AI Agent の ID マネージメント:既存の ID モデルが適合しない理由を説明しよう

AI Agent Identity Management: A New Security Control Plane for CISOs

2026/02/03 BleepingComputer — 長年にわたりセキュリティ・リーダーたちは、サービス・アカウントと従業員に対するアイデンティティ (ID) 制御を強化してきた。しかし、そのモデルが限界を露呈し始めている。企業環境の全体において、新たな ID のクラスが急速に拡散している。それが自律型 AI エージェントである。Custom GPT/Copilot/MCP サーバを実行するコーディング・エージェントや、用途ごとに特化された AI エージェントは、もはや実験の用途に留まらない。本番環境で稼働し、拡張され、機微なシステムやインフラと連携し、他のエージェントを呼び出し、判断や変更を行っているが、そこでは人間による直接的な監督が欠落している。

つまり、多くの組織における一連のエージェントの大半は、既存の ID ガバナンスの枠外に存在している。従来の IAM/PAM/IGA プラットフォームは、自律的/分散的/適応的なエージェントを前提として設計されていない。その結果として、実在するセキュリティとコンプライアンスのリスクに加え、効率性と有効性の課題を伴いながら拡大していく ID ギャップが生じている。

既存の ID モデルが AI エージェントに適合しない理由

歴史的に見て、企業が管理してきた ID は、人間とマシンのための 2 種類である。人間のアクセスを目的とする ID は中央集権的に管理され、ロール・ベースであり、予測しやすいものである。その一方で、マシンとワークロードの ID は大規模であり、決定論的で反復的、かつ限定されたタスクを実行するものが大半である。

どちらにも完全には当てはまらないのが、AI エージェントであり、同時に両方の性質を併せ持つ。

AI エージェントは目的駆動型かつロール・ベースであり、意図やコンテキストに応じて振る舞いを適応させ、複数のシステムを横断してアクションを連鎖させる能力を持つ。それと同時に、マシンの速度とスケールで継続的に稼働する。このハイブリッドな性質は、リスク・プロファイルを根本的に変化させる。AI エージェントは、人間 ID の意図で駆動するアクションを継承しながら、マシン ID の到達範囲と持続性を保持する。

これらを、従来型の非人間 ID (NHI) として扱うことで盲点が生み出される。過剰な権限付与が常態化し、所有者は不明確となり、当初の意図から逸脱した振る舞いが横行する。これは理論上の問題ではない。過去において、数多くの ID 関連侵害を引き起こしてきた条件が、自律性とスケールにより増幅されているに過ぎない。

セキュリティを伴わない導入速度こそが真のリスク加速要因

AI エージェントが何であるかという問いよりも、その拡散の速度により、この課題の緊急性が高まっている。

自組織には数体しか AI エージェントが存在しないと考えている企業であっても、実際に調査すると、数百/数千が見つかるケースも珍しくない。従業員は Custom GPT を作成し、開発者は MCP サーバをローカルで立ち上げ、事業部門は AI ツールを業務フローに直接組み込むが、ほとんどの場合、後片付けは行われない。

その結果として、以下の基本的な問いに対してセキュリティ・チームは答えを失う。

  • 何体の AI エージェントが存在するのか?
  • それらを所有しているのは、誰なのか?
  • そのアクセス先は、どのシステム/サービス/データなのか?
  • いま現在、どれが稼働しているのか?

この可視性の欠如は、マシン速度での ID スプロールを生み出す。そして攻撃者が繰り返し示してきたように、ソフトウェア脆弱性を突くよりも、未管理の認証情報を悪用する方が、高い確率で攻撃を成功させる。

AI エージェントの ID ライフサイクル管理の必要性

ID リスクは、時間の経過につれて蓄積していく。そのため、組織は従業員に対して入社/異動/退職 (Joiner/Mover/Leaver) プロセスを採用し、サービス・アカウントに対してもライフサイクル制御を行っている。AI エージェントも同様の動的性質を持つが、その時間軸は分/時間/日単位へと圧縮されている。

AI エージェントは迅速に作成され、頻繁に変更され、そして静かに放置されることが多いため、所有者は消えてもアクセスは残る。四半期ごとのアクセス・レビューや定期的な認証では、この速度に追従できない。

AI エージェントのための ID ライフサイクル管理は、このギャップを埋めるものである。AI エージェントを第一級の ID として扱い、作成から利用へ、そして最終的な廃止に至るまで、継続的かつ準リアルタイムでガバナンスを適用する。

目的は導入を遅らせることではない。従来の ID 原則を構成する、可視性/説明責任/最小権限/監査可能性といった要件を、自律システムに合わせて適用することである。

可視性が最優先:シャドー AI の発見

あらゆる ID 制御フレームワークは、ディスカバリから始まる。しかし、多くの AI エージェントについて言えば、正式なプロビジョニングや登録ワークフローを経ることがない。それらは、クラウド/SaaS/開発者環境/ローカル・マシンに分散して稼働し、従来の IAM からは不可視となる。

Zero Trust の観点から見ると、そこに根本的な失敗の原因がある。可視化されない ID は、ガバナンス/監視/監査が不可能である。シャドー AI エージェントが広範な権限を持った状態で、機微なシステムへの未監視の侵入口になるというケースが散見される。

有効なディスカバリは、継続的に実施され、振る舞いベースで行われる必要がある。新たなエージェントが、数分単位で出現/消滅し得る環境において、四半期ごとのスキャンや静的インベントリでは不十分である。

所有権と説明責任の重要性

ID における最も古典的なリスクの一つが、孤児アカウントである。AI エージェントは、その頻度と影響の双方を劇的に増幅させる。

AI エージェントは、限定的な用途や短期プロジェクトのために作成されることが多い。従業員が異動/退職した場合や、単に進化しない AI 製品に飽きた場合でも、構築されたエージェントは残存しがちである。認証情報は有効性を保持し、権限も変更されない。誰も責任を負わなくなる。

所有者不在の自律エージェントは、侵害された ID と同等に扱われるべきものである。ライフサイクル・ガバナンスは、中核要件として所有と保守を強制するものであり、退職者や非アクティブなプロジェクトにひも付くエージェントが、負債となる前に検知されるよう仕向けるべきものである。

最小権限は動的でなければならない

大半の AI エージェントは、過剰な権限を付与されている。それは怠慢ではなく、不確実性と探索意欲の結果である。振る舞いに適応するために、そして、ワークフローを壊さないようにするために、広範なアクセスが与えられがちである。

これは危険である。過剰な権限を持つエージェントは、人間よりもはるかに速くシステムを横断していける。相互接続された環境では、単一のエージェントが、大規模侵害やラテラル・ムーブメントの起点となり得る。

AI エージェントにおける最小権限は、静的に成立するものではない。観測された振る舞いに基づき、継続的に調整される必要がある。使用されない権限は剥奪されるべきであり、高権限アクセスは一時的かつ目的限定であるべきだ。これが実施されなければ、最小権限は単なる方針の文言に留まる。

トレーサビリティは信頼の基盤である

マルチエージェント・システムへとユーザー企業が移行するにつれて、従来のログ・モデルは破綻する。それらのシステムが生み出すアクションは、エージェント/API/プラットフォームを横断していく。相関を持つ ID コンテキストが存在しなければ、インシデント調査/フォレンジックに支障が生じ、さらには、コンプライアンス証跡の提示すら困難になる。

トレーサビリティは、フォレンジック要件に留まるものではない。規制当局が求め始めるのは、顧客や規制対象データに影響するインシデントが発生した際の、自動化システムが下した意思決定に関する説明である。ID を中心とした監査証跡が不可能であれば、この要求には応えられない。

ID は AI セキュリティのコントロール・プレーンになりつつある

AI エージェントは、もはや新興技術ではない。企業のオペレーティング・モデルの一部となり始めている。自律性が高まるにつれて未管理の ID が、最大級のシステム的リスクの一つとなる。

AI エージェント ID ライフサイクル管理は、現実的な前進の道を提供するものだ。AI エージェントを独立した ID クラスとして扱い、継続的にガバナンスすることで、イノベーションを阻害することなく統制を回復できる。

エージェント駆動型エンタープライズにおいて、もはや ID は、単なるアクセス手段ではない。AI セキュリティのコントロール・プレーンへと変わりつつある。

Token Security が、ID 制御プレーンにおける AI セキュリティに取り組んでいる方式について詳しく知りたい場合は、デモを予約してほしい。このプラットフォームの動作を直接紹介する。

急速に普及している AI エージェントは、人間の意図とマシンの速度を併せ持つ新しい存在であり、その特性に対して既存の管理ルール (IAM) が対応できていないところに、この問題の原因があります。AI エージェントは、従来のプログラムのように決まった動きをするだけではなく、自律的に判断して複数のシステムをまたいで機能する点に注意が必要です。また、セキュリティ・チームの知らないところで多くのエージェントが作成され、誰が責任者なのか不明な状態で、必要以上の権限を持たされ、放置されているという問題もあります。それにより、退職した従業員が作ったエージェントが動き続けるケースや、1 つのエージェントの乗っ取りが組織全体のデータ漏洩に直結するケースが生じています。技術的な欠陥というよりは、新しい技術の導入スピードに対して、管理体制が追いついていないことが根本的な要因です。よろしければ、Token の “AI Agent Identity Lifecycle Management” も、ご参照ください。