AIエージェントの台頭と新たな課題
組織がワークフローの効率化と生産性向上を目指し、AIアシスタントや自律型エージェントを急速に導入する中、意図せず攻撃対象領域を拡大している可能性があります。IT運用、顧客サービス、LLMベースの社内ツールなどに組み込まれたAIエージェントは、私たちに代わって意思決定を行い、機密データにアクセスし、機械の速度で自動化されたアクションを実行しています。しかし、ほとんどのセキュリティフレームワークは、これらの新しいエージェントアクターを念頭に置いて構築されていませんでした。私たちは長年、ユーザーとアプリケーションに対するゼロトラストを洗練させてきましたが、今や「ユーザーが自己指示型のソフトウェアである場合、何が起こるのか?」という難しい問いに直面しています。その答えは、人や従来のサービスだけでなく、システム内で動作するすべてのAIエージェントにゼロトラストを適用するという新たなコミットメントから始まります。
自律型エージェントの台頭
何十年もの間、アイデンティティは人間中心の懸念事項でした。その後、サービスアカウント、コンテナ、API(マシンアイデンティティ)が登場し、独自のガバナンスが求められるようになりました。そして今、私たちは次の進化、すなわちエージェントアイデンティティに直面しています。AIエージェントは人間の柔軟性を持ちながら、機械の規模と速度で動作します。静的なコードとは異なり、彼らは学習し、適応し、自律的な意思決定を行います。これは、彼らの行動が予測しにくく、アクセス要件が動的に変化することを意味します。しかし、今日、これらのエージェントの多くは、ハードコードされた認証情報、過剰な特権、そして真の責任なしに動作しています。本質的に、私たちは「インターン」に管理者バッジを渡し、「迅速に動け」と指示しているようなものです。CISOがAIを安全かつセキュアに展開したいのであれば、これらのエージェントは、従業員やアプリケーションよりもさらに厳格なガバナンスが適用される第一級のアイデンティティとなる必要があります。
AIにおける「決して信頼せず、常に検証せよ」
ゼロトラストは、「決して信頼せず、常に検証せよ」というシンプルな原則から始まります。これは、ユーザー、マシン、エージェントが侵害されることを前提とし、アクセス要求がどこから来たものであっても、認証、認可、監視を要求します。この哲学は自律型エージェントにも完璧に適用されます。実践的には以下のようになります。
- アイデンティティ優先のアクセス:すべてのAIエージェントは、一意で監査可能なアイデンティティを持つ必要があります。共有された認証情報や匿名のサービス・トークンは許されません。すべてのアクションは帰属可能であるべきです。
- デフォルトでの最小特権:エージェントは、その機能に必要な最小限のアクセス権のみを持つべきです。営業データを読み取るように設計されたエージェントは、請求記録に書き込んだり、人事システムにアクセスしたりするべきではありません。
- 動的で文脈に応じた強制:エージェントが進化し、タスクが変化するにつれて、その権限は継続的に再評価される必要があります。静的なポリシーは機能しません。何にアクセスされているか、誰によって、どのような条件下でアクセスされているかといったリアルタイムのコンテキストが、意思決定を推進するべきです。
- 継続的な監視と検証:自律的であることは、監視されないことを意味しません。エージェントは特権ユーザーと同様に監視される必要があります。新しいシステムへのアクセス、大量のデータ転送、特権昇格などの異常な行動は、アラートや介入をトリガーするべきです。
過剰なエージェンシーのリスク
AIは、イノベーションを推進し、効率を改善し、競争優位性を生み出すために急速に採用されています。AIは害を意図していませんが、害を引き起こさないという意味ではありません。内部システムへの広範なアクセス権を持つヘルプデスクエージェントを想像してみてください。チケット処理を自動化するように設計されていますが、プロンプトインジェクションや誤設定により、ユーザーのパスワードをリセットしたり、記録を削除したり、機密データを外部にメールで送信したりする可能性があります。これは理論上の話ではなく、実際に起こっています。AIエージェントは、新しい行動を「幻覚」したり、指示を誤解したり、予期せぬ範囲外で行動したりする可能性があります。さらに悪いことに、攻撃者はこのことを知っており、AIインターフェースを積極的に調査して、それらを侵害する方法を探しています。これが私たちが「過剰なエージェンシー」と呼ぶものです。AIエージェントに与えられた権限が過剰であり、それを悪用するのを止めるガードレールがない状態です。
イノベーションを阻害しないガードレールの構築
セキュリティ専門家は今、綱渡りをしています。一方でイノベーションを促進したいと考え、他方で規律を強制する必要があります。このバランスはAIにおいて特にデリケートです。解決策は、拡張性のあるガードレールを設計することにあります。それは以下のことを意味します。
- スコープ付きトークンと短命な認証情報:長期的なシークレットの代わりに、狭く定義されたスコープを持つ時間制限付きのアクセストークンを発行します。侵害された場合でも、迅速に期限切れになり、被害を最小限に抑えます。
- 階層化された信頼モデル:すべてのアクションが同等ではありません。ルーチンで低リスクのタスクは自由に自動化できます。データの削除や資金移動のような高リスクの操作には、人間の承認や多要素トリガーが必要となるべきです。
- アクセス境界の適用:エージェントがどこでも何でも呼び出せるようにしてはいけません。厳格なアクセスポリシーとサービスレベルの境界を強制し、エージェントがその役割にとどまるようにします。
- 明確な所有権:すべてのエージェントには、その目的、行動、権限に責任を持つ内部の人間所有者がいるべきです。
これらの制御が整備されれば、セキュリティはAIの障害ではなく、イネーブラーとなります。
CISOへの提言:アイデンティティ主導で
私たちは、「ログイン」がもはや人だけのものではない時代に突入しています。エージェントはコードを書き、リスクを分析し、データを照会し、顧客とチャットしています。もし私たちがアイデンティティ戦略において彼らを後回しにするならば、私たちは盲目的な信頼の上にシステムを構築していることになり、それこそゼロトラストが防ぐべきものでした。CISOは先頭に立って行動しなければなりません。それは、ゼロトラストフレームワークを拡張して自律型エージェントを明示的に含めることから始まります。そこから、非人間アクターを処理できるアイデンティティ優先のAIセキュリティアーキテクチャ、監視ツール、アクセスガバナンスへの投資が必要となります。セキュリティはAIを止めることではありません。安全に、予測可能に、そして説明責任を持ってAIを可能にすることです。