推定では、企業の95%が自律エージェント向けのアイデンティティ保護を導入していない――一部のセキュリティ専門家が「前例のない認証上の懸念」と表現するものに対して、決して良い出だしとは言えない。
エージェンティックAIを最大限に活用することは、来年に向けて多くの企業にとって最重要アジェンダの一つとなっている。経営層は、自律型AIエージェントを導入して、さまざまな業務オペレーションやワークフローを刷新したいと考えているからだ。
この技術はまだ黎明期にあり、生成AIの展開と同様に、CIOはエージェンティックAI戦略を迅速に進めるよう圧力を受けている――これは、CISOにとって「これから現実になる悪夢」となり得る。広範なエージェント実験と導入が進む中で、組織のセキュリティ確保を担うCISOにとってはなおさらだ。
主要な懸念領域の一つが、アイデンティティと認証である。一部のセキュリティ専門家は、自律エージェントを導入または実験している企業の95%以上が、エージェントを追跡・識別・制御するために、公開鍵基盤(PKI)などの既存のサイバーセキュリティ機構を活用しないまま進めていると見積もっている。
この問題は、エージェンティックAIの展開で一般的なエージェント間通信の普及によって、さらに危険性が増す。
エージェンティックAIが機能するには、AIエージェントが他のエージェントと自律的に通信し、タスク、データ、コンテキストを受け渡す必要がある。十分なアイデンティティ管理、認証、および関連するサイバーセキュリティ対策が整っていなければ、エージェントがサイバー犯罪者や国家主体に操られる可能性があるだけでなく、不正なエージェントが無制限の正規エージェントに対して多様なプロンプトインジェクション攻撃を仕掛けることもあり得る。
乗っ取られたエージェントが検知されて資格情報が剥奪される前に企業の正規エージェントと通信してしまった場合、正規エージェントが不正エージェントの指示に従ってしまうことによる被害は止まらない。
そして、この連鎖的影響の可能性は軽視できない。現在の堅牢な認証メカニズムの多くは、不正行為が検知されると資格情報を失効させ、または停止する。 しかし行動分析システムは、IDを終了させるために問題をフラグする前に、不正行為の実行を目撃する必要があることが多い。 侵害されたエージェントがすでに開始したアクションは、エージェント連鎖の下流で既に動き出している。
すべてのやり取りの追跡記録を持ち、不正エージェントとやり取りしたすべての正規エージェントに対して、そのエージェントからの指示を無視するよう伝える(さらに、不正の指示に基づいて既に実行したアクションがあればITセキュリティに警告する)自動化システムを備えることが目標だが、ベンダーはまだこのニーズに対応できていない。さらに、多くのセキュリティ専門家は、これは容易に解決できるほど単純な問題ではないと主張している。
「自律エージェントは組織内で実際の行動を実行できる能力を増しているため、悪意ある主体が自律エージェントの意思決定レイヤーに影響を与えられるなら、その結果生じる損害は従来の侵害シナリオよりも指数関数的に大きくなり得ます」と、Ciscoのプリンシパルエンジニアであり、Coalition for Secure AI(CoSAI)およびACMのAI Security(AISec) プログラム委員でもあるNik Kaleは述べる。
拡大し続ける自律エージェントの攻撃対象領域
「エージェントは指示に従うようプログラムされているため、要求の安全性を検証するために処理を減速させる仕組みがない限り、疑わしい指示にも従ってしまう可能性があります」とKaleは言う。「人間には直感があり、何かがおかしいと感じ取ることがよくあります。エージェントにはこの本能的な感覚がないため、システムが明示的に防がない限り、どんな要求にも従ってしまいます。」
IllumineXのCEOであるGary Longsineも、制御されないエージェンティック導入によるサイバーセキュリティリスクは、CISOがこれまで直面してきたものとは異質だという点に同意する。
「AIエージェントの攻撃対象領域は、自然言語インターフェースと、潜在的に膨大な数の他のエージェンティックシステムを呼び出せる能力のため、実質的に無限だと考えられます」とLongsineは言う。
DigiCertのCTOであるJason Sabinは、エージェントの乗っ取りが比較的容易であることから、状況はさらに悪い可能性があると示唆する。
「堅牢なエージェンティック認証がなければ、組織は、たった一つの偽の指示で乗っ取られ得る自律システムを展開するリスクを負います」とSabinは主張する。
エージェンティックAIのアイデンティティ危機
取材に応じた認証およびエージェンティック分野の専門家は――そのうち3人は、自律エージェントを試している企業のうちエージェンティック・アイデンティティ・システムを導入しているのは5%未満だと見積もっている――このセキュリティ強化の欠如にはさまざまな理由があると語る。
第一に、これらの取り組みの多くは実質的にシャドーITであり、事業部門(LOB)の幹部が、エージェントに何ができるかを見るために概念実証(POC)を承認している。この場合、ITやサイバーチームが関与していない可能性が高く、そのためPOCではセキュリティが最優先になっていない。
第二に、多くの経営層――サプライチェーン、流通、製造を扱うサードパーティのビジネスパートナーを含む――は、POCが伝統的に企業の本番環境から隔離されたサンドボックス内に閉じているため、歴史的にPOCで手を抜いてきた。
しかし、エージェンティックシステムはそうは動かない。能力をテストするには、通常、一般環境へ解き放つ必要がある。
適切な進め方は、環境内のすべてのエージェント――ITが承認したもの、LOBが立ち上げたもの、サードパーティのものを問わず――を、エージェンティック認証ベンダーのPKIアイデンティティで追跡・制御することだ。極端な防御としては、認証済みの全エージェントに対し、完全な識別情報を持たないエージェントからの通信を拒否するよう指示することも含まれる。残念ながら、自律エージェントは生成AIの「いとこ」と同様に、指示(いわゆるガードレール)をしばしば無視する。
「エージェンティックに優しい遭遇は、不可欠なセキュリティ原則と衝突します。企業は、エージェントが自律的に互いを発見し、通信チャネルを確立し、取引関係を形成するようなシナリオを許容できません」と、Tata Consultancy Servicesでサイバーセキュリティ戦略を追跡するKanwar Preet Singh Sandhuは述べる。
「ITがシステムを設計する際には、そのタスクと目的は明確に定義され、それらの職務に制限されるべきです」と彼は付け加える。「エージェント間の遭遇は技術的には可能ですが、最小権限や職務分離といった原則に深刻なリスクをもたらします。構造化され計画された協業や統合のためには、組織はMCP[Model Context Protocol]やA2A[Agent to Agent]のような厳格なプロトコルに従わなければなりません。これらはまさにその目的のために作られたものです。」
DigiCertのSabinは、企業とのやり取りから、自律エージェントのためのアイデンティティを作成しているところは「ほとんど、あるいは全くない」ことが明らかになったと言う。「間違いなく10%未満で、おそらく5%未満です。アイデンティティには大きなギャップがあります。」
エージェンティックID:魔神を瓶に戻す
適切なアイデンティティを確立しないままエージェンティック実験を始めてしまうと、後からアイデンティティ認証を追加するのははるかに難しくなると、Sabinは指摘する。
「事後的にアイデンティティをどう追加するのか? 彼らはこうしたプロセスを確立していません。エージェントは乗っ取られ得るし、侵害され得ます。キルスイッチが必要です」と彼は言う。「AIエージェントが、誰がコマンドを出しているのか、そしてその人間/システムに権限があるのかを検証できる能力は、エージェンティックAIのセキュリティ問題を定義づける要素の一つです。」
この問題に対処するには、CISOはおそらくアイデンティティ、認証、権限を再考する必要がある。
「ここで本当に難しいのは、もはや人間がシステムにどう認証するかを決めるのではないという点です。自律エージェントが、指示を与える個人が正当であり、その指示が想定される行動パターンの範囲内にあるとどう判断するかを決めることが求められています」とCiscoのKaleは言う。「単に人間を識別するのではなく、自律エージェントが人間の意図を評価して正当性を判断するという転換は、従来の認証手法では想定されていなかった全く新しいリスク要因の範囲を持ち込みます。」
コーディング生産性ツールベンダーKodeziのCEOであるIshraq Khanも、CISOはエージェンティックAIシステム内に存在するセキュリティ脅威を過小評価している可能性が高いと考えている。
「従来の認証フレームワークは、静的なアイデンティティと予測可能なリクエストパターンを前提としています。自律エージェントは、独立してアクションを開始し、記憶に基づいて振る舞いをエスカレートさせ、自ら新しい通信経路を形成するため、新たなリスクカテゴリを生み出します。脅威対象領域は静的ではなく動的になります」とKhanは言う。「エージェントが自分の内部状態を更新したり、過去のやり取りから学習したり、ワークフロー内での役割を変更したりすると、セキュリティ観点でのアイデンティティは時間とともに変化します。多くの組織は、認証後に能力や挙動が進化するエージェントに備えていません。」
Khanはさらにこう付け加える。「侵害されたエージェントは、協業パターンをなりすまし、システム状態を捏造したり、他のエージェントを操作して連鎖的な障害を引き起こしたりできます。これは単なるマルウェアではありません。意思決定に対する行動ベースの攻撃です。」
OktaでAI SecurityのSVP兼ゼネラルマネージャーを務めるHarish Periは、より率直にこう述べる。「これは単なるNHIの問題ではありません。これは破滅へのレシピです。新しい種類のアイデンティティであり、新しい種類の執拗なユーザーなのです。」
乗っ取られたエージェントが正規エージェントに悪意ある指示を出した場合に、その被害を元に戻せないという問題について、Periは、まだ誰も解決できていないように見える難題だと言う。
「リスクシグナルが十分に強ければ、権限だけでなくアクセストークンも失効させる能力はあります」とPeriは言う。しかし「リアルタイムの連鎖という観点では、さらに検討が必要です。」
エージェント間の相互作用を巻き戻すのは困難な課題になる
一つの問題は、後方連鎖のために相互作用を追跡するには、企業環境内のすべてのエージェントから膨大なデータを収集する必要があることだ。そして自律エージェントは人間の速度では動かないため、その活動のためのデータウェアハウスはすぐに満杯になる可能性が高い。
「エージェントが何かを行い、アイデンティティが失効する頃には、下流のエージェントはすでにその侵害されたエージェントと相互作用しています。すでに割り当てを受け入れ、次のステップのアクションもキューに入れています」とCiscoのKaleは説明する。「その失効を後方に伝播させる仕組みはありません。キルスイッチは必要ですが、不完全です。」
接触したすべてのエージェントへ遡るプロセスは「単純なスクリプトのように聞こえます。きちんとやろうとすると簡単ではないことが分かります」と彼は言う。「エージェントが発行したすべての指示を知る必要があり、難しいのは何を取り消すべきかを決めることです」――Kaleはこの状況をアラート疲れになぞらえる。「これは自重で完全に崩壊する可能性があります。結局、ノイズになってしまい、その時点ではセキュリティではなくなり得ます。」
SectigoのシニアフェローであるJason Sorokoも、影響を受けたエージェントへの後方通知は「現時点では、完全に解決されるにはほど遠い」と同意する。
しかし彼は、エージェンティック・サイバーセキュリティが意図せず自らを袋小路に追い込んでしまったと主張する。
「自律AIエージェントの認証の多くは、自身を検証するために単純なAPIトークンに依存することになるでしょう。 私たちは意図せず、盗まれた共有シークレットを待ち受ける武器を作ってしまいました」とSorokoは言う。「これを修正するには、共有シークレットを超えて、暗号学的な保有証明(proof of possession)へ移行しなければなりません。エージェントが、単なる『コンサートのリストバンド』的な認証ではなく、コマンドの背後にいる『誰』を検証できるようにするのです。」
