻撃対象になります。
組織はエージェントの挙動を監視するためにアクセス制御などの技術的コントロールを導入できますが、それでもアジェンティックセキュリティは全体として厄介な問題であり続けています。Zenityでグローバルフィールドテクノロジー最高責任者兼フィールドエンジニアリング担当ディレクターを務めるベン・ハンソン氏によれば、アジェンティックセキュリティが難しいのは、それが新しいからではなく、この業界が誕生した40年前に築かれたセキュリティモデルの前提そのものを覆してしまうからだといいます。セキュリティは本来、脅威を特定し、過去の脅威インテリジェンスに基づいて対応策を決定するために「予測可能性」に依存しています。ところがエージェントは、状況に応じて適応し、その場で判断を下す性質を持つがゆえに、本質的に予測不可能な存在なのです。
この課題に対応するには、解決策が技術・プロセス・人材の組み合わせであると認識する必要があります。ハンソン氏は、サイバーセキュリティはこれまでも技術だけに焦点を当てるものではなかったとし、その原則はアジェンティックシステムにも当てはまると述べています。技術環境を形づくる人的要因もまた重要だというわけです。
「顧客はそこに戸惑っていました。サイバー業界では、正しいツール一式さえ揃えれば効果を発揮できるという理解が根強いのですが、それは単純に間違っているからです」とハンソン氏はDark Readingに語っています。
予測不可能なものは予測できない
組織はしばしば、この問題を技術的な要素ごとに切り分けて対処すれば、全体として解決できると考えがちです。しかしそれは決して正しくありません、とハンソン氏は警告します。これはZenityの顧客の間で共通して見られる課題であり、来月ラスベガスで行われる同氏のBlack Hat USA講演のテーマにもなっています。
この業界は、脅威を封じ込めるために予測可能性に依存してきました。脅威インテリジェンスは戦術・技術・手順を追跡し文書化します。研究者は組織が注視すべき攻撃の痕跡(IoC)を指摘します。セキュリティチームは、想定される挙動やシステムのベースラインをもとに不審な活動を検知し、アラートを発します。しかし人工知能(AI)はこの前提を変えつつあり、アジェンティックセキュリティをめぐる議論もこの変化を反映する必要があります。
「制御を適用しようとしている対象そのものが予測できないとき、何が起きるでしょうか」とハンソン氏は問いかけます。「たとえ失敗モードを正しく捉えられたとしても、エージェントが適応してしまい、想定していた範囲の外に出てしまったらどうなるでしょうか」
エージェントおよびAI全般が本質的に持つ性質上、ユーザーは常にその挙動を予測できるわけではないため、「エージェンシー(agency)」という概念に注目することが重要だと同氏は強調します。そして、セキュリティ業界がエージェンシーに対して抱く近視眼的な姿勢は「危険」だとハンソン氏は指摘します。その根底にある前提が誤っており、想定外の結果を招きかねないからです。
その代わりに、セキュリティ実務者はより広い8つの概念——信頼、コンテキスト、意図、挙動、権限、制御、境界、リスク——に焦点を当てるべきです。これらは予測不可能性に対処するうえで、より現実的なアプローチとなります。セキュリティチームが計画立案の際にこれらすべての要因を考慮しなければ、エージェントは制御不能に陥りかねません。
問いを立て続けること
その好例が、PocketOSで発生したインシデントです。この事案ではCursorのコーディングエージェントが、貴重なバックアップを含む同社の本番データベース全体を削除してしまいました。このミスは、エージェントの運用を考えるうえで組織が意識すべき「できるか」と「すべきか」の違いを如実に示す事例です。
ハンソン氏は、このインシデントの原因を、制御が権限に依存してしまっていた点にあると分析しています。
「制御が権限に依存していたため、エージェントが何か——この場合はトークン——を見つけ、それを使ってデータベースの削除を実行できてしまうと、それを阻む他の制御は何も存在しませんでした」と同氏は説明します。「これらはエージェンシーの別々の次元であり、それぞれ個別に管理しなければなりません」
組織はクレジットカードを切ってツールを導入するだけでアジェンティックセキュリティを解決できるわけではありません。ハンソン氏は、既知の悪しき挙動に単に整合させようとするのではなく、エージェンシーそのものを統治できる構造をシステムに組み込むべきだと訴えます。既知の悪しき挙動のリストは、ますます不規則に増え続けているからです。また組織は、「最小限のエージェンシー原則」を適用しようとしながらも、それを統治するために何が必要かを定義できていないケースも多く見られます。
アジェンティックセキュリティをめぐる対話や議論、時には論争を巻き起こすこと自体が、実は良い出発点になります。組織はツール一式を中心にアジェンティックなプログラムを構築できますが、それだけでは不十分であり、業界全体に蔓延する体系的思考の欠如を打ち破るための問いかけを重ねていく必要がある、とハンソン氏は訴えます。
検討すべき問いには、たとえば次のようなものがあります。組織は、信頼をシステム全体の特性としてエンドツーエンドで担保することをどう考えているか。一貫した制御の仕組みをどう考えているか。こうした問いが重要なのは、組織がしばしば的外れな問いを立ててしまうからです。
同氏は、「どの制御が機能しなかったのか」と問うのではなく、「このシステムの構造のどこがこの挙動を許してしまったのか」を問い、その構造自体を直すべきだと勧めます。構造的な条件こそが原因であり、制御の失敗はその結果にすぎない、と同氏は付け加えます。
ツールを扱うチームはそれぞれサイロ化しており、問題への取り組み方も異なっています。だからこそ、対話がなおさら不可欠になるのです。
「技術的な制御はたくさんありますが、エージェントが正しい目標を追求していることをどう確保すればよいのでしょうか」とハンソン氏は問いかけます。「それをアーキテクチャ全体にわたって、一時点だけでなく常に徹底させる必要があります。一歩下がってその問いを立てること自体、多くの人がまだできていないのです」