執筆者:Ido Shlomo、CTO兼共同創業者、Token Security
組織がワークフローの効率化や生産性向上のためにAIアシスタントや自律型エージェントを急速に導入する中で、知らず知らずのうちに攻撃対象領域を拡大している可能性があります。AIエージェントは、IT運用、カスタマーサービスプロセス、LLMベースの社内ツールのいずれに組み込まれていても、私たちの代理として意思決定を行い、機密データへアクセスし、機械のスピードで自動化されたアクションを実行しています。
課題は?ほとんどのセキュリティフレームワークは、これら新しいエージェントアクターを想定して設計されていません。私たちは長年にわたりユーザーやアプリケーション向けにゼロトラストを洗練させてきましたが、今こそ難しい問いを投げかける必要があります。ユーザーが自己指向型ソフトウェアだった場合、何が起こるのでしょうか?
その答えは、ゼロトラストへの新たなコミットメントから始まります。人や従来のサービスだけでなく、システム内で動作するすべてのAIエージェントにも適用されるべきです。
自律型エージェントの台頭
何十年もの間、アイデンティティは人間中心の課題でした。その後、サービスアカウント、コンテナ、API(マシンアイデンティティ)が登場し、それぞれにガバナンスが求められるようになりました。そして今、私たちは次の進化、すなわちエージェンティックアイデンティティに直面しています。
AIエージェントは人間の柔軟性を持ちながら、機械のスケールと速度で動作します。静的なコードとは異なり、学習し、適応し、自律的に意思決定を行います。つまり、その行動は予測が難しく、アクセス要件も動的に変化します。
しかし、今日多くのエージェントはハードコーディングされた認証情報、過剰な権限、そして実質的な責任の所在がないまま運用されています。言い換えれば、インターンに管理者バッジを渡し、「とにかく早く動け」と言っているようなものです。
CISOがAIを安全かつセキュアに導入したいのであれば、これらのエージェントを従業員やアプリケーション以上に厳格にガバナンスされる一級のアイデンティティとして扱う必要があります。
AIのための「決して信頼せず、常に検証する」
ゼロトラストは「決して信頼せず、常に検証する」というシンプルな原則から始まります。ユーザー、マシン、エージェントが侵害されることを前提とし、すべてのアクセス要求が発信元を問わず認証・認可・監視されることを求めます。
この哲学は自律型エージェントにも完全に当てはまります。実際には次のようになります:
- アイデンティティ重視のアクセス: すべてのAIエージェントは固有で監査可能なアイデンティティを持たなければなりません。共有認証情報や匿名サービス用トークンは禁止です。すべてのアクションが特定可能であるべきです。
- デフォルトで最小権限: エージェントは、その機能に必要最小限のアクセス権のみを持つべきです。たとえば、営業データの閲覧用エージェントが請求記録の書き込みや人事システムへのアクセス権を持つべきではありません。
- 動的かつコンテキストに応じた適用: エージェントが進化しタスクが変化するにつれ、その権限も継続的に再評価される必要があります。静的なポリシーでは対応できません。誰が、何を、どのような条件でアクセスしているかといったリアルタイムのコンテキストが意思決定を左右すべきです。
- 継続的な監視と検証: 自律的であっても無監督ではありません。エージェントは特権ユーザーのように監視されるべきです。新しいシステムへのアクセス、大量データの転送、権限昇格などの異常行動はアラートや介入を引き起こすべきです。
過剰なエージェンシーのリスク
AIはイノベーションの推進、効率化、競争優位の創出のために急速に導入されています。悪意はなくとも、リスクがないわけではありません。
例えば、社内システムへの広範なアクセス権を持つヘルプデスクエージェントを想像してください。本来はチケット処理の自動化が目的ですが、プロンプトインジェクションや設定ミスによって、ユーザーパスワードのリセット、記録の削除、機密データの外部送信などが発生する可能性があります。
これは理論上の話ではなく、実際に起きています。AIエージェントは新しい行動を「幻覚」したり、指示を誤解したり、想定外の範囲で動作したりします。さらに悪いことに、攻撃者はこれを知っており、AIインターフェースの脆弱性を積極的に探っています。
これが私たちの言う「過剰なエージェンシー」です。AIエージェントに本来以上の権限を与え、制御策がないまま利用されている状態です。
ボトルネックを生まないガードレールの構築
セキュリティ担当者は今、微妙なバランスの上に立っています。一方でイノベーションを推進したい、他方で規律を徹底したい。AIにおいてはそのバランスが特に繊細です。
解決策は、スケールするガードレールの設計にあります。つまり:
- スコープ限定トークンと短命な認証情報: 長期的なシークレットの代わりに、範囲を限定した短期間有効のアクセストークンを発行します。万が一漏洩してもすぐに失効し、被害を最小限に抑えます。
- 階層化された信頼モデル: すべてのアクションが同等ではありません。日常的で低リスクなタスクは自由に自動化できますが、データ削除や資金移動など高リスクな操作には人間の承認や多要素認証を必須とします。
- アクセス境界の適用: エージェントがどこでも何でも呼び出せるようにしてはいけません。厳格なアクセス方針とサービスレベルの境界を設け、役割の範囲に留めます。
- 明確なオーナーシップ: すべてのエージェントには社内の人間オーナーが必要です。その目的、行動、権限に責任を持つ人です。
これらのコントロールが整えば、セキュリティはAIの障害ではなく推進力となります。
CISOへの呼びかけ:アイデンティティを軸にリードせよ
「ログイン」がもはや人間だけのものではない時代に突入しています。エージェントがコードを書き、リスクを分析し、データを照会し、顧客と会話します。アイデンティティ戦略で彼らを後回しにすれば、盲目的な信頼に基づくシステムを構築することになり、それこそがゼロトラストが防ごうとしたことです。
CISOは率先して取り組むべきです。まずはゼロトラストフレームワークを自律型エージェントにも明示的に拡張することから始めましょう。その上で、アイデンティティ重視のAIセキュリティアーキテクチャ、監視ツール、非人間アクターにも対応できるアクセスガバナンスへの投資が必要です。AIインフラを拡大するなら、Token Securityがその道中のセキュリティを支援します。
私たちのチームによる技術デモを予約し、エージェンティックAIをスピードを損なわずにどのように守っているかご覧ください。
セキュリティはAIを止めることではありません。安全に、予測可能に、そして責任を持ってAIを活用することです。
スポンサー:Token Securityによる執筆。
