CyberArkの最高情報責任者(CIO)、オメル・グロスマン氏。
これまでサードパーティリスクといえば、ベンダーの乱立、共有認証情報、あるいは忘れ去られた連携機能などを意味していた。しかし2025年、真のリスクは、サードパーティが環境内に持ち込むものと、喜んで受け入れた内部脅威として、彼らが静かに壁の中で行っていることにある。
自律型AIエージェントは単なるベンダーツールの拡張ではない。彼らは接続して実行する権限を持った行為者であり、許可や許しを求めることはない。
もしあなたがまだソフトウェアの脆弱性について考えているなら、動的でアイデンティティを最優先とする防御に目を向けるべき時が来ている。
インターフェースから行為者へ
私たちは一つの境界線を越えた。AIツールはもはやプロンプトの処理にとどまらない。現在、AIは行動を開始する:顧客記録の更新、メールの作成と送信、部門間のファイル転送、さらにはクラウドリソースのプロビジョニングまで—人間を介さずに。そしてこの勢いは今後も加速すると予想されている。
CyberArkの2025年調査によると、すでに72%の従業員が業務でAIツールを使用しているが、59%の組織ではそれらに対するアイデンティティ管理が欠如している。これは、エージェント型AIのような機械駆動の自動化を、本来あるべき特権アクセス層として扱うことに体系的に失敗していることを示している。
例えば、モデルコンテキストプロトコル(MCP)のようなメカニズムを考えてみよう。これは「LLMツールアクセスのUSB-C」と考えることができ、AIエージェントが外部ツール、プロンプト、データに接続する方法を標準化している。実際には、AIエージェントが起動し、CRMに接続し、アカウントデータを取得し、予測を実行し、人間の介入なしに要約をメールで送信できることを意味する。これは強力だが、監視がなければ、同じパイプラインが機密記録を公開したり、誤った論理に基づいてアクションをトリガーしたりする可能性がある。
つまり、MCPは新たな攻撃対象領域も標準化している。MCPはエージェントが幅広いツールに接続しやすくすることで摩擦を減らすが、潜在的な被害範囲を広げる。アクセス権を付与されると、エージェントは設計上、システム全体で行動できる。そして、これらのツールやリソースを検証または制限するための普遍的に採用された信頼モデルがまだ存在しないため、アクセスが意図しない露出へと拡大する可能性がある。
開発者はすでに日常的なワークフローでローカルMCPサーバーを立ち上げており、これは今日のビジネスにとってアクティブなリスクとなっている。アイデンティティベースの制御がなければ?それはロジックレイヤーの無法地帯だ。
データ汚染を超えた自己増殖するリスク
1年前、恐れられていたのはサプライチェーン攻撃の次の形態としてのモデル汚染だった。トレーニングデータを改変し、出力を危険にさらす。しかし今、真の危険は制約のない大規模な自律実行にある。
アカウント更新を最適化するように設定された1つのツールが、誤って個人情報を間違ったシステムにプッシュしたり、意図しない金融取引をトリガーしたりする可能性がある。悪意からではなく、誰もリクエストやAIのアクセス範囲を適切に設定しなかったからだ。
言い換えれば、水を汚染することから、バルブをロックし忘れながらパイプに頭脳を与えることへと移行したのだ。
信頼の新たなスピード
エージェント型AIは新たな複雑さをもたらすが、自動化システムが問題を引き起こすのを以前にも見てきた。
スタックスネットは自動化を書き換えて、アラームを作動させることなく物理的な損害を引き起こし、論理は致命的であるために大きな音を立てる必要がないことを証明した。一方、SolarWindsに関連する侵害は、信頼されたベンダーを通じて配信された単一の侵害されたアップデートが、何千ものネットワーク全体に脅威アクターを埋め込んだとき、その原則を拡大した。
スタックスネットが遠心分離機にしたことを、侵害されたAIエージェントは収益パイプラインに対して行うことができる—ただし、より速く、より静かに、そして完全な特権アクセスを持って。本当に厄介なのは?AIエージェントは密輸される必要がない。彼らは本質的に正面玄関から入り、あなたのシステムと握手して仕事を始める。彼らは自己統合し、自己実行し、すべて承認を待つことなく。
管理されなければ、それは災害のレシピだ。OpenAIのCEOであるサム・アルトマン氏でさえ、過度のアクセスは危険であり、同社の新しいChatGPTエージェント機能におけるプライバシーとセキュリティリスクを軽減するために制限が必要だと警告している。しかし、セキュリティ研究者からの最近の投稿によると、この新機能はすでに独自の安全管理を回避しており—OpenAIが主張する「できないこと」に反して—「エージェント内のエージェント内のエージェント」を呼び出しているという。
シャドウエージェントと再帰的論理
AIエージェントは正式な展開を必要としない。ツール統合、ノーコードワークフロー、ユーザー自動化を通じて出現する。一度稼働すると、認証情報を持って行動し、環境全体に存続し、めったに追跡されない。
また、彼らは単独で行動しない。あるエージェントがAPIを呼び出し、それが別のエージェントをトリガーし、そのエージェントがセキュリティによって審査されていないツールからデータを取得するかもしれない。結果として、誰も完全に制御していない一連のアクションが生じ、一方の出力が他方の入力となる。
これが再帰的信頼であり、それは拡大する盲点だ。
機械のアイデンティティはすでに人間を82対1で上回っている。これらのアイデンティティの42%が機密データにアクセスできる。しかし、「特権」ユーザーとして範囲が定められているのはわずか12%だ。これはバッジを配布しながら、それらがすべて管理者レベルであることを忘れるようなものだ。リスクを減らしたわけではない。ただ追跡を失っただけだ。
これに加えて、新しいAIエージェント、プラグイン、非公認の自動化のすべてがあり、請求額は積み上がる。いつか近いうちに、その支払いが来るだろう。
エージェント型AIを保護することがアイデンティティセキュリティの課題である理由
この新しい攻撃対象領域を保護することは、AIエージェントを拒否することを意味しない。私たちは彼らを実際のものとして扱わなければならない:実際の力と速度を持つデジタル行為者だ。彼らはこれを念頭に置いて管理されなければならない。
1. 稼働中のものを追跡する。 エージェントがどこに存在し、何に触れ、誰が責任を持っているかを把握する。接続または行動するものは、アイデンティティセキュリティプログラムの一部であるべきだ。
2. アクセスを制限する。 MCPは急速に好まれる統合方法になりつつある。それはワークフローの一部ではなく、重要な新しいエントリーポイントとなる。これらの接続を適切に保護する。
3. 行動制御を確立する。 AIエージェントは速く動き、セキュリティもそれに合わせて動く必要がある。行動、リスクレベル、ビジネスロールに焦点を当てた動的な境界を設定し、陳腐化する可能性のある静的ルールを避ける。
エージェント型AI:まだ精査していない第三者
AIエージェントはすでに企業のワークフローに組み込まれ、あなたが承認していない可能性のある認証情報を通じて、あなたが審査したことのない統合を通じてアクションをトリガーしている。それらを保護することは基本的なAIガバナンスを超えている。
それは環境内で誰が—または何が—行動しているかを明示的に知ることについてだ。
それがエージェント型AIをサードパーティリスクの問題、そして巨大な内部脅威にしている。そしてアイデンティティを最優先する組織が、最も繁栄する準備が整っているだろう。
