自律型AIエージェントの台頭は、企業セキュリティの根幹を揺るがしています。これらのシステムは単に静的なワークフローやコードに従うだけでなく、独自に意思決定を行い、システム全体で行動し、多くの場合、人間の監督なしで動作します。
CISOにとって、この変化は従来の人間中心のアイデンティティモデルやコントロール、監視フレームワークでは管理できない、新たで緊急性の高い非人間アイデンティティ(NHI)というカテゴリーをもたらします。
AIエージェントの新たな技術的リスク
シャドウエージェント:従業員とは異なり、AIエージェントは正式なオンボーディングやオフボーディングを経ることがほとんどありません。これにより、エージェントの乱立やシャドウAIの導入が進んでいます。多くのエージェントは利用目的が終了した後も長期間残り、認証情報や有効なトークン、重要なシステムやアプリケーションへの接続を保持し続けます。これらのエージェントは過剰な権限を持つため、攻撃者にとって魅力的な標的となり、ガバナンス上の盲点となっています。
権限昇格:エージェントはしばしば過剰な権限で動作します。これにより必要以上に広範なアクセスが可能となり、場合によっては権限を連鎖させて管理者権限まで取得できてしまいます。攻撃者はこれらの隙間を突き、エージェントを乗っ取ったり、不正な指示を与えて正規のAPI経由で許可されていない操作を実行させたりすることで、ログ上は「信頼された」侵害を引き起こします。
データ流出:AIエージェントは機密データを大規模に集約・送信できます。侵害された場合やスコープ設定が不十分な場合、APIトークンやSaaS連携を持つAIエージェントは、内部データをユーザー(顧客、従業員、他のエージェント)やサードパーティのエンドポイントに警告なしで漏洩させる可能性があります。巧妙なプロンプト操作やエージェント間のメッセージ連鎖によって、独自データセットや知的財産が抽出されることもあり、多くのセキュリティツールはこれを異常として検知できません。これは重大なセキュリティリスクであるだけでなく、組織にとってコンプライアンス違反にもなり得ます。
これらおよびその他の脆弱性が、より広範なリスク環境の中でどのように位置付けられるかについては、自律型AIエージェントのトップ10セキュリティリスクの概要をご覧ください。
従来のセキュリティツールが通用しない理由
従来のセキュリティツールは人間の意図や操作を前提としています。生体認証でユーザーを確認し、セッションを監視し、想定外のパターンを検出します。
しかし、エージェント型AIは未知の方法で動作します。サブエージェントを生成し、その場で新たなAPIコールを呼び出し、進化する目的に基づいて自己判断します。その挙動は人間や静的スクリプトの活動とは一致せず、検知ツールを混乱させがちです。
さらに悪いことに、多くのAIエージェントは明確な人間の所有者がいません。マルチエージェントワークフローでは、アクションがツール間で伝播するにつれて、開始したアイデンティティがすぐに失われます。
その結果、中央集権的な管理や追跡ができない、広大なアクティビティの網が生まれます。監査ログは「誰がこれをやったのか?」という問いに答えられません。なぜなら「誰か」が自律的かつ一時的なエージェントプロセスだからです。
アイデンティティファーストセキュリティ:必要な転換
セキュリティリーダーにとって、AIエージェントに対する唯一現実的な道は、アイデンティティファーストセキュリティです。
つまり、すべてのエージェントに固有かつ管理されたアイデンティティを付与し、その権限をタスクに厳密に限定し、ライフサイクルを適切に管理する必要があります。
アイデンティティを中心に据えなければ、他のすべてのコントロールは機能しません。エージェントの所有者や役割が不明では、最小権限の徹底、異常検知、責任の割り当ては不可能です。
CISOが今できること
エージェント型AIの暴走を防ぐために、CISOは直ちに以下のアクションを取るべきです:
- エージェントの発見と棚卸し:自社環境で稼働しているすべての自律型エージェント(チャットボット、APIコネクタ、社内コパイロット、MCPサーバー、AutoGPTのようなツール)を特定しましょう。どこで稼働し、何にアクセスし、誰が作成したのかをカタログ化します。
- 所有者の割り当て:各エージェントに、その目的・アクセス・ライフサイクルに責任を持つ人間の所有者を必ず設定しましょう。所有者不明のエージェントはフラグを立て、速やかに終了させます。
- 最小権限の徹底:エージェントの権限を定期的に見直しましょう。包括的または継承されたアクセス権は避け、トークンの有効期限ポリシーを設定し、特権ユーザーアカウントと同様に権限レビューを自動化します。
- アイデンティティコンテキストの伝播:マルチエージェントチェーンのすべてのステップでアイデンティティが引き継がれるようにしましょう。エージェントAがエージェントBを呼び出す場合、権限は元のユーザーのコンテキストに限定されるべきです。アイデンティティの紐付けがなければ、すべてのエージェントが潜在的なスーパーユーザーとなります。
- エージェントの行動監視と監査:エージェントをSIEM上の高リスクエンティティとして扱いましょう。予期しないAPIコール、新しい連携試行、データアクセスパターンの変化などの異常を監視します。不変ログを活用し、セキュリティガードレールを設けます。
- キルスイッチの確立:不正行動するエージェントは迅速に終了させる必要があります。自律型アクター専用の緊急対応プロセスを構築し、漏洩した可能性のあるシークレットはローテーションしましょう。
- エージェントをIAMシステムに統合:AIエージェントをアイデンティティ基盤に組み込みます。ロールを割り当て、安全なボールトから認証情報を発行し、既存のポリシーコントロールを適用します。
今備えるか、後で制御を失うか
エージェント型AIにおける最大のリスクは、特定の脆弱性ではなく「安全の錯覚」です。これらのエージェントはしばしば信頼されたアプリケーション内で、見慣れた認証情報を使い、表面上は無害に見えるタスクを実行します。
しかし、可視性・スコープ・所有権がなければ、横移動、データ窃取、システム操作の入口となる可能性が高まります。
AIがより多くの企業ワークフローに組み込まれるにつれ、管理されていないエージェントの乱立は加速します。
今、アイデンティティ・可視性・アクセスガバナンスをAI導入の中心に据えることで、セキュリティリーダーは制御を失うことなくエージェント型AIの利点を享受できるでしょう。
これが実際にどのように実現されているか知りたい方は、Token Securityのデモを予約してください。
Token Securityによるスポンサー記事・執筆。
