AI(人工知能)はもはやバックグラウンドプロセスではない。AIはソフトウェアとスタッフの境界線を曖昧にするような方法で行動し、判断し、相互作用している。カスタマーサポートボットから開発アシスタントまで、AIエージェントは現在、人間の従業員と同じアクセス権限を持って、直接ワークフローに参加している。この変化は、静かにアイデンティティセキュリティを再定義している。
リック・スミス氏(Oktaのプロダクト・テクノロジー部門社長)は、私との会話で簡潔にこう述べた。「私たちは顧客を保護するための新たな要素を手に入れました。それはこれらのエージェントの普及であり、彼らをユーザーとして扱うべきだということです」
この視点は、AIを新しいクラスのユーザー—従業員のように振る舞いながらも機械の速度で動作するユーザー—として再定義している。しかし、ほとんどの組織はAIを単なる別のアプリケーションやバックグラウンドサービスとして扱っている。開発者はAIシステムが企業リソースとやり取りできるようにAPIキーやサービスアカウントを提供するが、これらの認証情報は人間のアカウントに使用されるのと同じ管理なしに、無期限に存続することが多い。
自動化が説明責任を上回るとき
スミス氏は、このような放任的なアプローチは危険だと警告する。彼は、企業は通常、新入社員を管理・監視するためのプロトコルを整備しているが、AIエージェントは同じ精査や監視を受けていないと指摘した。「それは、誰かを路上から連れてきて、ただ中に入れて、たくさんのものへのアクセス権を与えるようなものです」
この比喩は誇張ではない。最新のAIシステムは、データの取得、コードの作成、独立した行動の開始が可能だ。可視性や制限がなければ、不正な変更を行ったり、機密データを公開したり、既存の脆弱性を増幅したりする可能性がある。
デン・ジョーンズ氏(909Cyberの創業者兼CEO)はその点を強調した。「AIシステムがログインしてデータを取得したり、行動を起こしたりできる瞬間から、それは認めるか否かにかかわらず、あなたのアイデンティティファブリックの一部となります」と彼は述べた。「問題は、ほとんどの組織がAIをインサイダーではなく、インフラのように扱っていることです。機械のアイデンティティに対して、人間と同じガバナンス、可視性、行動制御を適用するまでは、同じ間違いをより速く犯す方法を作っているだけです」
スミス氏は、この力学がサイバーセキュリティにおける長年のパターンを反映していると指摘した。新しいテクノロジーが登場し、採用が加速し、セキュリティがその後を追う。違いは、AIが人間よりも指数関数的に速く動作することだ。かつては軽微な問題を引き起こしていた監視の欠如が、今では数秒以内に大規模な侵害へと拡大する可能性がある。
境界は変わった—しかしアイデンティティは変わっていない
スミス氏は、アイデンティティが常に弱点だったと強調した。
この洞察は、サイバーセキュリティ分野全体の現在のトレンドと共鳴している。攻撃者は引き続き、侵害された認証情報、フィッシング、ソーシャルエンジニアリングに依存している—なぜなら、アイデンティティを手に入れれば、事実上組織の一員になれるからだ。現在、非人間のアイデンティティが増殖するにつれて、同じリスクがAIエージェントや自動化システムにも適用される。
アイデンティティは依然としてセキュリティのコントロールプレーンだ。変化しているのは、誰が—あるいは何が—制御される必要があるかということだ。
機械がミスを犯すとき
リスクは悪意のある使用に限定されない。善意のAIでさえ、害を引き起こすエラーを犯す可能性がある。大規模言語モデルやその他のAIシステムは確率論的に動作する—決定論的な選択をするのではなく、結果を予測する。AIからの出力は、本質的に「最善の推測」だ。
「LLMは人間と同様に不完全です」とスミス氏は言う。「私たちは人を雇い、彼らはミスを犯します。今や私たちは、より少ないミスを犯す、より効率的な人を雇うことができますが、彼らもまだミスを犯します」
この類推は、AIを完璧な機械ではなく、欠点を持つ従業員として再定義している。AIエージェントは、指示に従っていると信じて、データを誤分類したり、重要なファイルを削除したり、機密情報を共有したりする可能性がある。そして、人間よりも速く動作するため、小さなミスでも誰かが気づく前にシステム全体に連鎖的に広がる可能性がある。
AIアイデンティティ時代のガードレールの構築
この課題に対応するために、組織はアイデンティティフレームワークを非人間ユーザーにまで拡張する必要がある。つまり、従業員に使用されるのと同じ原則—オンボーディング、アクセスプロビジョニング、行動監視、オフボーディング—をAIシステムにも適用することを意味する。
スミス氏はこれを基本的な転換と表現した。「これは、顧客の保護を支援するために新たな制御を獲得する必要がある、多くの新しいユーザーです」
AIアイデンティティの管理には、継続的な可視性とリアルタイムで行動パターンを分析する能力が必要となる。それは単に誰が—あるいは何が—行動しているかを確認するだけでなく、その行動が意図と一致していることを確認することでもある。
信頼の未来
AIは膨大な可能性をもたらすが、新たなリスクも伴う。デジタル境界は消滅したわけではなく、企業に導入される新しい機械のアイデンティティごとに増殖している。AIを考慮してアイデンティティシステムを進化させる組織は、より安全にイノベーションを起こす態勢が整うだろう。
この新時代において、サイバーセキュリティは単に外部の攻撃者から防御することだけではない。それは、自律システムがどれほど知的であっても、他のすべてのユーザーを統治するのと同じ信頼、透明性、制御の原則に対して説明責任を持ち続けることを確保することでもある。
