ゼロ・トラストをAIエージェントに拡大：「信頼せず、常に検証する」自律型エージェントへ

文：イド・シュロモ（トークン・セキュリティCTO兼共同創設者

組織がワークフローを合理化し効率を高めるためにAIアシスタントや自律型エージェントを急速に採用するにつれ、知らず知らずのうちに攻撃対象が拡大している可能性がある。AIエージェントは、ITオペレーション、カスタマーサービス・プロセス、LLMベースの社内ツールに組み込まれているかどうかにかかわらず、私たちの代わりに行動し、意思決定を行い、機密データにアクセスし、マシン・スピードで自動化されたアクションを実行する。

課題は何か？ほとんどのセキュリティ・フレームワークは、このような新しいエージェント・アクターを念頭に置いて構築されていない。私たちは何年もかけて、ユーザーとアプリケーションのためのゼロ・トラストを洗練させてきたが、今は難しい問いを立てる必要がある：ユーザーが自己管理するソフトウェアの一部である場合、どうなるのだろうか？

その答えは、ゼロ・トラストを人間や従来のサービスだけでなく、システム内で動作するすべてのAIエージェントに適用するという新たなコミットメントから始まる。

Table of contents

自律エージェントの台頭
エージェント型AIの保護：トークン・セキュリティからの無料ガイド
「AIのための「信頼せず、常に検証する
過剰なエージェントのリスク
ボトルネックのないガードレールの構築
CISOへの呼びかけアイデンティティでリードする

自律エージェントの台頭

何十年もの間、IDは人間中心の関心事だった。その後、独自のガバナンスを要求するサービスアカウント、コンテナ、API（マシンID）が登場した。そして今、私たちは次の進化に直面している。

AIエージェントは人間のような柔軟性を持ちながら、マシンのスケールと速度で行動する。静的なコードとは異なり、学習し、適応し、自律的な意思決定を行う。つまり、彼らの行動を予測することは難しく、アクセス要件はダイナミックに変化する。

しかし、今日これらのエージェントの多くは、ハードコードされた認証情報、過剰な権限、そして本当の意味での説明責任を持たずに運用されている。要するに、私たちはインターンに管理者バッジを渡し、迅速に行動するように指示しているのだ。

CISOがAIを安全かつセキュアに導入したいのであれば、これらのエージェントは、従業員やアプリケーションよりもさらに厳格に管理される一流のアイデンティティにならなければならない。

a.fl_button { background-color：#border：1px solid #3b59aa; color：#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin：4px 2px; cursor: pointer; padding：12px 28px; } .fl_ad { background-color：#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border：1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color：color: #333; line-height: 24px; font-family：font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding：10px 0 10px 10px; } .fl_rig { padding：10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding：0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

エージェント型AIの保護：トークン・セキュリティからの無料ガイド

AIエージェントは指示に従うだけでなく、行動を起こします。

行動、意図、説明責任を一致させる必要があるエージェント型AIの時代に向けて、トーケンセキュリティがどのように企業のアクセス制御の再定義を支援しているかをご覧ください。

ダウンロードはこちら

「AIのための「信頼せず、常に検証する

ゼロ・トラストは、「信用せず、常に検証する」というシンプルな原則から始まります。ユーザー、マシン、エージェントが侵入されることを想定し、アクセス元を問わず、すべてのアクセス要求が認証され、許可され、監視されることを要求する。

この哲学は自律エージェントにも完璧に適用される。これが実際にどのようなものかを紹介しよう：

アイデンティティ・ファーストのアクセス：すべてのAIエージェントは、ユニークで監査可能なIDを持たなければならない。共有クレデンシャルなし。匿名のサービス・トークンもない。各アクションは帰属的でなければならない。
デフォルトで最小特権： エージェントは、その機能に必要な最小限のアクセス権のみを持つべきである。あるエージェントが売上データを読むように設計されている場合、請求記録への書き込みや人事システムへのアクセスはできないようにする。
動的で、文脈に応じた実施：エージェントが進化し、タスクがシフトするにつれて、そのパーミッションは継続的に再評価されなければなりません。静的なポリシーは機能しません。何が、誰によって、どのような条件でアクセスされているかといったリアルタイムのコンテキストが意思決定の原動力となる。
継続的なモニタリングと検証： 自律的とは監視されないという意味ではない。エージェントは特権ユーザーのように監視されなければならない。新しいシステムへのアクセス、大量のデータの転送、特権のエスカレーションなどの異常な行動は、アラートや介入のトリガーとなるはずです。

過剰なエージェントのリスク

AIは、イノベーションを推進し、効率を改善し、競争上の優位性を生み出すために急速に導入されている。AIは危害を加えるつもりはないが、だからといって危害を加える可能性がないわけではない。

社内システムに広くアクセスできるヘルプデスクのエージェントを想像してみてほしい。チケット処理を自動化するように設計されているが、プロンプトのインジェクションや設定ミスによって、ユーザーのパスワードをリセットしたり、記録を削除したり、機密データを外部に電子メールで送信してしまう。

これは机上の空論ではなく、実際に起こっていることだ。AIエージェントは、新しい行動を幻覚で見たり、指示を誤解したり、想定外の行動をとったりすることがある。さらに悪いことに、攻撃者はこのことを知っており、AIインターフェースを侵害する方法を積極的に探っている。

これは、私たちが「過剰なエージェンシー」と呼んでいるもので、AIエージェントが持つべき以上の力を与えられ、その使用を阻止するためのガードレールが設置されていない状態です。

ボトルネックのないガードレールの構築

セキュリティの専門家は今、微妙な境界線を歩いている。一方では、イノベーションに力を与えたいと考えている。一方では、規律を徹底させる必要がある。このバランスは、AIにおいては特に微妙である。

その解決策は、拡張性のあるガードレールを設計することにある。つまり

スコープド・トークンと短期間のクレデンシャル：長期的な秘密の代わりに、スコープが狭く定義された期間限定のアクセストークンを発行する。漏洩した場合、トークンはすぐに失効し、被害は最小限に抑えられる。
段階的信頼モデル：すべての行動が同じとは限らない。ルーティンでリスクの低いタスクは自由に自動化できる。データの削除や資金の移動のようなリスクの高い操作には、人間による承認や多要素トリガーを必要とする。
アクセス制限をかける： エージェントがどこにでも電話をかけられるようにしない。厳格なアクセス・ポリシーとサービス・レベル境界を適用し、エージェントが自分のレーンにとどまることができるようにする。
明確なオーナーシップ：すべてのエージェントには、その目的、動作、権限に責任を持つ、社内の人間のオーナーが必要です。

このような管理を行うことで、セキュリティは障害ではなく、AIを実現するものとなる。

CISOへの呼びかけアイデンティティでリードする

私たちは、「ログイン」がもはや人間だけのものではない時代に突入している。エージェントはコードを書き、リスクを分析し、データを照会し、顧客とチャットする。アイデンティティ戦略においてエージェントを後回しのように扱えば、盲目的な信頼の上にシステムを構築することになり、それこそがゼロ・トラストが防ぐことを意図したものである。

CISOは率先垂範しなければならない。それは、ゼロ・トラストの枠組みを拡張して自律エージェントを明示的に含めることから始まる。そこから、IDファーストのAIセキュリティ・アーキテクチャ、モニタリング・ツール、人間以外のアクターを扱えるアクセス・ガバナンスに投資する必要がある。AIインフラストラクチャを拡張する場合、Token Securityはその過程でセキュリティを確保するのに役立ちます。

当社のチームによる技術デモを予約して、速度を犠牲にすることなくエージェント型AIのセキュリティを確保する方法をご覧ください。

セキュリティとはAIを止めることではありません。AIを安全に、予測可能に、そして説明責任をもって実現することなのです。

東建セキュリティがスポンサーとなり、執筆しました。