従来のIAMが通用しない 自律型AIが招く「静かなセキュリティ崩壊」をどう止めるか：「セマンティックピボット」の衝撃

多くの企業で、AIエージェントなどの「非人間アイデンティティー」が社員数を上回りつつある。だが、従来の権限管理（IAM）では、正当な権限を悪用して目的外のデータに触れる「セマンティックピボット」を防げない。法規制が強まる中、情シスに求められるのは「誰が」ではなく「なぜ」を制御する新時代のガバナンスだ。

[Lee Howells and Andrew Peel，Computer Weekly]

　セキュリティ境界としてのアイデンティティーは、もはや従業員だけで定義されるものではない。従業員に代わって行動するあらゆる要素によって定義されるようになっている。その多くには名札も、直属の管理者も、退職プロセスも存在しない。

　大半の大企業では、非人間アイデンティティー（NHI）の数が既に人間のユーザー数を上回っている。「エージェント型AI」の登場は、この課題を単に拡大させるだけでなく、その本質を根本から変えようとしている。

　エージェントとは、自律的な推論能力を持つ実体だ。システムの照会や意思決定、重大なアクションを大規模かつ継続的に、許可を得ることなく実行できる。現在のガバナンスモデルは、こうした存在を管理するようには作られていない。情シスに求められるのは「誰が」ではなく「なぜ」を制御する新時代のガバナンスだ。

エージェント時代のアイデンティティー

「AIとガバナンス」に関連する編集部お薦め記事

　従来のアイデンティティーアクセス管理（IAM）は、人間のライフサイクルを中心に設計されている。組織に加入することもなければ離れることもない実体を統制するには、ほぼ適していない。

　エージェントのセキュリティ確保には、静的なアクセス権限の設定を超えたアプローチが必要だ。リアルタイムで挙動を監視し、ゼロトラストの原則を適用し、同時並行で稼働する数千もの短命なエンティティを管理できる拡張性を持ったシステムが求められる。

　NHIには、個別のガバナンスが必要な2つのカテゴリーがある。第1は、人間のユーザーを拡張するエージェントだ。承認された意図の代理として、ユーザーの認証情報で動作する。より危険な第2のカテゴリーは、ワークフローに直接組み込まれるものだ。独立した権限を持ち、特定の個人が責任を負わない。

　この区別が重要なのは、現在のIAMの根本的な弱点を露呈させるからだ。「誰がアクセス権を持つか」に基づくガバナンスでは、そのアイデンティティーが「何をしようとしているか（意図）」までは統制できない。

　初期の導入事例では、既に失敗のパターンが現れている。例えば、取引台帳への読み取り権限と差異テーブルへの書き込み権限を持つ「勘定照合エージェント」を想定する。このエージェントが複雑なエラーに遭遇した際、推論エンジンが「富裕層の口座データと比較すれば解決できる」と結論付けたとする。

　この場合、エージェントは本来の任務を超えて、顧客の資産プロファイルなどを自律的に照会し始める可能性がある。IAMモデルには権限の範囲しかなく「意図の境界」が定義されていないため、全てのAPIコールは技術的に正当なものとなる。従来のログは「何が起きたか」しか記録せず、この失敗は不可視だ。

　これを「セマンティックピボット（意味的転換）」と呼ぶ。有効なアクセス権を使い、アクセス制御に違反することなく、未承認の活動へと転換する現象だ。既存ソリューションの多くは未承認ユーザーを止めるためのものであり、承認されたエージェントによるこの挙動は防げない。これは設定ミスではなく、アーキテクチャ上の欠陥である。

企業が取るべき対策

　エージェント型アイデンティティーの管理には、動作の継続的な監視が必要だ。文脈に応じた動的なアクセス決定を行い、ポリシーベースのガードレールで最小権限を強制しなければならない。

　ゼロトラストは活動を継続的に検証するが、それだけではセマンティックピボットの溝を埋めることはできない。自律的な推論エンジンを抑制するには、「侵害前提」の考え方をリアルタイムの封じ込めに変換する仕組みが必要だ。

　具体的には、ゼロトラストと「意図拘束型認可（IBA）」を組み合わせた成熟度モデルが必要になる。要求が事前に登録された目標と一致する場合にのみアクセスを許可する手法だ。このモデルには「自律性の深淵（しんえん）」と呼ばれる、2つのレベルがある。

　レベルAは「保護されたアカウント」だ。専用のサービスアカウントを使い、認証情報を隔離してログを取得する。アカウント自体は安全だが、エージェントの「代理権」までは保護されていない。

　レベルBは「保護された代理権」だ。全てのAPIコールに意図のメタデータが付随し、「アクセス制御」が「意図制御」へと進化する。例えばエージェントは、宣言された意図が「照合」である場合にのみ、財務台帳へのアクセスが許容されるようになる。

サンドボックスの定義

　アーキテクチャ上の溝を埋めるには、動的なガードレールが求められる。IBAが「なぜ」を統制する一方で、ガードレールは「どの程度」を統制する。これには厳格なリソース制限や、サンドボックス化が含まれる。

　サンドボックス化の目的は、エージェントが「ヒューマンスポンサー」の全権限を継承することを防ぐことだ。ヒューマンスポンサーとは、エージェントの行動で法的な説明責任を負う個人を指す。実務上、エージェントの権限は、その任務を定義した暗号署名付きのマニフェストによって制限されるべきである。

法定責任としてのエージェントの行動

　ヒューマンスポンサーは、法的な概念になりつつある。英国の「上級管理職・認定制度（SM＆CR）」では、エージェントによる障害に、指定された管理職が適切な監督を証明できなければ、個人的な制裁の対象となる。

　欧州連合（EU）の「AI法」第14条では、高リスクAIシステムの監視責任を導入者に割り当てている。また、デジタルレジリエンス法「DORA」は、自律的サービスによる業務中断に、ICTリスク担当者に厳格な責任を課している。

　ヒューマンスポンサーは、「知らなかった」という言い訳が通用しない立場だ。責任を割り当てるだけでは不十分で、監督のための技術的な理解も求められる。組織は、法的責任と実態的な監督のギャップを埋めるためのトレーニングを実施しなければならない。

ヒューマンスポンサーの育成

　ヒューマンスポンサーには、推論の自律性と業務制約の境界を定義する能力が必要だ。また、単なるタスクとデータの変換の違いを理解し、リスクスコアを適切に解釈できなければならない。

　レベルBでは、これが実運用に落とし込まれる。エージェントの投入前に、ヒューマンスポンサーが「意図マニフェスト」に暗号署名を行う。全てのAPIコールにはスポンサーIDが付与される。

　タスク外のデータへのアクセス試行など、リスクのしきい値を超えた場合、要求はブロックされる。その上で、判断を仰ぐためにスポンサーへルーティングされる。これにより、エージェントの独断は防がれ、責任の連鎖が維持される。