数年前のエア・カナダのチャットボット事例は予兆だった。ボットが顧客に遺族割引運賃について誤った情報を提供し、エア・カナダは責任を否認しようとしたが、裁判所は航空会社がAIの行動に責任を負うと判断した。AIは同社のために働いていた。それだけだ。
この判例は、AIが単に質問に答えるだけでなく、シェルコマンドの実行、APIの呼び出し、コードの記述とデプロイ、本番システムへのアクセスといった行動を取るようになると、急速に複雑化する。イアン・リビングストン氏は、Keycardの共同創業者兼CEOとして、これを「致命的な三要素」と呼ぶ。高い接続性と高い権限を持つ自律システムが、意味のある制約なしに動作することだ。「データベースを削除したり、間違った場所から顧客データを持ち出したりすることを止めるものは何もない」と同氏は筆者に語った。「これは信じられないほどのセキュリティ問題だ」
筆者は、リビングストン氏とマイク・マローン氏(Smallstepの創業者兼CEO)と、今週発表された製品統合に先立って話す機会を得た。この統合は、Keycardのランタイムエージェントガバナンスと、Smallstepのハードウェアに根ざしたデバイスアイデンティティプラットフォームを組み合わせたものだ。両社は同じ問題の隣接する部分に取り組んでいる。そして製品発表自体は、実際の課題の大きさを過小評価している。
信頼モデルはエージェント向けに構築されていない
インターネットの大部分を支える現在のセキュリティモデルは、1つの前提に基づいて構築された。人間が誰であるかを確認し、その後は広範な暗黙の信頼を与えるというものだ。これは人間には判断力があり、さらに根本的には自己保存本能があるため機能した。人間は社会的な生き物であり、自分が依存するシステムを破壊しないという現実的なインセンティブを持っている。
「エージェントには暗黙の自己保存インセンティブがない」とリビングストン氏は述べた。「エージェントは単に、推論し、探索し、同時に多くの異なる経路を検索できる確率分布だ。これは自動化にとって非常に価値があるが、多くの副作用がある」
その実用的なバージョンは急速に展開される。SharePointディレクトリを検索するよう求められた人間の従業員は、指示された場所を探す。エージェントは、アクセス権を持つ他のすべてのディレクトリを見つけ出し、それを機械速度で実行する。アクセス制御における未知の未知数は急速に発見される。それをその方法で発見したかったかどうかは別の問題だ。
これは責任問題でもある。リビングストン氏はクレジットカード処理業者の例を挙げた。エージェントがユーザーが意図しなかった取引を実行した場合、誰が責任を負うのか──ユーザーか、エージェントを構築した開発者か、それともプラットフォームか。現時点では明確な答えはなく、何が起こったかを再構築するための監査証跡さえ存在しないことが多い。
同じ問題の2つの異なる部分
Keycardの焦点はランタイムガバナンスだ。エージェントが実際に何をできるかについて、実行中にポリシーを適用する。このプラットフォームは、ツール呼び出し、認証情報の発行、タスクレベルでのアクセス範囲を管理する。認証情報は一時的なものだ。エージェントは特定のタスクに必要なものを取得し、それだけだ。セキュリティチームへの訴求点は、ガードレールがインシデント後に追加されるものではなく、最初からエージェントワークフローに組み込まれていることだ。
Smallstepは異なるレイヤーに対処する。現在、ほとんどのAIエージェント認証はOAuthまたはAPIキーで実行されている。マローン氏は両方を本質的に「単一要素パスワード、共有秘密アプローチ」と説明した。Keycardとの統合により、特定の信頼できるデバイスにハードウェアバインドされた証明書ベースの認証が追加される。アイデアは、エージェントセッションが認証情報を取得する前に、実行されている環境が認証に合格する必要があるというものだ。
Smallstepのプラットフォームは、グーグルと共同で開発されたプロトコルであるACMEデバイス認証を使用する。これは、最新デバイスに搭載されているTPMまたはSecure Enclaveチップに依存して、ハードウェアアイデンティティを暗号的に検証する。これは、マローン氏が30年前のパスワードベースのデバイス認証の基盤と説明したものを置き換える。「古いモデルでは、攻撃者はシステムを攻撃するためにユーザーになりすますだけでよい」と同氏は述べた。ハードウェアバインド認証情報では、特定のデバイスへの物理的な存在が必要になる。
統合はこれらを結びつける。Keycardはエージェントが何を許可されているかを管理し、Smallstepは認証情報が発行される前にセッションが実際に信頼できるインフラストラクチャ上で実行されていることを検証する。認証なし、証明書なし、アクセスなしだ。
同意ダイアログの問題
目標は、エージェントを有用性を失うほど厳しくロックダウンすることではない。リビングストン氏はこれについて率直だった。「すべての判断を人間に押し戻す世界を持つことはできない」と同氏は述べた。「そうでなければ価値がない。同意で死ぬだけだ」
ほとんどのCISOが到達する実用的な出発点は、リビングストン氏によれば、かなりシンプルだ。エージェントに削除を許可しないこと。本番環境に触れるものを書き込みまたは更新する場合は、人間をループに入れること。最低限、何が起こったか、誰が──または何が──決定を下したかを再構築できるほど詳細な監査証跡を保持すること。
マローン氏はハードウェアバインド認証情報について関連する指摘をした。これらはセキュリティ上の問題と同じくらいユーザビリティの問題を解決する。デバイスが継続的かつ暗号的に自身を認証するため、セッションの有効期間を延長できる。ユーザーは頻繁に再認証する必要がない。Snapは、Smallstepのプラットフォームを導入し、実際にセキュリティ態勢を改善しながらログインの摩擦を減らすためにこれを使用した企業の公開例だ。
ポリシーだけでなく、インフラストラクチャの問題
エージェント型AIは、人間がポイントアンドクリックし、最終的な判断の裁定者として機能することから、エージェントが我々に代わって判断を下すことへのシフトだ。そのシフトのためのセキュリティインフラストラクチャは、まだほとんど存在していない。リビングストン氏は欠けているプリミティブという観点でこれを表現した。「ウェブには実際にはアンドゥボタンがない」と同氏は述べた。「過去30年間、ソフトウェア設計において人間の判断に依存してきたため、これらの操作の一部を可能にする非常にシンプルなプリミティブが欠けている」
デバイスアイデンティティ側に関するマローン氏の見解も同様だ。これをうまく行うために必要な部品は、最近になってようやく揃った。TPMは現在、最新のハードウェアで標準となっている。アップルはACME-DAをネイティブにサポートしている。プロトコル作業は完了している。追いついていないのは、デバイスアイデンティティプログラムがユーザーアイデンティティプログラムと同じ注意に値するという組織の認識だ。「我々が話すすべてのセキュリティ組織は、20年間みんなが望んでいたことをついにやってくれてありがとうと言う」と同氏は筆者に語った。
責任問題、監査証跡のギャップ、機械アクターのために範囲設定されたことのないアクセス制御──これらは製品発表で解決される問題ではない。しかし、組織がそれを認める準備ができているかどうかにかかわらず、セキュリティロードマップに載せる必要がある問題だ。
