セキュリティレポートで99%という数字を目にすることは通常ない。しかし、米国のCISO(最高情報セキュリティ責任者)500人を対象とした新たな調査で明らかになったのは、まさにその数字だ。2025年、SaaSまたはAIエコシステムに関連したセキュリティインシデントを少なくとも1件経験した組織は99.4%に上った。インシデントゼロと回答したのはわずか3社。たった3社である。
Consensuswideが実施したこの調査は、主要な業界分野全体で従業員数500人から1万人の企業を対象にした。セキュリティ態勢、ツール、インシデント、備えについて17の質問を行った。これらの組織は、インシデントが発生した時点で、1社あたり平均13種類の専用セキュリティツールを運用していた。調査で最もセキュリティ投資が大きかった金融サービス企業は平均15.6種類のツールを導入していたが、それでもSaaSのサプライチェーン攻撃を、全業界平均を26%上回る割合で経験していた。
脅威は移動した
筆者は、Vorlonの共同創業者兼CEOであるアミール・カヤットと、このデータが示すものについて話す機会を得た。彼の説明は、企業のワークフローが根本的に変化したこと、そしてセキュリティ監視がそれに追いついていない理由から始まる。
従来のSaaS自動化は決定論的である。つまり、「もしこれなら、次にあれ」といった具合だ。変数が変わった瞬間に破綻する。AIエージェントは異なる働きをする。大規模言語モデルを使って意図を解釈し、エッジケース(想定外の状況)をその場で処理し、ハードコードされた経路ではなくリアルタイムの目標に基づいてツールやAPIを選択する。これにより、既存のセキュリティツールが想定していない監視の問題が生じる。
「振る舞いが決定論的であれば、通常を定義し、逸脱に対してアラートを出せる」とカヤットは述べた。「エージェントが推論しながらワークフローを進める場合、行動のベースラインを確立すること自体が根本的に異なる問題になる」
多くの企業のセキュリティアーキテクチャは、カヤットが「正面玄関」と呼ぶものを中心に構築されてきた。ユーザーログイン、認証情報の検証、権限監査、ネットワーク境界の制御である。そこには2つの明確な入口があった。ブラウザから入る人間のユーザーと、インフラレベルでのサービス間APIだ。CASB(クラウドアクセスセキュリティブローカー)、WAF(Webアプリケーションファイアウォール)、クラウドセキュリティ態勢管理(CSPM)のようなツールは、こうしたパターンのために作られている。振る舞いは十分に予測可能であり、通常を定義して逸脱を検知できた。
しかし、エンジンルームはまったく別の状況である。例えば、AIエージェントが日常的なITチケットを解決する際、人の関与なしに、Okta、Slack、GitHub、DocuSign、給与プラットフォームをまたいで、IDシステム、権限、設定に自律的に触れることがある。しかも数分のうちに起きる。各システムはそれぞれの断片をログに残すだけで、全体像を誰も把握できない。エージェントは既知のパターンに従っているのではなく、進行しながらパターン自体を決めている。これは不審なログインには見えない。設定アラートも引き起こさない。
問いの立て方が間違っている
多くの企業が運用しているツールは、特定の問いに答えるために作られている。設定はどうなっているか、誰がどの権限を持っているか、何かが誤設定されていないか。これらは価値のある問いだ。だが、AIエージェントが正当なOAuth認可済みの連携を通じてデータを動かしているときには、適切な問いではない。
その状況で重要なのは、当該エージェントが実際に何をしているのか、どのデータに触れているのか、そしてその振る舞いが認可された内容と整合しているのか、という問いである。カヤットの言葉を借りれば、「15個運用していても、その活動に対して盲目のままだ」
CISOに対し、11の具体的な機能面の制約についてツールを評価してもらったところ、83%から87%の組織が、そのすべてに何らかの制約があると回答した。11項目全体での差はわずか4ポイントに収まっている。これは、特定のベンダーが他を凌駕している証拠ではない。カテゴリー全体が同じ前提のもとに構築され、その前提がエージェント的レイヤーでは成り立っていないことの証左である。
自信と現実に起きたこと
調査対象のCISOの約90%は、強固または包括的なOAuthトークンガバナンスを実施していると主張した。だが同年、27.4%は侵害されたOAuthトークンまたはAPIキーを通じて侵害を受けている。約79%は、SaaSとAI全体にわたる包括的でリアルタイムなデータフローのマッピングを実施していると回答した。しかし、86.8%は、AIツールがSaaSアプリケーションとどのデータをやり取りしているのか実際には見えていないと答えた。これらの数値が同時に真であることはあり得ない。
カヤットは、その原因を、設定レイヤーのガバナンスと実行時(ランタイム)ガバナンスの違いに求める。多くの組織は、どのトークンが存在するかを把握し、権限を監査し、手動でトークンを無効化できる。だが、アクティブなトークンが意図したスコープに沿って一貫して使われているか、あるいはトークンの振る舞いが逸脱していないかについての可視性は持っていない。トークンが存在することを知るのと、いま何をしているかを知ることは同じではない。
人間以外のID(ノンヒューマンID)の活動を追跡するITDR(ID脅威検知・対応)プラットフォームも、同じ壁に突き当たる。通常、認証レイヤーで止まってしまうからだ。エージェントがログインしたことは分かる。だが、内部に入った後にデータをどう扱ったか、何を照会し、何を移動し、どこへ送ったのか、それらがスコープ内だったのかは分からない。CISOの83.4%は、人間の振る舞いとノンヒューマンの振る舞いを区別することが、ツールの現状の制約だと回答した。この数字は、いま企業のAIセキュリティを語るあらゆる場で取り上げられるべきだ。
予算は増えてもアーキテクチャは同じ
組織の86%超が2026年にSaaSセキュリティ支出を増やす計画だ。84%はAIセキュリティ支出を増やす計画である。同じツールカテゴリーに予算を投じても、結果は同じになる。99.4%という侵害率は、平均13種類のツールがある状態で起きた。正面玄関を監視する14個目のツールを追加しても、エンジンルームでは何も変わらない。
カヤットの主張は、必要なのはレイヤー自体の変更だという点にある。設定監査から実行時監視へ。ログインパターンではなくデータの相互作用を中心に据えた行動ベースライン。単なる棚卸しではなく実際の利用に紐づいたリアルタイムのトークンガバナンス。そして、何かが起きた後に、接続されたすべてのシステムにまたがるエージェント活動のフォレンジックなタイムラインを再構成できる能力である。サプライチェーン攻撃がSaaS連携を通じて実行されると、影響範囲はそのトークンがアクセスを認可されていたすべてのシステムに及ぶ。その再構成能力がなければ、是正範囲の特定や、規制に基づく開示期限の遵守は、本来必要な以上に難しくなる。
