サイバーセキュリティの領域では現在、テクノロジーにおける最も変革的な2つの潮流――ゼロトラスト・アーキテクチャの導入義務化と、自律型人工知能エージェントの急速な普及――が衝突しつつあります。
長年にわたり、「決して信頼せず、常に検証する」という合言葉は、主として人間のユーザーとそのデバイスを統制するために設計された、現代防御の基盤として機能してきました。しかし組織が、基本的な生成AIから「エージェント型」ワークフロー――AIが自律的にシステムを横断し、データベースにアクセスし、複数ステップのタスクを実行する――へと移行するにつれ、従来のゼロトラスト・モデルは限界点に近づいています。
数字は厳然たる現実を物語っています。世界のAIエージェント市場は2025年に76億3,000万ドルに達し、2030年までに503億1,000万ドルに到達すると予測されています。マッキンゼーのレポートによれば、現在では組織の88%が少なくとも1つの機能でAIを利用しており、2023年の55%から増加しています。この爆発的拡大は、エンタープライズソフトウェア、消費者向けアプリケーション、IoTデバイスにまで及びます。しかしガートナーは、2028年までにセキュリティ侵害の25%がAIエージェントの悪用に起因するようになると警告しています。スマートホーム機器から産業システムに至るまで、自律機能は、根本的に異なる脅威環境を前提に設計されたセキュリティフレームワークを上回る速度で進化しています。
根本的なパラドックスは明白です。AIエージェントが有用であるためには、CRMシステム、財務データベース、社内API、さらにはスマートホームのエコシステムにまでまたがる、広範でドメイン横断的なアクセスがしばしば必要になります。一方で安全であるためには、ゼロトラスト・モデルは最小権限の厳格な適用を求めます。この相反する2つの力を両立させることが、現代のセキュリティリーダーにとって次なる大きな課題です。
衝突:なぜ従来のゼロトラストはAIエージェントに通用しないのか
ゼロトラストの中核原則――明示的な本人性(アイデンティティ)検証、最小権限アクセス、マイクロセグメンテーション――は、予測可能な人間の行動を前提とした世界のために構築されました。人間の従業員は通常、既知のデバイスからログインし、限られた数のアプリケーションにアクセスし、標準的な営業時間内で業務を行います。従来のゼロトラストは、多要素認証やデバイス状態(ポスチャ)チェックを活用して、こうしたやり取りを検証します。
しかしAIエージェントは、このプロファイルに当てはまりません。機械の速度で動作し、1秒間に何百回も認証し、「生体情報」や「人間」属性を持ちません。その有用性は、サイロをまたいでデータを統合できる能力から生まれます。「サプライチェーン物流の最適化」を任されたエージェントは、在庫データベース、外部の気象API、配送業者のポータル、社内の財務台帳を同時に照会する必要が正当な形で生じ得ます。
セキュリティチームが従来型の静的な「最小権限」をこのエージェントに適用すると、結果はしばしば二者択一の失敗になります。すなわち、エージェントがタスクを実行できないほど厳しく制限されるか、あるいは特権サービスアカウントが付与され、致命的な単一障害点となるかです。
ゼロトラスト・アーキテクチャに関する研究は、境界型から境界なきセキュリティモデルへのパラダイムシフトが現代環境に不可欠であったことを強調していますが、自律型エージェントの登場は、ほとんどのシステムが現在展開しているものよりも、さらに粒度が細かくコンテキストを意識したアプローチを必要とします。
「遍在する」リスク:自動化されたラテラルムーブメント
セキュリティリーダーにとって最大の懸念は、侵害されたAIエージェントの「被害半径(blast radius)」です。従来環境では、人間の認証情報を侵害した攻撃者は、手動での探索に要する速度や、そのユーザーに付与された特定の権限によって制約されることが多いものです。CrowdStrikeは、人間の攻撃者は通常、ラテラルムーブメントを開始するまでの「ブレイクアウト時間」が1時間58分であると報告しています。対してAIエージェントは設計上、根本的に異なるスケールで動作します。セキュリティ研究者は、AI主導の攻撃が「1秒あたり複数回の操作という持続的なリクエスト率」で実行され、APIを呼び出してデータを移動させる自律性を備え、人間の監視を桁違いに上回る速度であることを記録しています。
脅威はもはや理論上のものではありません。2025年9月、Anthropicは、攻撃者がAIのエージェント能力を用いて機械速度でサイバー攻撃を実行し、1秒あたり数千件のリクエストを行う――人間のハッカーには到底匹敵できないペース――という、最初に報告されたAI主導のスパイ活動キャンペーンを検知し、阻止しました。別の事例では、ある医療提供者が、侵害されたカスタマーサービス用AIエージェントが3カ月にわたり患者記録を漏えいしていたことを発見し、罰金と復旧対応で1,400万ドルの損失を被りました。
露出の規模は企業にとどまりません。2025年までに世界で300億台を超えるIoTデバイスが見込まれる中、消費者向けアプリケーションも同様のリスクに直面しています。鍵、カメラ、個人データを制御するスマートホームAIエージェントは、大規模な新たな攻撃ベクトルを生み出します。
IBMの「2025年データ侵害コストレポート」は、組織の13%がAIモデルまたはアプリケーションの侵害を報告し、そのうち97%が適切なAIアクセス制御を欠いていることを明らかにしています。シャドーAIによる侵害は、従来のインシデントより平均で67万ドル多くのコストがかかり、2025年には5社に1社が影響を受けました。
自律型ゼロトラストの構築:4本柱のフレームワーク
AIエージェントがもたらす課題は、単一の技術やポリシー変更だけでは解決できません。従来のゼロトラストは、統制対象である人間ユーザーが予測可能なパターンと人間の速度で動作するため、境界制御と静的ポリシーに大きく依存していました。AIエージェントは、こうした前提を完全に打ち砕きます。
必要なのは、AIエージェントのセキュリティ問題における4つの基本次元に対処する、包括的で多層的なアプローチです。
- アイデンティティ – エージェントは誰、または何か?
- 認可 – 今この瞬間、何を許可すべきか?
- 封じ込め – 侵害された場合の被害はどの程度か?
- ガバナンス – エージェントが増殖する中で、可視性と統制をどう維持するか?
各柱はそれぞれ異なる失敗モードに対処しており、重要なのは、どの柱も単独では成り立たないという点です。
強固なマシンアイデンティティがあっても、動的な認可がなければエージェントは過剰権限のままです。動的な認可があっても、マイクロセグメンテーションがなければ侵害されたエージェントは依然として横方向に侵入拡大できます。マイクロセグメンテーションがあっても、ガバナンスがなければ既知のエージェントだけを守る一方で、シャドー展開が野放しに増殖します。4本柱を連携して実装して初めて、組織は真の自律型ゼロトラスト――AI駆動の運用の速度、規模、複雑性に見合うセキュリティ態勢――を実現できます。
このブログのパート2では、組織が実務において自律型ゼロトラストをどのように運用化できるかを検討します。
翻訳元: https://www.databreachtoday.com/blogs/zero-trust-for-age-autonomous-ai-agents-part-1-p-4019
