AI搭載の検索ツールは、質問を入力するだけで組織全体から最も関連性の高い情報を即座に表示するという、魅力的な機能を提供します。効率的で直感的であり、すでに人々の働き方を変えつつあります。しかし、この発見の容易さは、多くの企業が気づいていなかった問題も明らかにしています。彼らのアクセスモデルは、このような摩擦のない可視性を想定して設計されていなかったのです。
何十年もの間、機密文書が保護されていたのは、権限が完璧に調整されていたからではなく、それらを見つけるには労力が必要だったからです。ユーザーは正確なファイル名、適切なキーワード、または正しいフォルダパスを知る必要がありました。何かの存在を知らなければ、偶然それに出くわす可能性は低かったのです。
AIはその不明瞭さの層を取り除きます。「最大の財務リスクを見せて」というような漠然とした要求でも、SharePoint、クラウドドライブ、オンプレミスサーバー、メールアーカイブ、SaaSツールなど、ユーザーのアイデンティティが技術的にアクセスできるあらゆる場所に散らばったファイルを表示できます。
ミッキー・ブレスマン氏(SemperisのCEO)によると、その区別—「技術的に」—こそが問題の始まりだといいます。
AIは新しいアクセス権を作らない — 忘れていた古いアクセス権を露呈させる
ほとんどの企業には、Active Directory、Entra ID、Okta、クラウドアプリケーション、レガシーシステムにわたって蓄積された何年もの「アイデンティティ負債」があります。グループは利便性のために再利用され、一時的な権限は作成された目的のプロジェクトよりも長く存続しました。移行によって古い複雑さの上に新しい複雑さが重ねられました。
AI検索は、これらの設定ミスを見えないようにしていた古い階層構造を尊重しません。単にユーザーやサービスアカウントが直接または間接的にアクセスできるものを調べ、それを回答に組み込むだけです。
最近のTechSpectiveポッドキャストエピソードで、ブレスマン氏はこの現実に気づいた瞬間について次のように述べています。「あるお客様は『そのようなファイルが存在することさえ知らなかった—そして私は確実にそれらのファイルにアクセスすべきではない』と言いました。AIがそれをすべて浮き彫りにしたのです」
これが組織が現在直面している核心的な緊張関係です。AIは発見可能性を拡大します。一方、アイデンティティシステムは20年間蓄積された混乱の上で依然として運用されています。
コンテキストがセキュリティリスクになる
ブレスマン氏は典型的なシナリオを説明しました。複数のフォルダの奥深くに埋もれた機密ファイルが、古いグループ構造から一部の権限を継承しています。ユーザーは親フォルダを閲覧できないため、そのファイルを見たことがなく、見ることもなかったでしょう。
AIでは、発見はもはや閲覧に依存しません。パスは必要ありません。ファイル名も必要ありません。必要なのは質問の背後にあるコンテキストだけです。
この変化により、多くの企業が気づかないうちに頼っていた偶発的な保護が消えてしまいます。
攻撃者はさらに恩恵を受けます。侵害されたアカウントはもはや手動での偵察を必要としません。単一のプロンプトでそのアイデンティティがアクセスできるすべてのものを表示し、横方向の移動を容易にする要約も提供できます。
アイデンティティが新たな発見レイヤーに
AIがユーザーのアイデンティティに紐づけられたあらゆるシステムにアクセスできるなら、アイデンティティが新たな発見プレーンとなります。重要な問題は、もはや機密ファイルを開くことができる人だけでなく、数回のクリックで自分自身にアクセス権を割り当てることができる人も含まれます。
多くの環境では、後者のグループは前者よりもはるかに大きく、追跡も困難です。
一つの解決策は、より良い衛生管理です。明確な機能や所有者がないグループを削除することから始めましょう。
もちろん、ITチームが認識していない何らかの不明瞭だが重要な機能をそのグループが持っている可能性もあります。ポッドキャストでブレスマン氏はこの課題をユーモアを交えつつも真実を述べています。「問題は見えているのに、触るのを恐れている。冗談で『悲鳴テスト』と呼んでいます—グループを削除して、誰が悲鳴を上げるか待つのです」
ガードレールやロールバックオプションがなければ、セキュリティチームは権限のクリーンアップをためらいます。このためらいは、AIツールがシステム内のすべての権限から情報を引き出し始めると、脆弱性となります。
AI対応データにはAI対応セキュリティが必要
今後、組織はアイデンティティとデータガバナンスを統合された機能として再考する必要があります。つまり:
- 真に機密性の高いものをマッピングする
- それにつながるすべての経路—直接的および間接的—を理解する
- 過剰なアクセスを安全に削減する
- ドリフト、予期せぬ変更、ネストされたグループの爆発的増加を監視する
- アイデンティティをAI時代のアクセスの中心的な実施ポイントとして扱う
AIは間違いなく生産性を加速させています。しかし同時に、不適切に調整された権限、忘れられたグループ、利便性の名の下に行われた過去のアクセス決定のすべての可視性も加速させています。
今アイデンティティ負債に対処する企業は、自信を持ってAIを採用できます。そうでない企業は、何が間違っていたかに気づく前に、最も機密性の高いデータがAIが生成した要約に表示されることになるかもしれません。
