イタマール・アペルブラットはToken SecurityのCEO兼共同創業者であり、連続起業家、そして元イスラエル国防軍8200部隊のサイバーセキュリティリーダーである。
最近話をするCISOは皆、同じ現実を認識している:AIエージェントはもはや実験段階ではない。それらはITワークフロー、サービスデスク、顧客オペレーション、さらにはソフトウェア開発パイプラインにも組み込まれている。意図的に導入されるものもあれば、シャドーAIとして静かに立ち上がるものもある。いずれにせよ、どの組織も無視できないペースで増殖している。
この規模拡大は、アイデンティティライフサイクル問題という新たなセキュリティリスクをもたらす。明確な入社・退社プロセスが定義されている人間のユーザーとは異なり、AIエージェントはしばしばアドホックに作成され、無期限に実行され続け、当初の設計を超えて進化することが許されている。時間の経過とともに、特権を蓄積し、予期せぬ方法で適応し、時には作成された目的自体よりも長く存続することがある。適切に管理されなければ、ゴーストアイデンティティとなる:目に見えず、管理されておらず、高リスクな存在だ。
オンボーディングの問題
AIエージェントが「誕生」するとき、通常は特定のタスク—顧客チケットの要約、アラートのトリアージ、四半期報告の支援など—のために立ち上げられる。理論上は、そのアイデンティティはアクセスできるシステム、実行できるアクション、存続期間を制限する明確な範囲で提供されるべきだ。実際には、ほとんどのチームはエージェントのオンボーディングに標準化されたプロセスを持っていない。
私が話した多くの組織は、開発者のショートカットに依存している:人間の認証情報の再利用、静的トークンの埋め込み、断片化されたアイデンティティシステムをナビゲートするよりも速いという理由での広範なアクセス権の付与などだ。これはDevOpsの初期のサービスアカウントで起きたことと似ているが、AIエージェントははるかに高速で自律的に動作する。不適切に範囲設定された認証情報は、1分間に何千回も悪用される可能性がある。
結果として、所有権とガードレールなしで生成されるエージェントが生まれる。それらは常設の特権、有効期限なし、追跡可能な所有者なしで環境に入る。最初の瞬間から、すでにガバナンスの失敗となっている。
エージェント特権のドリフト
オンボーディングが問題であるなら、ドリフトはさらに悪い。これは、エージェントが当初の目的を超えて存続し、徐々にその範囲を拡大する場合に起こる。
パスワードリセットを解決するように訓練されたサービスデスクエージェントを考えてみよう。時間の経過とともに、隣接するワークフローとリンクされる:アイデンティティのロック解除、アカウントのプロビジョニング、さらにはHRシステムなど。強力なポリシーガードレールがなければ、各接続により特権が追加される。狭い範囲で始まったヘルパーが、誰も意図していなかったアクセス権を持つ強力なアクターへと進化する。
これらの「有害な組み合わせ」の特権自体が深刻な脅威をもたらす。しかし、2つのエージェントが協力し始めるとどうなるだろうか?インフラストラクチャエージェントがリソースをプロビジョニングし、CI/CDエージェントがコードをデプロイし、両方が管理者レベルの認証情報を保持するシナリオを考えてみよう。一緒になると、単一のシステム所有者が決して許可しなかった悪用の経路を作り出す。
ドリフトは特に懸念されるのは、それが段階的だからだ。個々の決定は単独では危険に見えない。数週間、数ヶ月、あるいは数年にわたる蓄積がリスクを生み出す。
孤立アイデンティティの危機
エージェントライフサイクルの最終段階は退職であり、ここで多くの組織がすでに苦戦している。人間のユーザーにはHR主導のオフボーディングがある。契約社員には終了日がある。AIエージェントはしばしば忘れられる。
古いプロジェクトに関連するエージェントはバックグラウンドで生き続ける。トークンは有効なままだ。ワークフローは自動操縦で実行され続ける。セキュリティリーダーは、チームがどのエージェントが存在するのかさえ知らないことが多く、まして活動を続けるべきかどうかも分からないと認めている。あるいはさらに悪いことに、エージェントを無効化するとオペレーション停止を引き起こす可能性があるかどうかも分からない。シャドーAIは単なるバズワードではなく、日々の運用上の頭痛の種となる。
これらの孤立したアイデンティティは攻撃者の主要なターゲットだ。1つを侵害すれば、アクセスだけでなく正当性も継承できる:企業内で信頼されているように見えるが、その想定所有者によってもはや監視されていないアカウントだ。
ギャップを埋める
では、組織はエージェントライフサイクルの問題にどう対処すべきか?それは新しい考え方から始まる。AIエージェントは静的なサービスアカウントやバックグラウンドデーモンではない。それらは、人間のユーザーと同じ、あるいはそれ以上の厳格なガバナンスを必要とする動的で自律的なアクターだ。
CISOとアイデンティティアーキテクトが優先すべき4つの実践的なステップを紹介する。
オンボーディングの自動化:エージェントはハードコードされた認証情報や継承された人間のトークンで作成されるべきではない。最初からアイデンティティ、ポリシー、有効期限を割り当てる自動プロビジョニングパイプラインを確立する。AIエージェントのライフサイクルは制御されなければならない。
継続的なポリシー適用:ドリフトは権限が常に再評価される場合にのみ抑制できる。これには動的な権限、超短期間のシークレット、エージェントのアイデンティティと代表する人間の両方を考慮するデュアルコンテキストモデリングが必要だ。すべてのアクションは機械速度でポリシーチェックされるべきだ。
有害な組み合わせ分析:個々の特権だけを評価するのではなく。グラフベースの分析を使用して、限られた権限を持つ複数のエージェントが組み合わさって危険な経路を形成する場合を特定する。これにより、特権の拡散がシステム的な弱点になる前に検出できる。
廃止の自動化:退職はライフサイクル管理に組み込まれるべきだ。エージェントはタスクが終了するとすぐに無効化され、キーが取り消され、監査ログが封印されるべきだ。孤立したアイデンティティはバックグラウンドで存続するのではなく、アラートをトリガーすべきだ。
私たちはこのような転換点に以前も直面してきた。例えば、サービスアカウントの爆発的増加、クラウドアイデンティティの台頭、SaaSの拡散などを管理することを学んだ。そのたびに、迅速に適応した組織は回復力と信頼を獲得した。そうでなかった組織は、しばしば侵害やブランドダメージの被害者となった。
AIエージェントは次の章だ。誕生、ドリフト、退職は、人間のユーザーに適用するのと同じ厳格さで管理されなければならない。これがゴーストアイデンティティと有害な特権メッシュがAIの約束を損なうのを防ぐ唯一の方法だ。
