Itamar Apelblat(Token Security CEO兼共同創業者)
今日CISOであるなら、エージェンティックAIは不快なほど見覚えのあるものに感じられるかもしれません。技術は新しいものの、パターンは新しくありません。ビジネスリーダーは組織全体にAIエージェントを展開するよう強く推し進める一方で、セキュリティチームには何も遅らせることなく安全にすることが求められています。
その緊張関係は、クラウド、SaaS、DevOpsでも以前から存在していました。そしてそのたびに、アイデンティティがリスクと解決策の両方の中心にありました。
エージェンティックAIも例外ではありません。これは主としてAIガバナンスの問題ではありません。アイデンティティの問題であり、最終的にCISOがその結果を担うことになります。
長年にわたり、セキュリティプログラムは人間のアイデンティティを中心に設計されてきました。従業員や請負業者は一元管理され、役割が定義され、アクセスはレビューされ、オフボーディングは予測可能でした。マシンアイデンティティは、クラウド、パイプライン、SaaSプラットフォームにまたがって急速に増殖・拡散することで、このモデルを揺るがしました。ガバナンスは後手に回りましたが、根本的な前提はまだ成り立っていました。AIエージェントは、その前提を完全に崩します。
AIエージェントは新しい種類のアイデンティティを表します。人間のように意図をもって振る舞いながら、機械のような規模と持続性で動作します。デフォルトで分散しており、作成が容易で、直接の人間の関与なしに複数のシステムにまたがって行動できます。
アイデンティティの観点から見ると、これは考え得る限り最も複雑な組み合わせです。これらのエージェントは認証し、認可し、行動を起こしますが、既存のアイデンティティモデルにはきれいに当てはまりません。
これは重要です。なぜなら、侵害の最も一般的な根本原因は依然としてアイデンティティだからです。資格情報は悪用されます。権限は蓄積します。所有者は不明確になります。エージェンティックAIは、これらすべてのリスクを同時に増幅させます。
多くのエージェントは、迅速に機能させるためだけに広範なアクセス権を付与されています。レビューされるものはほとんどありません。廃止されるものはさらに少ないのが実情です。
中には、それを作ったプロジェクトや人がいなくなった後も長く稼働し続けるものがあります。攻撃者にとって、常時稼働で過剰権限を持つこれらのアイデンティティは理想的な標的です。そのリスクを明確に位置づけたOWASPの最新情報を見れば一目瞭然です。
従来のIAMやPAMツールは、この現実を前提に設計されていません。ユーザーは人間である、あるいはせいぜい予測可能なワークロードであることを想定しています。AIエージェントは単一のディレクトリに存在せず、静的な役割に従わず、単一のプラットフォーム境界内にとどまりません。
レガシーな人間中心の制御でこれらを守ろうとすると、盲点と誤った安心感を生みます。AIプラットフォームベンダーがこの問題を解決してくれると頼るのも同様に危険です。クラウドプロバイダーがクラウドセキュリティを解決しなかったのと同じように、エージェントプラットフォームが企業のアイデンティティリスクを解決することはありません。
進むべき道はイノベーションを制限することではなく、CISOがすでに理解している規律を適用することです。それがライフサイクル管理です。ワークフォースのアイデンティティセキュリティがスケール可能になったのは、組織がオンボーディングからオフボーディングまで、アイデンティティをライフサイクルとして扱うようになってからでした。AIエージェントにも、速度と規模に合わせて適応させた同じ考え方が必要です。
すべてのエージェントには、アイデンティティプロバイダーに紐づく明確なオーナーシップが必要です。目的は明示的で測定可能でなければなりません。アクセス権は、作成時に都合がよかったものではなく、実際に行っていることに整合しているべきです。権限のドリフトを早期に検知できるよう、活動は継続的に可視化されなければなりません。そして、エージェントがアイドルになったり、プロジェクトが終了したり、オーナーが離任したりした場合には、アクセスは自動的に取り消される必要があります。これらの制御がなければ、AIの導入はいずれ自らのリスクによって崩壊します。
CISOが腹落ちさせるべき重要な転換点の一つは、エージェントのアイデンティティセキュリティが本質的にデータ相関の問題だということです。エージェントそのものだけを見ても、そのリスクは理解できません。
真のリスクは、そのエージェントが到達できる範囲によって定義されます。そこには、引き受けるクラウドロール、アクセスするSaaSアプリケーション、読み取りや変更が可能なデータ、そして利用する下流のアイデンティティが含まれます。
エージェンティックAIを保護するには、エージェントプラットフォーム、アイデンティティプロバイダー、インフラ、アプリケーション、データレイヤーにまたがるアイデンティティシグナルを相関させる必要があります。
この相関こそが、監査、取締役会でのレビュー、インシデント対応の場面で重要となる問いにCISOが答えることを可能にします。誰がアクセスしていたのか?なぜアクセスしていたのか?それは適切だったのか?そして、今も存在すべきなのか?この文脈がなければ、AIエージェントは不透明なままで、ガバナンス不能です。こうした問いへの備えに役立つ、CISO向けセキュリティチェックリストはこちらです。
多くの組織は現在、エージェントのスプロールがすでに本番環境に到達した後でそれを発見する、リアクティブな段階にあります。その段階はすぐに過ぎ去ります。次の段階は予防です。
アイデンティティの規律は、エージェントが作成される瞬間という、ライフサイクルのより早い段階へ移されなければなりません。ビルダーには、動かすためだけに広範な権限へデフォルトするのではなく、意図とスコープの明確化を強制するガードレールが必要です。この規律が欠けていれば、CISOがリスクを引き継ぎ、やがてその結果も引き受けることになります。
エージェンティックAIは、企業の運用方法の恒久的な一部になりつつあります。問題はスケールするかどうかではなく、安全にスケールするかどうかです。その答えを決めるのはCISOです。エージェントのアイデンティティが管理されないままであれば、AIは侵害、コンプライアンス違反、経営層の反発を招き、イノベーションを鈍らせます。
エージェントのアイデンティティがライフサイクル管理と可視性によって統制されていれば、AIは持続可能で、俊敏で、安全なものになります。
成功する組織は、エージェンティックAIにイエスかノーかを言う組織ではありません。エージェンティックAIのセキュリティ確保がアイデンティティの最優先事項であると早期に認識し、自信をもってイエスと言える組織です。
エージェンティックAIのセキュリティに自信をもって取り組む準備ができているなら、Tokenがお手伝いできます。
こちらからデモをご予約ください。当社のプラットフォームが、組織の安全を維持するうえで何が違うのかをご紹介します。
