従来のIAMが通用しない 自律型AIが招く「静かなセキュリティ崩壊」をどう止めるか:「セマンティックピボット」の衝撃
多くの企業で、AIエージェントなどの「非人間アイデンティティー」が社員数を上回りつつある。だが、従来の権限管理(IAM)では、正当な権限を悪用して目的外のデータに触れる「セマンティックピボット」を防げない。法規制が強まる中、情シスに求められるのは「誰が」ではなく「なぜ」を制御する新時代のガバナンスだ。
セキュリティ境界としてのアイデンティティーは、もはや従業員だけで定義されるものではない。従業員に代わって行動するあらゆる要素によって定義されるようになっている。その多くには名札も、直属の管理者も、退職プロセスも存在しない。
大半の大企業では、非人間アイデンティティー(NHI)の数が既に人間のユーザー数を上回っている。「エージェント型AI」の登場は、この課題を単に拡大させるだけでなく、その本質を根本から変えようとしている。
エージェントとは、自律的な推論能力を持つ実体だ。システムの照会や意思決定、重大なアクションを大規模かつ継続的に、許可を得ることなく実行できる。現在のガバナンスモデルは、こうした存在を管理するようには作られていない。情シスに求められるのは「誰が」ではなく「なぜ」を制御する新時代のガバナンスだ。
エージェント時代のアイデンティティー
「AIとガバナンス」に関連する編集部お薦め記事
従来のアイデンティティーアクセス管理(IAM)は、人間のライフサイクルを中心に設計されている。組織に加入することもなければ離れることもない実体を統制するには、ほぼ適していない。
エージェントのセキュリティ確保には、静的なアクセス権限の設定を超えたアプローチが必要だ。リアルタイムで挙動を監視し、ゼロトラストの原則を適用し、同時並行で稼働する数千もの短命なエンティティを管理できる拡張性を持ったシステムが求められる。
NHIには、個別のガバナンスが必要な2つのカテゴリーがある。第1は、人間のユーザーを拡張するエージェントだ。承認された意図の代理として、ユーザーの認証情報で動作する。より危険な第2のカテゴリーは、ワークフローに直接組み込まれるものだ。独立した権限を持ち、特定の個人が責任を負わない。
この区別が重要なのは、現在のIAMの根本的な弱点を露呈させるからだ。「誰がアクセス権を持つか」に基づくガバナンスでは、そのアイデンティティーが「何をしようとしているか(意図)」までは統制できない。
初期の導入事例では、既に失敗のパターンが現れている。例えば、取引台帳への読み取り権限と差異テーブルへの書き込み権限を持つ「勘定照合エージェント」を想定する。このエージェントが複雑なエラーに遭遇した際、推論エンジンが「富裕層の口座データと比較すれば解決できる」と結論付けたとする。
この場合、エージェントは本来の任務を超えて、顧客の資産プロファイルなどを自律的に照会し始める可能性がある。IAMモデルには権限の範囲しかなく「意図の境界」が定義されていないため、全てのAPIコールは技術的に正当なものとなる。従来のログは「何が起きたか」しか記録せず、この失敗は不可視だ。
これを「セマンティックピボット(意味的転換)」と呼ぶ。有効なアクセス権を使い、アクセス制御に違反することなく、未承認の活動へと転換する現象だ。既存ソリューションの多くは未承認ユーザーを止めるためのものであり、承認されたエージェントによるこの挙動は防げない。これは設定ミスではなく、アーキテクチャ上の欠陥である。
企業が取るべき対策
エージェント型アイデンティティーの管理には、動作の継続的な監視が必要だ。文脈に応じた動的なアクセス決定を行い、ポリシーベースのガードレールで最小権限を強制しなければならない。
ゼロトラストは活動を継続的に検証するが、それだけではセマンティックピボットの溝を埋めることはできない。自律的な推論エンジンを抑制するには、「侵害前提」の考え方をリアルタイムの封じ込めに変換する仕組みが必要だ。
具体的には、ゼロトラストと「意図拘束型認可(IBA)」を組み合わせた成熟度モデルが必要になる。要求が事前に登録された目標と一致する場合にのみアクセスを許可する手法だ。このモデルには「自律性の深淵(しんえん)」と呼ばれる、2つのレベルがある。
レベルAは「保護されたアカウント」だ。専用のサービスアカウントを使い、認証情報を隔離してログを取得する。アカウント自体は安全だが、エージェントの「代理権」までは保護されていない。
レベルBは「保護された代理権」だ。全てのAPIコールに意図のメタデータが付随し、「アクセス制御」が「意図制御」へと進化する。例えばエージェントは、宣言された意図が「照合」である場合にのみ、財務台帳へのアクセスが許容されるようになる。
サンドボックスの定義
アーキテクチャ上の溝を埋めるには、動的なガードレールが求められる。IBAが「なぜ」を統制する一方で、ガードレールは「どの程度」を統制する。これには厳格なリソース制限や、サンドボックス化が含まれる。
サンドボックス化の目的は、エージェントが「ヒューマンスポンサー」の全権限を継承することを防ぐことだ。ヒューマンスポンサーとは、エージェントの行動で法的な説明責任を負う個人を指す。実務上、エージェントの権限は、その任務を定義した暗号署名付きのマニフェストによって制限されるべきである。
法定責任としてのエージェントの行動
ヒューマンスポンサーは、法的な概念になりつつある。英国の「上級管理職・認定制度(SM&CR)」では、エージェントによる障害に、指定された管理職が適切な監督を証明できなければ、個人的な制裁の対象となる。
欧州連合(EU)の「AI法」第14条では、高リスクAIシステムの監視責任を導入者に割り当てている。また、デジタルレジリエンス法「DORA」は、自律的サービスによる業務中断に、ICTリスク担当者に厳格な責任を課している。
ヒューマンスポンサーは、「知らなかった」という言い訳が通用しない立場だ。責任を割り当てるだけでは不十分で、監督のための技術的な理解も求められる。組織は、法的責任と実態的な監督のギャップを埋めるためのトレーニングを実施しなければならない。
ヒューマンスポンサーの育成
ヒューマンスポンサーには、推論の自律性と業務制約の境界を定義する能力が必要だ。また、単なるタスクとデータの変換の違いを理解し、リスクスコアを適切に解釈できなければならない。
レベルBでは、これが実運用に落とし込まれる。エージェントの投入前に、ヒューマンスポンサーが「意図マニフェスト」に暗号署名を行う。全てのAPIコールにはスポンサーIDが付与される。
タスク外のデータへのアクセス試行など、リスクのしきい値を超えた場合、要求はブロックされる。その上で、判断を仰ぐためにスポンサーへルーティングされる。これにより、エージェントの独断は防がれ、責任の連鎖が維持される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
まだ手作業でコンプラ対応? Alationが描くAIガバナンスの不可避な進化
AI活用の本格化に伴い、規制対応が企業の大きな重荷となっている。多くの現場では手動のリスト管理などが限界を迎えており、ガバナンスの欠如が「次の企業危機」を招くリスクが浮上した。Alationの新スイートは、AI資産の可視化から承認フローの自動化までを一挙に担い、ガバナンスのボトルネックを解消する。
野良AI時代の「AIガバナンス」とは何か? 悪質なプロンプトの改善も
生成AIが爆発的に普及する中で、AIガバナンスの体制構築が企業にとって急務だ。具体的に何に取り組めばいいのか。2024年の生成AI市場に起こる変化と併せて解説する。
情シスを追い詰める「ガバナンスなきAI導入」の代償とは?
「AIなんて発明されなければよかった」――最新調査でCIOの半数が本音を漏らすほど、AI導入に伴うセキュリティリスクが深刻化している。Copilotが悪用され既存の脆弱性が自動攻撃の道具と化すなど、情シスは利便性の代償として肥大化する攻撃面とガバナンス不足という、かつてない難題に直面している。
AIガバナンスに「7億円超」投資が約4割 データで見る2026年の“AI予算相場”
Cisco Systemsは、世界12カ国のIT、セキュリティ専門家5200人を対象に実施した調査レポートを発表し、AI導入の加速に伴い企業のデータガバナンス体制が問われている実態を明らかにした。
「ITガバナンス」はなぜ形骸化するのか? 運用現場を動かす“11の鉄則”
「ITガバナンス」と聞けば「面倒な管理業務」を想像しがちだが、その管理を怠れば企業上のリスクに直結する。形骸化したガバナンスを「武器」に変えるためのベストプラクティスと、主なフレームワークを解説する。
「勝手に作られると困る」 それでも情シスが市民開発者を受け入れるべき理由
生成AIの普及により、非エンジニアでもアプリ開発が可能となりつつある。一方、課題なのが開発の可視性やガバナンスの確保だ。情シスが「門番」から「支援者」へ転換し、安全に現場の力を引き出すための対策は。