このプラットフォームのライフサイクル管理、クロスアプリアクセス、検証可能な認証情報は、AIエージェントが企業システム全体で高い権限を持つようになる中で、攻撃対象領域を減らし、コンプライアンスを確保することを目的としています。
アイデンティティ管理ベンダーのOktaは木曜日、「Identity Security Fabric」を発表しました。これは、AIエージェントを保護し、企業が現在ユーザー、アプリケーション、AIシステムを管理するために使用しているパッチワーク的なポイントセキュリティソリューションに代わるものです。
「このファブリックの一部として、組織は改ざん防止のデジタル認証情報を発行・検証できるようになり、信頼の確立や増加するAIを利用した詐欺への対策に役立ちます」とOktaは声明で述べています。
ラスベガスで開催されたOktaの年次カンファレンスでの発表は、高い権限で動作しながらも適切な監督がなされていないAIシステムの管理に苦慮する組織が増えている中で行われました。
調査会社ガートナーは予測しています。2027年までに、アイデンティティファブリックの耐性原則が新たな攻撃の85%を防ぎ、侵害による経済的損失を80%削減するとしています。
Oktaの調査によると、すでに91%の組織がAIエージェントを利用している一方で、これら非人間型アイデンティティの管理戦略を策定しているのはわずか10%でした。セキュリティリスクの証拠として、同社は「AI採用ボットが、ハッカーが『123456』というパスワードを試したことで数百万件の応募者データを流出させた」事件を挙げています。
「現代の企業には、サイロを統合し攻撃対象領域を減らすアイデンティティセキュリティファブリックが必要です」とOktaのデザイン&リサーチ担当シニアバイスプレジデント、クリステン・スワンソン氏は声明で述べています。現在の断片化したセキュリティアーキテクチャでは「もはやAI主導の脅威に対応できません」と彼女は述べました。
アイデンティティファブリックのコンセプトは、従来は別々だったユーザー管理、アプリケーションセキュリティ、AI監督といったセキュリティ機能を統合し、単一のプラットフォームにまとめたものです。このアプローチは、AIエージェントが従来の人間ユーザーと並行して常時高い権限で動作し、複雑さが増す企業に対応するために登場しました。
ファブリックを構成する3つの主要コンポーネント
このプラットフォームは3つの主要要素で構成されており、最初の重要な要素はAIエージェントのライフサイクル管理です。Oktaはこれを「Okta for AI Agents」と呼び、2027会計年度第1四半期に早期アクセスを予定しています。この要素は、企業ネットワーク内の既存AIエージェントを発見し、適切なアイデンティティ認証情報を確立し、アクセス制御を強制し、活動を監視します。
「AIは、組織が適応できるよりも速く職場を変化させています」とスワンソン氏は付け加えました。「構築や展開、管理が不十分なエージェントが、従来のパッチワーク的なアイデンティティソリューションのリスクを露呈し始めています。」
このシステムは「最小権限の原則を適用するためにセキュリティポリシーを強制し、AIエージェントに必要な時にのみ必要なアクセス権を与えます」と同社は声明で述べています。
2つ目のコンポーネントはCross App Accessで、AIエージェントと企業アプリケーション間の通信を保護するために設計されたOAuthの拡張です。このプロトコルは、Amazon Web Services、Google Cloud、Salesforce、Box、Automation Anywhereなど主要テクノロジーベンダーの支持を得ています。
このプロトコルにより、セキュリティ管理が個々のアプリケーションから中央集権型のアイデンティティシステムに移行し、セキュリティチームは技術スタック全体でAIエージェントの行動を監視できるようになります。Cross App Accessは、エンタープライズ顧客向けにOktaプラットフォーム内で早期アクセスが提供される予定です。
現在のAI導入では、APIキーのような静的な認証情報に依存することが多く、これが侵害された場合に持続的な脆弱性を生み出します。人間のユーザーとは異なり、AIエージェントは通常、継続的に動作し、複数のシステムで高い権限を必要とする場合が多いため、セキュリティ侵害時の被害が拡大します。
デジタル認証情報がプラットフォームを完成させる
3つ目のファブリックコンポーネントは、2027会計年度にリリース予定のOkta Verifiable Digital Credentials(VDC)プラットフォームによるデジタル認証情報機能です。
このシステムにより、組織は政府発行ID、雇用記録、専門資格などの暗号的に安全なバージョンを発行できるようになります。
「最大限の制御と将来の相互運用性のためにオープンスタンダードに基づいて構築されたVDCは、AIエージェントの世界で信頼を確立し、誰かが誰であるか、何をしたか、何を許可されているかを証明するのに役立つ、安全でプライバシーを保護する認証情報を実現します」と同社は述べています。
Oktaは、まずモバイル運転免許証のサポートから開始し、今後さらに多様なIDタイプに拡大する予定です。
アイデンティティセキュリティ課題への注目は、ラスベガスでのOktaの発表だけにとどまりません。データ保護企業Rubrikも、Okta環境向けの自動バックアップとリカバリーを提供する「Rubrik Okta Recovery」を発表し、アイデンティティインフラの脆弱性に対する業界全体の認識の高まりを示しました。Oktaは、ファブリックアプローチが「AIエージェントが機械のスピードで高い権限と短命なライフサイクルで動作し、AIによるディープフェイクが正規ユーザーと悪意あるなりすましの境界を曖昧にする」課題に対応すると説明しています。
