アート・ポゴシャンは、革新的なクラウドセキュリティプラットフォームで、マルチクラウド特権アクセスを自動化するBritiveのCEO兼共同創業者である。
まばたきする間に。それほど急速にエージェント型AIが採用されている。ガートナーの報告によると、2024年には企業向けソフトウェアアプリケーションの1%にエージェント型AIが含まれていた。2028年までにその数字は33%に達し、日常業務の意思決定の15%が自律的に行われるようになると予測されている。
しかし、間違いなく企業にとって効率化の夢となるものが、アクセス制御などの分野で適切な保護策を実装できない企業にとっては、セキュリティの悪夢に変わる可能性がある。アラゴン・リサーチの新しいレポートによると、エージェントの増加により「従来のアイデンティティおよびアクセス管理ソリューションでは管理が難しい機械アイデンティティが指数関数的に増加し、管理されていない拡散と過剰な権限付与のリスクにつながる」としている。
エージェント型AIは基本的なチャットボットよりもはるかに複雑だ。自律的な大規模言語モデル(LLM)を活用したワークフローに依存し、情報を収集し、意図を解釈し、API全体にわたって行動する。また、エージェント型AIは明示的な指示を待つだけではなく、自ら主導権を取る。
Google Calendar APIを利用して、自分の予定に基づいて自律的に会議をスケジュールしたり、Stripe APIを使用して代わりに支払いを処理したりすることができる。そして、これらのアクションを人間の介入なしに24時間体制で実行できる。
AIに関するあらゆることと同様に、その可能性は素晴らしいと同時に恐ろしいものでもある。それは、ほとんどの企業が現在使用しているアクセスモデルが、レガシーサービスアカウントや静的なボット向けに設計されているためだ。これらは、機密システムや大規模なデータセットにアクセスしてリアルタイムで行動する動的なエージェントを管理することができない。
AI搭載の旅行プランナーのようなマルチエージェントワークフローを想像してみよう。各エージェントにはタスクが割り当てられている。1つ目は、ユーザーがどこに旅行したいのか、いつ行きたいのかなどの好みを収集する。2つ目は旅程オプションを処理し、最後のエージェントは予約を行う。それぞれが異なるシステムにアクセスし、機密データを処理し、特定のアクションを実行する。
これらの機能により、アクセス管理はAIエージェントに対応するよう進化する必要がある。
隠れたリスク:認証情報、権限、可視性
では、マルチエージェントワークフローを展開する組織はどうなるのか、そしてどのようなリスクが予想されるのか?
• 永続的なアクセス:エージェントには特定のタスクを達成するための認証情報が与えられることが多いが、タスク完了後もそれらを保持し続け、攻撃者がすでに悪用している不必要な露出を生み出している。
• 過剰な権限付与:人間と同様に、エージェントにも過剰な権限が付与される可能性がある。これは、ユーザー、アプリケーション、システムに必要最小限のアクセス権のみを付与すべきという最小権限の原則に違反する。これが行われないと、データの流出や意図しない破壊的行為の可能性が高まる。
• ハードコードされた認証情報:リスクがあるにもかかわらず、APIトークンやサービスパスワードをコードベースに埋め込むことは依然として一般的だ。これにより大きなリスクが生じ、エージェント型AIがアクセスを獲得すると爆発的に増加する。
• 追跡されていないAIアイデンティティ:多くの組織では、AIエージェントに対して人間のユーザーと同レベルのポリシー、監査可能性、監視を適用していない。その理由は多岐にわたる—新規性、複雑さ、採用速度、ガバナンスフレームワークの欠如など。いずれにせよ、これは大きな懸念事項だ。
制御を取り戻すには、ゼロ・スタンディング・プリビレッジから始める
現在、攻撃者は特にCI/CDパイプラインや自動化インフラストラクチャにおいて、古くなった過剰に権限付与された認証情報を悪用している。IBMの2024年のレポートによると、盗まれたまたは侵害された認証情報を使用したサイバー攻撃は前年比71%増加している。
要するに、もはやマルウェアがドアを通って侵入するのではなく、認証情報の悪用であり、この課題に対処するための新しい動的アクセス制御モデルが登場している:ゼロ・スタンディング・プリビレッジ(ZSP)だ。その基本原則は、人間であれ非人間であれ、常にアクセス権を持つ者はいないということだ。アクセスは必要なときに必要なだけ付与され、割り当てられたタスクに正確にリンクされ、その後すぐに取り消される必要がある。
ZSPはゼロトラストの原則と組み合わせることができる:認証情報の有効期間は短く、認可は細分化され、手動でのプロビジョニングは自動化されたワークフローに置き換えられ、認証情報が侵害された場合でも、その有用性は時間的に制限され最小限に抑えられる。これらの原則はまた、チームに完全な可視性を提供し、すべてのアクセス要求が記録され、すべての権限が追跡可能であり、人間とエージェントの両方のアイデンティティが同じ方法で管理される。
AI旅行の例を使用して、ZSPがアクセスをどのように処理するかを見てみよう:
• 好みを収集するエージェントには、顧客データベースへの一時的な読み取り専用アクセス権が与えられる。完了すると、そのアクセス権は取り消される。
• マッチメーカーエージェントには、予約と価格データへの短時間のアクセス権が与えられ、顧客の好みに基づいていくつかの旅程オプションを作成できる。
• この時点で、ロジスティクスエージェントにはホテルと航空会社のAPIへの短時間の書き込みアクセス権が付与され、すべての予約を確認する。
• 最終ステップでは、コンプライアンスエージェントにログへのスコープ付きアクセス権が提供され、監査目的のみに使用され、必要な時間枠内でのみ使用される。
このプロセス全体を通じて、認証情報が永続的に保存されることはなく、どのエージェントにもタスクを実行するために必要以上のアクセス権は与えられない。企業はシステムが提供する完全かつリアルタイムの監査証跡を通じて、これらのやり取りを確認することもできる。
エージェント型AIにとって、アイデンティティが新たな境界線
エージェント型AIの採用は加速しており、静的な認証情報と常時アクセスに固執する企業は、急速に拡大する攻撃対象領域に直面している。また、エンフォースメントの拡張、脅威の軽減、コンプライアンスと監査の要求を満たす能力も欠如することになる。
ZSPは、これらの要求を満たすためのスピードとセキュリティの両方を提供することを目的としている。しかし、原則はシンプルであるものの、実際に実装する際には困難が生じる可能性がある。
ほとんどのチームは環境全体で静的な権限付与から始めるため、クリーンアップと適正化には時間がかかる場合がある。ZSPを実装するチームは、典型的な緊張関係を予想すべきだ:セキュリティはより厳格なアクセス制御を望み、開発者はスピードを求める。承認が遅いかツールが硬直的であれば、人々はそれを回避する方法を見つける。ZSPは、アクセスが動的で自動的、かつ実行時にコンテキストを認識する場合にのみ定着する。
技術的な障壁もある。チームは実行時の決定のためのポリシーモデル(ABAC/PBAC)、短期間の認証情報、そして「誰が何をいつどのような理由で行ったか」を把握するためのエンドツーエンドの観測可能性が必要だ。アクセスを付与すると主張しながら、実際には永続的な管理者アカウントへの一時的なアクセスを提供するだけで、本質的に常時リスクを解決していない「ジャスト・イン・タイム」(JIT)には注意が必要だ。
スケーラブルなZSPのメカニズムを整備する計画を立てよう:IdP統合、ポリシー・アズ・コード、クラウドネイティブAPIを通じたJITトークン発行、そしてリスクの高いアクションに対する人間によるループ内承認などだ。
もう一つの現実的な確認事項:ゼロトラストの展開は通常迅速ではない。ほとんどの組織はZSPを段階的に採用している。しかし、一度導入されれば、ZSPはチームが説明責任、最小権限、リアルタイムガバナンスを強制する保護策を備えた自律型AIエージェントを実装する力を与えることができる。
自律型エージェントは未来だ—しかし、それらはファーストクラスのアイデンティティとして扱われ、最も特権的な人間ユーザーと同じ厳格さで管理される必要がある
