Ido Shlomo(CTO兼共同創業者、Token Security)
エージェンティックAIが登場しました。カスタムGPTから自律型コパイロットまで、AIエージェントは今やユーザーや組織を代表して行動したり、単なるチームメイトのように振る舞い、意思決定を行い、システムにアクセスし、他のエージェントを呼び出すなど、人間の直接的な介入なしに動作しています。
しかし、この新たな自律性には緊急のセキュリティ課題が伴います。AIが作業を行う場合、私たちはいつそれを信頼できるのでしょうか?
従来のシステムでは、ゼロトラストアーキテクチャは暗黙の信頼を前提とせず、すべてのユーザー、エンドポイント、ワークロード、サービスが継続的に自分が誰で、何を許可されているかを証明しなければなりません。
しかし、エージェンティックAIの世界では、これらの原則はすぐに崩壊します。AIエージェントはしばしば継承された認証情報で動作し、登録された所有者やアイデンティティガバナンスがありません。
その結果、信頼できるように見えて実際はそうでないエージェントが増加しています。これは、インフラ内の自律型AIエージェントの多くのリスクの一つです。
このギャップを埋めるために、組織はNISTのAIリスクマネジメントフレームワーク(AI RMF)をゼロトラストの視点で、アイデンティティを中心に適用する必要があります。AIにとってアイデンティティが信頼の根源でなければならず、それがなければ他のすべて(アクセス制御、監査可能性、説明責任)が崩壊します。
エージェンティック時代のアイデンティティリスク
NISTのAI RMFは、マップ、測定、管理、ガバナンスの4つの機能を通じてAIリスクを管理するための高レベルなガイドを提供します。しかし、これらをアイデンティティガバナンスの視点で解釈すると、AI特有のリスクがどこに潜んでいるかが明らかになります。
「マップ」機能を例にとりましょう。あなたの組織で現在稼働しているAIエージェントはいくつありますか?誰がそれらを作成し、誰が所有していますか?それらは企業のシステムやサービスにどんなアクセス権を持っていますか?ほとんどのセキュリティチームは、今日これらの質問に答えることができません。
AIエージェントは、内部の開発ワークステーションや本番アカウント、クラウドサンドボックス上でほとんど監督されずに立ち上げられています。
シャドウエージェントは、過剰な権限を持つ認証情報を継承したり、長期間有効なシークレットで認証したりすることがよくあります。多くは所有者がいないまま、ローテーションポリシーもなく、権限の適正化も監視もされずに存続します。
これらの「孤立したエージェント」は、デフォルトでゼロトラストを違反しています。信頼できるアイデンティティなしに動作しているため、システムは検証できない存在を信頼していることになります。
なぜアイデンティティが最優先なのか
これを解決するには、セキュリティチームはゼロトラストの第一原則、すなわち信頼を与える前に適切な権限と認証情報を適用することから始めなければなりません。これはユーザーだけでなく、AIエージェントにも当てはまります。
- 一意で管理されたアイデンティティ
- 明確な所有者または責任チーム
- 実際に必要なアクセスに基づいた意図ベースの権限スキーム
- ライフサイクル:他のアイデンティティと同様に作成、レビュー、ローテーション、廃止されること
これにより、エージェンティックAIは統制されていないリスクから統治された存在へと変わります。アイデンティティがAIエージェントが触れるすべてのもののゲートキーパーとなるのです。たとえば機密データの読み取り、システムコマンドの発行、他のエージェントの呼び出しなどです。
NISTフレームワークの適用:アイデンティティ駆動型ゼロトラスト
各NIST AI RMF機能を、アイデンティティ中心のゼロトラストアプローチで実装する方法は以下の通りです:
マップ: すべてのAIエージェント(カスタムGPT、コパイロット、MCPサーバーなど)を発見し、インベントリ化します。所有者が不明または不明確なエージェントにはフラグを立てます。各エージェントがアクセスできるものをマッピングし、それを意図した目的に結び付けます。エージェントの行動を継続的に監視します。モデル出力だけでなく、アイデンティティの挙動も監視します。エージェントがこれまで使ったことのないシステムにアクセスしていませんか?認証情報が期限切れなのにまだ使えていますか?異常なアイデンティティ利用は、侵害やドリフトの早期警告サインです。
管理: すべてのAIアイデンティティの権限を適正化します。意図ベースのアクセスを使い、最小権限が動的に適用されるようにします。古い認証情報は取り消し、シークレットをローテーションし、不要になったエージェントは削除します。
ガバナンス: AIエージェントにも人間と同じ厳格さでアイデンティティガバナンスを適用します。所有者を割り当て、ライフサイクルポリシーを徹底し、マルチエージェントエコシステム全体でアイデンティティ利用を監査します。エージェントが機密性の高い行動を取った場合、即座に「誰がこれを承認し、なぜか」を答えられるべきです。
盲点から証明された信頼へ
リスクは現実です。孤立したAIエージェントは攻撃者のバックドアになり得ます。過剰な権限を持つエージェントは数秒で機密データを流出させることができます。そして侵害が発生した場合、監査証跡が存在しないことが多いのです。明確なアイデンティティがなければ、セキュリティチームは「誰がやったのかわからない」と問題の特定に苦しむことになります。
アイデンティティはAIセキュリティの単なるレイヤーであってはなりません。それは基盤であるべきです。ゼロトラストと整合し、すべてのAIエージェントの行動が既知で統治された存在に紐付けられることを保証します。また、AIへの信頼は当然のものではなく、獲得されるべきものであるため、大規模なAI導入の安全性も担保できます。
AIエージェントは自律的かもしれませんが、その信頼は説明責任の上に築かれなければなりません。アイデンティティこそがその道筋であり、信頼を確立する方法です。AI導入のあらゆる段階(発見、権限付与、監視、ガバナンス)にアイデンティティコントロールを組み込むことで、組織は盲点を排除し、最も重要な部分でゼロトラストを徹底できます。
AIエージェントにもこれを適用し、より強固なセキュリティとコンプライアンス体制を実現する時が来ています。
エージェンティックAIをマッピングし、エージェントをコントロールしたい方は、Token Securityのデモを予約して、当社プラットフォームの実力をご覧ください。
スポンサーおよび執筆:Token Security
翻訳元: https://www.bleepingcomputer.com/news/security/zero-trust-has-a-blind-spot-your-ai-agents/
