サイバーニュース.jp

世界のサイバーなニュースを配信

AIエージェントが抱えるゼロトラストの盲点

カテゴリ:

, , , , , , , , ,

AIエージェントが抱えるゼロトラストの盲点

エージェントAIの時代が到来しました。カスタムGPTから自律型コパイロットまで、AIエージェントはユーザーや組織に代わって、あるいは単なるチームメイトとして、人間の直接的な介入なしに意思決定を行い、システムにアクセスし、他のエージェントを呼び出しています。しかし、この新たな自律性のレベルは、「AIが作業を行っている場合、いつそれを信頼すべきか」という喫緊のセキュリティ上の問いを投げかけています。

従来のシステムでは、ゼロトラストアーキテクチャは暗黙の信頼を前提とせず、すべてのユーザー、エンドポイント、ワークロード、サービスが継続的に自身の身元と権限を証明する必要があります。しかし、エージェントAIの世界では、これらの原則は急速に崩壊しています。AIエージェントは、登録された所有者やアイデンティティガバナンスがないまま、継承された資格情報の下で動作することがよくあります。その結果、信頼されているように見えても実際にはそうではないエージェントが増加しており、これはインフラストラクチャにおける自律型AIエージェントの多くのリスクの一つです。

このギャップを埋めるために、組織はNIST AIリスク管理フレームワーク(AI RMF)を、アイデンティティを核とするゼロトラストの視点から適用する必要があります。アイデンティティはAIの信頼の根源でなければならず、それがなければ、他のすべて(アクセス制御、監査可能性、説明責任)は崩壊します。

エージェント時代におけるアイデンティティリスク

NISTのAI RMFは、マップ、測定、管理、ガバナンスの4つの機能にわたるAIリスク管理に関する高レベルのガイドを提供しています。しかし、これらをアイデンティティガバナンスの視点から解釈すると、AI固有のリスクがどこに潜んでいるかが明らかになります。

「マップ」機能を例にとってみましょう。現在、組織内でどれくらいのAIエージェントが活動していますか?誰がそれらを作成し、誰が所有していますか?それらはエンタープライズシステムやサービスにどのようなアクセス権を持っていますか?今日のセキュリティチームのほとんどは、これらの質問に答えることができません。AIエージェントは、内部の開発ワークステーション、本番アカウント、またはクラウドサンドボックスで、ほとんど監視なしに立ち上げられています。シャドーエージェントは、過剰な権限を持つ資格情報を継承したり、長期間有効なシークレットを使用して認証したりすることがよくあります。多くは、所有者、ローテーションポリシー、権限の適正化、監視がないまま存続しています。これらの「孤立したエージェント」は、デフォルトでゼロトラストに違反しています。それらは信頼できるアイデンティティなしに動作するため、システムは検証できないエンティティを信頼していることになります。

なぜアイデンティティが最優先されるべきなのか

これを解決するには、セキュリティチームはゼロトラストの第一原則から始める必要があります。つまり、信頼を付与する前に、適切な権限と資格情報を適用することです。これはユーザーだけでなく、AIエージェントにも当てはまります。すべてのAIエージェントは、以下を持つべきです。

  • 一意で管理されたアイデンティティ
  • 明確な所有者または責任チーム
  • 実際に必要なアクセス権に紐付けられた、意図に基づいた権限スキーム
  • 他のアイデンティティと同様に、作成、レビュー、ローテーション、廃止されるライフサイクル

これにより、エージェントAIは、管理されていないリスクから、管理されたエンティティへと変革されます。アイデンティティは、AIエージェントが触れるすべてのもの(機密データの読み取り、システムコマンドの発行、他のエージェントの呼び出しなど)のゲートキーパーとなります。

NISTフレームワークの適用:アイデンティティ主導のゼロトラスト

NIST AI RMFの各機能が、アイデンティティ中心のゼロトラストアプローチを通じてどのように実装できるかを以下に示します。

  • マップ:カスタムGPT、コパイロット、MCPサーバーを含むすべてのAIエージェントを発見し、インベントリを作成します。所有権が不明確なエージェントにフラグを立てます。各エージェントがアクセスできるものをマッピングし、それを意図された目的にリンクさせます。モデルの出力だけでなく、アイデンティティの動作についてもエージェントの動作を継続的に監視します。エージェントはこれまで使用したことのないシステムにアクセスしていますか?資格情報は期限切れになっていますが、まだ機能していますか?異常なアイデンティティの使用は、侵害やドリフトの早期警告サインです。
  • 管理:すべてのAIアイデンティティの権限を適正化します。最小特権が動的に強制されるように、意図に基づいたアクセスを使用します。古い資格情報を失効させ、シークレットをローテーションし、もはや目的を果たさないエージェントを削除します。
  • ガバナンス:人間に対して使用されるのと同じ厳格さで、AIエージェントにアイデンティティガバナンスを適用します。所有者を割り当て、ライフサイクルポリシーを強制し、マルチエージェントエコシステム全体でアイデンティティの使用を監査します。エージェントが機密性の高いアクションを実行した場合、「誰がこれを承認し、なぜ承認したのか」という質問に即座に答えられるようにする必要があります。

盲点から確かな信頼へ

リスクは現実のものです。孤立したAIエージェントは、攻撃者のバックドアとして機能する可能性があります。過剰な権限を持つエージェントは、機密データを数秒で持ち出すことができます。そして、侵害が発生した場合、監査証跡が存在しないことがよくあります。明確なアイデンティティがなければ、セキュリティチームは「誰がやったのかわからない」と問題の特定に苦労することになります。

アイデンティティは、AIセキュリティの単なる別のレイヤーであってはなりません。それは基盤である必要があります。それは、すべてのAIエージェントのアクションが既知の管理されたエンティティに紐付けられることを保証することで、ゼロトラストと整合します。そして、AIの信頼は獲得されるべきものであり、前提とされるべきではないため、AIの安全な大規模導入を可能にします。

AIエージェントは自律的かもしれませんが、その信頼は説明責任の上に築かれなければなりません。アイデンティティは、私たちがそこに到達し、その信頼を確立する方法です。AI導入のすべての段階(発見、権限付与、監視、ガバナンス)にアイデンティティ制御を組み込むことで、組織は盲点を排除し、最も重要な場所でゼロトラストを強制することができます。今こそ、AIエージェントにそれを適用し、より強力なセキュリティとコンプライアンス体制を確保する時です。

元記事: https://www.bleepingcomputer.com/news/security/zero-trust-has-a-blind-spot-your-ai-agents/

投稿をさらに読み込む