AIは新しい段階に突入しています。企業はチャットボットやコパイロットを通じてAIを実験してきており、それらは質問に答えたり情報を要約したりしていました。今、シフトはユーザーまたは組織に代わってエンタープライズシステム全体で推論、計画、アクションを実行できるAIエージェントの実装に向かっています。
従来の自動化ツールとは異なり、AIエージェントは自律的に目標を追求します。彼らはシステムと相互作用し、情報を収集し、タスクを実行します。質問に答えることから、アクションを実行することへのこのシフトは、根本的に新しいセキュリティ課題をもたらします。
CISOsにとって、問題はもはやAIがエンタープライズに展開されるかどうかではなくなっています。それはすでに行われています。真の課題は、組織にどのような種類のAIエージェントが存在し、セキュリティリスクがどこにあるのかを理解することです。
ほとんどのエンタープライズAIエージェントは、3つのカテゴリに分類されます:エージェント型チャットボット、ローカルエージェント、および本番エージェント。それぞれは異なる運用機能と非常に異なるリスク プロファイルをもたらします。
AIエージェントのリスクはアクセスと自律性によって駆動されます
すべてのAIエージェントが同じレベルのリスクをもたらしているわけではありません。エージェントの真のリスクは、2つの重要な要因に依存しています:アクセスと自律性です。アクセスとは、エージェントが相互作用できるシステム、データ、インフラストラクチャを指します。たとえば、アプリケーション、データベース、SaaSプラットフォーム、クラウドサービス、API、または内部ツールなどです。自律性とは、人間の承認なしにエージェントがどの程度独立して行動できるかを指します。
アクセスが制限されており、人間の監視がある場合、エージェントは通常、最小限のリスクをもたらします。しかし、アクセスが拡大し、自律性が増加するにつれて、リスクと潜在的な影響は劇的に増加します。ドキュメンテーションを読むだけのエージェントは、ほとんど脅威をもたらしません。
ビジネスクリティカルなサービスに接続でき、インフラストラクチャを変更でき、コマンドを実行でき、または複数のシステム全体でワークフローを調整できるエージェントは、はるかに大きなセキュリティ上の懸念を表しています。
CISOsにとって、これはクリアな優先順位付けモデルを作成します:アクセスと自律性が大きいほど、セキュリティの優先度は高くなります。
エージェント型チャットボット:エンタープライズAIへの入り口
最初のカテゴリは最も一般的です:エージェント型チャットボット。これらのAIアシスタントは、生産性ツール、知識システム、またはカスタマーサービスアプリケーションなどの管理プラットフォーム内で動作します。通常、人間の相互作用によってトリガーされ、情報の検索、ドキュメントの要約、または単純な統合を行うのに役立ちます。
企業はますます、内部サポート、HRの知識検索、営業実現、カスタマーサービスなど、より多くの生産性タスクに使用しています。セキュリティの観点から、チャットボットエージェントは比較的低リスクに見えます。
それらの自律性は限定的であり、ほとんどのアクションはユーザープロンプトで始まります。しかし、彼らは組織がしばしば見落とすリスクをもたらします。
多くのチャットボットツールは、エンベッドされたAPIコネクタまたは静的認証情報に依存して、エンタープライズシステムにアクセスしています。これらの認証情報が過度に許容的であるか、広く共有されている場合、チャットボットはクリティカルリソースへの特権ゲートウェイになります。
同様に、これらのシステムに接続されているナレッジベースは、会話型クエリを通じて機密データを公開する可能性があります。
チャットボットエージェントは最も低リスクのカテゴリかもしれませんが、それでも強力なアイデンティティガバナンスと認証情報管理が必要です。
ローカルエージェント:急速に成長するセキュリティギャップ
2番目のカテゴリ、ローカルエージェントは、急速に最も広く普及し、最も統制されていないものになりつつあります。ローカルエージェントは従業員のエンドポイント上で直接実行され、開発環境、ターミナル、または生産性ワークフローなどのツールと統合します。
彼らは、コードの作成、ログの分析、データベースのクエリ、または複数のサービス全体でのワークフローの調整などのタスクを自動化することで、ユーザーが効率を獲得するのに役立ちます。
ローカルエージェントをユニークにする点は、それらのアイデンティティモデルです。専用のシステムアイデンティティの下で動作する代わりに、それらはそれらを実行しているユーザーのアクセス許可とネットワークアクセスを継承します。これにより、それらはユーザーが行うのと同じ方法でエンタープライズシステムと相互作用できます。
このデザインは採用を劇的に加速させます。従業員は、集中化されたアイデンティティプロビジョニングを経由することなく、GitHub、Slack、内部API、およびクラウド環境などのツールにエージェントを即座に接続できます。しかし、この利便性は主要なガバナンスの問題を作成します。
セキュリティチームはしばしば、これらのエージェントがアクセスできるもの、どのシステムと相互作用するのか、またはユーザーがどのくらいの自律性を付与するのかについてほとんど可視化されていません。各従業員は事実上、独自のAI自動化の管理者になります。
ローカルエージェントはサプライチェーンリスクも導入する可能性があります。多くは公開エコシステムからダウンロードされたサードパーティプラグインとツールに依存しています。これらの統合は、ユーザーの権限を継承する悪意のある命令を含む可能性があります。
CISOsにとって、ローカルエージェントは、アクセスと自律性のために、急速に成長し、最も見えないAI攻撃サーフェスの1つを表しています。
本番エージェント:完全に自律的なAIインフラストラクチャ
3番目のカテゴリである本番エージェントは、AIシステムの最も強力なクラスを表しています。これらのエージェントは、エージェントフレームワーク、オーケストレーションプラットフォーム、またはカスタムコードを使用して構築されたエンタープライズサービスとして実行されます。
チャットボットやローカルアシスタントとは異なり、人間の相互作用なしに継続的に動作し、システムイベントに応答し、複数のシステム全体で複雑なワークフローを調整することができます。
組織は、インシデント対応自動化、DevOpsワークフロー、カスタマーサポートシステム、および内部ビジネスプロセスのために展開しています。
これらのエージェントはサービスとして実行されるため、それらはインフラストラクチャとSaaSプラットフォームにアクセスするための専用マシンアイデンティティと認証情報に依存しています。このアーキテクチャは、エンタープライズ環境内に新しいアイデンティティサーフェスを作成します。
最大のリスクは3つの領域から生じます:
- 第一に、これらのエージェントはしばしば高い自律性で動作し、人間のレビューなしにアクションを実行します。
- 第二に、彼らは頻繁に顧客リクエストやWebhookデータなどの信頼できない外部入力を処理し、プロンプトインジェクション攻撃への露出を増加させます。
- 第三に、複雑なマルチエージェントアーキテクチャは、エージェントがシステム全体で他のエージェントをトリガーする際に、隠された信頼チェーンと権限昇格パスを作成することができます。
AIエージェントは重大なアイデンティティセキュリティの課題を導入します
3つのカテゴリすべてにおいて、1つの現実は明らかです。AIエージェントはエンタープライズ環境内で動作している新しい一流のアイデンティティセットです。彼らはデータにアクセスし、ワークフローをトリガーし、インフラストラクチャと相互作用し、アイデンティティと権限を使用して決定を下します。
これらのアイデンティティが不十分に統制されており、アクセスが過度に許容的な場合、エージェントは攻撃者にとって強力なエントリポイント、または意図しない損害のソースになります。
CISOsの優先度は、単にAIエージェントを制御することではなく、エージェントの可視化と制御を獲得し、以下を理解することであるべきです:
- どのようなエージェントが存在するか
- それらが使用するアイデンティティは何か
- アクセスできるシステムは何か
- およびそれらの権限が意図された目的と一致しているかどうか。
企業は過去10年間、人間とサービスアイデンティティの保護に費やしてきました。AIエージェントはアイデンティティの次の波を表しており、ほとんどの組織が認識しているよりも速く到着しています。
組織がAIを正常に保護する場合、それを採用することを避ける組織ではありません。
それらはエージェントを理解し、アイデンティティを統制し、権限をそれらのエージェントが実行することを意図した目的と一致させる組織になります。AIエージェントの時代には、アイデンティティはエンタープライズAIセキュリティのコントロールプレーンになるためです。
TokenセキュリティがエージェントAIアイデンティティをスケール規模で対処する方法を確認したい場合、当社の技術チームとのデモを予約してください。
翻訳元: https://www.bleepingcomputer.com/news/security/how-to-categorize-ai-agents-and-prioritize-risk/
