AIエージェントに潜む主要なリスク要因
ラムジは次のようなリスク要因を考慮すべきだと述べている。
トークンの氾濫
すべてのAIエージェントは、リソースにアクセスしアクションを実行するために認証情報を必要とし、その多くはトークンと呼ばれる認証用のデジタル鍵(デジタル証明書の簡易版)の形を取る。1つのトークンの漏洩は、単なるアカウント侵害にとどまらない。組織のインフラ全体にわたる「システミックな侵害」を引き起こし、悪意ある攻撃者に「デジタルのマスターキー」を渡すことになりかねない。
監査証跡の欠如
AIエージェントが行動する際に、IT部門はその行為が誰の代理であり、どの人間がエージェントを起動したのかを「監査証跡(Audit Trail)」から知る必要がある。堅牢な監査や制御の仕組みがなければ、責任の所在は消えてしまう。これによりコンプライアンス要件は崩れ、誰がいつ何をしたのかが不明瞭になる。
横移動
攻撃者が1つのエージェントを侵害し、そのエージェントに過剰な権限が与えられていたり、他のエージェントを無条件に信頼していたりすると、企業はネットワーク全体を自由に動き回るための地図を渡してしまったことになる。こうした侵害は「横移動(Lateral Movement)」と呼ばれ、攻撃者は正規のエージェント活動に紛れながら権限を昇格させ、データを流出させることが可能になる。
過剰なアクセス権付与
人間と同様に、AIエージェントも本来必要とされる以上のアクセス権を与えられることが多い。こうした状況は「過剰なアクセス権付与(Overboard Access)」と呼ばれる。ここで重要なのが「最小特権の原則」だ。例えばデータベースを更新するためのエージェントが、データセット全体を削除できる権限まで持っているとすれば、企業は自ら失敗を招き入れていることになる。
「では、こうしたシステミックリスクにどう広範囲に対応していくのか? ここで重要なのは、個々のアプリを堅牢化することではなく、相互接続された世界でエージェントが安全に機能できるようにする標準化された仕組みを整えることだ。MCPやA2Aといったオープンソースのプロトコルが鍵を握るだろう。これらは相互運用性を可能にし、オープンソースであるため特定ベンダーへの依存状態である「ベンダーロックイン」を防止する。MCPがエージェントとツールとのやり取りに焦点を当てる一方で、A2Aプロトコルは、AIエージェント同士がどう通信し協調するかという同じくらい重要な課題に対応している。複雑な企業環境では、1つのエージェントだけでなく、特化したエージェントが複数共存するエコシステムが必要だ」とラムジは語った。
「だからこそ、AIエージェントには最初からアイデンティティセキュリティを組み込む必要がある」と彼は続けた。
