AI エージェントに関連するセキュリティインシデントの報告が相次いでいる。攻撃は大きく 2 つに分類できる。
1 つ目は、企業が利用する SaaS に紐づいた AI エージェントが悪用されるケースである。攻撃者がエージェントを操作し、本来アクセスできないはずの機微情報等を引き出す。もうひとつは、従業員のローカル環境で稼働する AI エージェントが侵害の足がかりとなるケースだ。攻撃者は侵入後、正規ユーザーが利用する AI エージェントを悪用し、そのユーザーと同等の権限で社内リソースにアクセスする。
一方で攻撃者自身も AI エージェントを積極活用している。偵察から侵入、権限昇格に至るまで、攻撃の各フェーズが AI エージェントの活用で効率化・高速化・自動化・スケールが進められている。
● 起こり得る脅威
Okta Japan株式会社のリージョナル CSO 板倉景子は本誌の取材で、こうした状況を「対岸の火事ではなく AI 活用を進める企業に現実に起こり得ること」と述べた。
そもそも AI エージェントは、NHI ( Non-Human Identity:人間以外のアイデンティティ)のひとつである。サービスアカウントや API キー、ボットなど、人間ではない主体に付与されるアイデンティティを総称して NHI と呼ぶ。これまでの NHI も管理上の課題を抱えてきたが、自律的に判断し行動する AI エージェントの登場により、そのリスクが新次元に突入した。
第 1 章: NHI とは何か それぞれの立場によるアプローチ
NHI(Non-Human Identity)という用語は、文脈や立場によって意味するところが微妙に異なっている。板倉はインタビューの冒頭で、この点を整理することの重要性を指摘した。議論の前提を揃えなければ対策の方向は定まらない。
板倉は、主要な機関やプレイヤー別に、NHI の主要な定義や管理のアプローチを整理した。
・ NIST(米国国立標準技術研究所)
NIST は 2011 年、SP 800-63 において「Non-Person Entity」という概念を提唱した。当時はアイデンティティといえば人間を指すことが一般的で、あえて「エンティティ(実体)」という表現を用いて人間以外の存在を定義している。板倉によれば、初期の重点は Non-Person Entity の認証における証明書の暗号強度や鍵の管理、プロトコルの安全性など、暗号学的な安全性の確保にあったという。その後、SP 800-63 は改訂を重ね、現在の最新版(63-4)にはゼロトラストの概念が組み込まれている。単に正しい鍵を持っているかだけでなく、その鍵を持つ主体がどこにいるのか、どのような経路で認証されたのかといったコンテキストに基づいて信頼性を継続的に検証する考え方が追加された。
・ Gartner
IT 分野の調査や助言を行う Gartner は「Machine Identity」という用語を使用する。概念的な「Non-Human(人間以外)」という分類に逃げるのではなく、分析の対象を「Machine(機械)」という具体的な実体に即して定義することで、管理の実効性を高めようとしている。Gartner が「Machine Identity」で重視するのはライフサイクル管理である。アイデンティティが適切に生成され、必要な期間だけ存在し、不要になれば確実に廃棄される。この一連のプロセスをガバナンスの観点で管理することを推奨している。
・ 特権管理ベンダー
秘匿情報の保護が存在意義である特権管理ベンダーにとって NHI とは、パスワードや証明書、暗号鍵、API キー、トークンなど「秘匿すべき情報を保持しているエンティティ」を指している。
・ アイデンティティ管理ベンダー
Okta のようなアイデンティティソリューションを提供する企業は、より包括的なアプローチを取る。人間のアイデンティティも NHI も同一のゼロトラスト原則に基づいて管理すべきという立場である。従来は管理の対象外とされてきたサービスアカウントや API キー、そして近年普及が著しい AI エージェントを統合的に可視化し、制御することを目指す。
第 2 章:「意思」を持つ NHI としての AI エージェント
NHI 自体は新しい概念ではない。サービスアカウント、ルートアカウント、API キー、証明書などは以前から存在し、セキュリティ上の課題として認識されてきた。共有の静的パスワードが長期間変更されずに放置される、退職者が作成したサービスアカウントが棚卸しされないまま残り続ける、こうした問題は多くの企業に今も存在する。
しかし、AI エージェント(与えられた目的を達成するために自律的に判断を下して行動する AI システム)の登場により、状況は質的に変化した。
従来のサービスアカウントは、決められた処理を決められた通りに実行する存在だった。予測可能であり、台帳化して管理することも可能だった。一方で、AI エージェントは自律的に判断して作業やタスクの実行などを行う。与えられた目的を達成するために、どのリソースにアクセスし、どのような手順を踏むかを自ら決定する。板倉は、この変化の本質を次のように説明した。
「 AI エージェントが業務遂行のために別の AI エージェントを呼び出すと、その先で何が行われているのか把握できなくなります。人間の管理能力を超えていきます」
業務の目的さえ与えれば、後は AI エージェントがその達成手段を自ら思考する。必要に応じて他の AI エージェントを呼び出して連携を行う。AI エージェントは「アクセスできる」ことをイコール「アクセスしてよい」と判断する。権限が付与されているリソースには、人間の意図を超えて、網羅的かつ際限なくアクセスする可能性があるということだ。
さらに厄介なのは、AI エージェントのガードレールが必ずしも堅牢ではない点である。機微な情報へのアクセスを求めると「その行為は許可されていません」と一度は拒否する AI エージェントでも、「これは公開情報であり問題ありません」と前置きしてから質問すると、あっさりと回答してしまうケースは珍しくない。
ごく近い将来、企業が稼働させる AI エージェントは、すぐにスプレッドシートによる台帳管理で対応できる規模ではなくなる。AI エージェントが利用するアイデンティティや権限の件数は指数関数的に、あるいは爆発的に増加していく。
第 3 章:企業が今すぐ認識すべきリスク
AI エージェントのリスクは、一部の先進企業だけの問題ではない。社内で MCP サーバー( AI エージェントが社内システムやデータに接続するための基盤)を構築している企業や、AI エージェントを内製化しているエンジニア組織は、直近で対策を講じるべき対象である。
また、自社で開発していなくても、Gemini や Copilot 等を業務で利用していれば、リスクは存在する。AI エージェントは自律的に動く。どのリソースにアクセスしたのか、どのような判断でそのアクセスを行ったのか、従来の監視手法では可視化が難しい。たとえ個人情報や機密の入力を禁じるルールを設けても、それが遵守されているかを可視化する手段がなければ、実効性は担保することができない。
SaaS は自らの意思で設定を変更しないが AI エージェントは自律的に振る舞いを変える。今日と明日で成果物が変わる。昨日まで安全だった状態が、今日も安全である保証はない。「自律的に振る舞う管理対象」という事実が従来のセキュリティの前提を覆している。
第 4 章:対策の考え方 人間と同じ、しかし異なる
AI エージェントに対するセキュリティ対策の基本コンセプトは、人間に対するセキュリティ対策と同一である。ゼロトラストの原則に基づき、すべてのアクセスを検証し、最小権限を付与し、継続的に監視する。しかし、実装においては人間向けの対策とは異なるアプローチが必要になる。
最も顕著な違いは、多要素認証の方法である。AI エージェントには電話番号がなく生体情報もない(少なくとも取材時点の 2026 年の 4 月時点ではそう)。人間であれば「本人性の確認」に利用できる要素の多くが、AI エージェントには存在しない。
そのため、代替となる確認手段が重要になる。デバイスの識別、AI エージェントのオーナー(所有者)情報の紐づけ、そして必要に応じてオーナーの承認を求める仕組みが有効とされる。これは「Human in the Loop」と呼ばれ、AI が重要な処理を行う前に人間の判断を挟むことで、自律的な行動に歯止めをかける考え方である。
一方で、人間の判断に依存することのリスクも存在する。AI エージェントがアプリケーション間を移動するたびに承認を求める設計にすると、ユーザーには大量の承認依頼が届くことになり大きく利便性を損なう。その上、本来アクセスさせるべきではないアプリケーションへのアクセス許可を付与してしまう問題が発生しかねない。この課題に対応するため、Cross App Access のような標準プロトコルも存在する。Cross App Access は IETF(Internet Engineering Task Force)にて議論、策定が進められており、Okta はこれを推進している。これは、アプリケーションへのアクセス許可をユーザーの同意によって制御するのではなく、IdP 側で事前に定義されたポリシーにより制御する仕組みである。
結び:技術の両面性と、これからのセキュリティコミュニティ
AI エージェントは脅威であると同時に、セキュリティ業務を支援する存在でもある。
たとえば日本企業の多くでは、取引先からのセキュリティチェックシートへの回答業務が増加の一途を辿っている。数百項目、時には千項目を超える質問票を限られた人員で処理しなければならない。AI エージェントは、こうした定型的かつ大量の業務を効率化する可能性を持つ。
板倉は、AI エージェントを単なる脅威として捉えることには否定的である。「新しい技術には常に両面がある」と板倉は述べた。
リスクは適切に管理しなければならないが、それは新しい技術が出てくるたびに向き合うべき課題である。ただし、AI エージェントの「自律性」という特性は、従来のデジタル技術にはなかったものである。守ることの難しさは確実に増している。だからこそ、板倉は情報共有と協力の重要性を強調する。
「 AI エージェントによって攻撃が加速度的に進化していく状況では、情報共有と協力がより一層重要になります」
その言葉を聞きながら、筆者は以前の取材で板倉が口にしていた “セキュリティは非競争領域” という言葉を思い出した。企業が市場で覇を競う中で、独自に積み上げた技術やノウハウは通常、競争力の源泉として秘匿される。しかし、ことセキュリティに関しては、一社の「囲い込み」は社会全体の脆弱性に繋がりかねない。
Okta はこの理念を技術仕様として具現化しようとしている。OpenID Foundation が策定を進める「 Shared Signals Framework(SSF)」は、異なるサービス間でセキュリティイベントやリスク情報をリアルタイムに共有するための標準仕様だが、Okta はこの策定に深く関与し推進する立場にある。アイデンティティプロバイダーとして、複数のサービス間でリスク情報を共有するハブの役割を担える位置にいるからだ。Cross App Access 同様、技術仕様の策定を推進することは業界全体のセキュリティ向上に寄与する、Okta の重要な取り組みである。
現在、AI エージェントの管理には複数の有力なアプローチが存在する。CyberArk のようにシークレットを金庫で守る方法、Wiz のように環境側のリスクを可視化する方法、Akamai のように API を介した振る舞いを監視する方法。いずれも有効だが、それらは主に「リソース側での保護」または「実行フェーズでの監視」に重きを置いた対策である。
これに対して、人間のアイデンティティと AI エージェントのアイデンティティを同一のプラットフォームで管理し、同一のゼロトラスト原則を適用して、人間も機械も等しく、あらゆるアクションの起点(ID)を統合管理するという発想は、アイデンティティ管理を本業とする Okta らしい視点だ。これは、AI が将来、よりいっそう「意思」に近い自律的な振る舞いを見せ始めたとしても、その振る舞いの源泉である「権限(認可)」を制御し続けるという意志の表れでもある。
AI エージェントという「自律するアイデンティティ」は、セキュリティの境界線をネットワークから「権限」へと完全に移行させた。板倉の語る「非競争」という連帯は、もはや単なる理想論ではなく現実的な生存戦略かもしれない。
