エージェントAIの台頭
AIアシスタントは、もはや会議の議事録を要約したり、メールを作成したり、質問に答えたりするだけではありません。チケットの開設、ログの分析、アカウント管理、さらにはインシデントの自動修正といった行動を起こしています。次に何をすべきかを指示するだけでなく、それを実行してくれるエージェントAIの時代へようこそ。これらのエージェントは信じられないほど強力ですが、同時に全く新しい種類のセキュリティリスクをもたらしています。
自律型エージェントの静かな台頭
当初、企業内でのAI導入は無害に見えました。ChatGPTやCopilotのようなツールは、基本的な文章作成やコーディングを支援するものでしたが、自律的に行動することはありませんでした。しかし、それは急速に変化しています。セキュリティレビューや承認なしに、チームは目標を解釈し、手順を計画し、APIを呼び出し、他のエージェントを起動できる自律型AIシステムを展開しています。AIマーケティングアシスタントは、キャンペーンパフォーマンスデータを分析し、ターゲティングと予算を積極的に最適化できるようになりました。DevOpsエージェントは、人間の介入を待つことなくインシデントをスキャンし、修復を開始できます。その結果、人間が監視できるよりも速く意思決定を行い、行動を起こすエージェントのクラスが拡大しています。
「ただの別のボット」ではない
組織はサービスアカウントやAPIキーのような非人間ID(NHI)の管理を開始していますが、エージェントAIはこれと同じ型にはまりません。予測可能な一連の行動に従うワークフローとは異なり、AIエージェントは次に何をすべきかを推論します。複数のステップを連結し、異なるシステムにアクセスし、途中で計画を調整することができます。この柔軟性が、エージェントを強力であると同時に危険なものにしています。エージェントは境界を越えて行動できるため、データベース、CRM、Slackへのアクセスを許可するだけで、社内で最も強力なユーザーの一員となる可能性があります。マルチエージェントエコシステムは、新たなレベルの複雑さをもたらしています。エージェントが他のエージェントを呼び出したり、作成したりし始めると、その行動を誰が開始したのかを人間に遡って追跡する能力が曖昧になり始めます。
エージェントAIのセキュリティ:自律型システムのための権限再考
AIエージェントは、単に指示に従うだけでなく、行動を起こしています。Token Securityは、行動、意図、説明責任が一致しなければならないエージェントAIの時代において、企業がアクセス制御を再定義するのを支援しています。
シャドーAIはすでに存在している
慎重な企業でさえ、シャドーAIが環境に忍び込んでいることを発見しています。プロダクトマネージャーが新しいAI研究ツールにサインアップしたり、チームが会議ボットを社内ドライブに接続したり、エンジニアが顧客ログを照会できるローカルAIアシスタントを立ち上げたりしています。これらはそれぞれ技術的にはサービスであり、したがってガバナンスが必要です。しかし、これらのツールのほとんどは、正式なレビュー、セキュリティスキャン、またはID記録なしに企業に導入されています。従来の可視化ツールではこれらを明確に把握できません。CASBツールは新しいSaaSドメインを検出するかもしれませんが、クラウド機能やVM上で静かに動作する数百のAIエージェントを捕捉することはありません。悪意があるわけではありませんが、ただ速いのです。そして、スピードは常に監視の敵でした。
新しいタイプのIDに対する新しいルール
では、可視性がなく、機械の速度で動作するものをどのように保護すればよいのでしょうか?セキュリティチームは、ID戦略を新しい方法で適応させる必要があります:
- 所有権とライフサイクルを追跡する。すべてのエージェントには名前付きの所有者が必要です。人間が去るときは、エージェントも同様に終了させるべきです。
- 意図とコンテキストを適用する。すべてのエージェントの行動には、「誰に代わって」データ(誰がトリガーしたか、どのようなタスクを遂行しているか、どのデータに触れる権限があるか)が付随しているべきです。この連鎖を失うと、説明責任も失われます。
- デフォルトで読み取り専用権限にする。エージェントは表示アクセスのみで開始すべきです。書き込み権限は明示的に承認され、時間制限が設けられる必要があります。
ライフサイクル問題
ほとんどの企業には、不要になったAIエージェントを廃止するための明確なプロセスがありません。3月に実験として開始された開発者プロトタイプが10月になっても稼働しており、すでに退職した人が作成した認証情報を使用している場合があります。また、別のエージェントはプロンプトやツールの変更を通じて静かに進化し、今では顧客データにアクセスできるようになっています。これらのエージェントは悪意があるわけではありませんが、目に見えず、永続的で、強力です。そのため、より多くの企業が、すべてのアクティブなエージェント、その目的、所有者、権限、および寿命をリストアップするAIエージェントインベントリを作成しています。これは、AIエージェントとそのIDを管理可能にするために必要な基礎作業です。
恐怖ではなくガードレールを
目標は、組織がAIを活用して効率性と競争優位性を獲得しようとする中で、エージェントの動作を停止させることではありません。効果的な監視とガバナンスを確保することです。新入社員にすべてへの管理者アクセス権を与えないのと同様に、AIエージェントにも特定の責任を与え、その作業をレビューし、その決定をチェックする必要があります。重要なのは、スコープを自動的に制限し、行動をログに記録し、損害を引き起こす前に不正なプロセスをシャットダウンするシステムをチームが構築できるようにするガバナンスです。なぜなら、これらのエージェントは単にレポートを要約したり、チケットをトリアージしたりするだけではないからです。彼らはインシデントを解決し、取引を承認し、顧客と直接やり取りしています。そうなったとき、「シャドーAI」は単なる好奇の対象ではなく、危機となるでしょう。
まとめ
エージェントAIは未来の問題ではありません。それはすでにあなたのスタックの中に存在しています。もしあなたがまだIDを人間か非人間として管理しているなら、自律型アクターという第三のカテゴリのためにスペースを作る時が来ています。彼らにはID、権限、そして説明責任が必要です。また、制御とガバナンスも必要であり、エージェントを資格情報を持つスクリプトではなく、超能力を持つ同僚のように扱うほど、企業はより安全になるでしょう。