Over-Privileged AI Drives 4.5 Times Higher Incident Rates
2026/02/17 InfoSecurity — 最新レポート “2026 State of AI in Enterprise Infrastructure Security” を作成するにあたり Teleport が実施したのは、米国のインフラ・セキュリティ責任者 200人以上を対象にした調査である。このレポートにおける “インフラに内在する AI” の定義には、AI 搭載ワークロード/エージェント型システム/マシン-to-マシン通信/ChatOps/コンプライアンス自動化/インシデント検知などが含まれる。
この調査の対象となった回答者の多くは、これらのユースケースで AI を導入しており、インシデント調査時間の改善 (66%)/ドキュメント品質の向上 (71%)/エンジニアリング成果の向上 (65%) といった効果を実感していることが判明した。
しかし同時に、彼らの 85% がリスクを懸念している。この懸念は、仮説ではなく実体験に基づくものである。回答者の 35% が、少なくとも 1 件の AI 関連インシデントを確認しており、さらに 24% が発生の可能性を疑っている。
AI とアイデンティティの問題
レポートで強調された主要なリスク要因は、アイデンティティに関連するものだ。回答者の 70% は、自社の AI システムの方が、同じ役割の人間よりも多くのアクセス権を持っていると答えている。そのうちの 19% は、大幅に拡大されていると答えている。
この過剰なアクセス権が、問題発生の予測因子になっている。
過剰な権限が付与される、AI を導入している組織のインシデント発生率は76%である。その一方で、最小権限の原則を導入している組織は 17% に留まる。つまり、最小権限の原則を導入していない組織は、セキュリティ問題への遭遇が約 4.5 倍に達する可能性が高いことになる。
このレポートは「業界の成熟度や自己評価の自信度と比べて、アイデンティティの管理が、AI 関連インシデントを予測する上で突出した要因となる」と指摘している。
Teleport が主張するのは、パスワード/API key/長期間有効なトークンといった静的クレデンシャルが、AI システムにおける過剰な権限付与の原因であるという点だ。静的クレデンシャルへの依存度が高い組織のインシデント発生率は 67% であり、依存度が低い組織は 47% である。
Teleport の CEO である Ev Kontsevoy は、IT インフラの複雑化が、アイデンティティ管理にさらなる負荷をかけていると説明する。
彼は、「多くの組織では、従業員数よりも “group” や “role” の方が多い。さらに、この混沌とした環境において、非決定論的に振る舞う “agent” を展開すれば、深刻な結果を招く。このレポートのデータが、明確に示している。AI 自体が危険なのではなく、我々が与えている “access” に問題がある」と指摘した。
改善の必要性
しかし、残念なことに、状況改善の準備ができている組織は少ない。
回答者の 43% は、公式なガバナンス統制がないと回答し、さらに 21% は統制がまったく存在しないと回答している。
AI リスクにおいても、主導権を維持するために、Teleport は以下を推奨している。
- 静的クレデンシャルへの依存を削減する。
- 過剰な権限が付与されている AI システムに対して、最小権限の原則に沿ったアクセス制御を実装する。
- アイデンティティ管理チームを再編し、サイロを削減する。そして、プラットフォームとエンジニアリングの関係者を含める。
今回の調査が示唆する問題の背景にあるのは、AI システムに対する過剰なアクセス権付与と、静的クレデンシャルへの依存です。多くの組織において、人間よりも広範な権限を持つ AI に対して、最小権限の原則が徹底されていません。その結果、インシデント発生率が大きく上昇しています。特に、パスワード/API key/長期有効トークンなどの利用が、権限管理の複雑化とリスク拡大を招いています。AI そのものよりも、与えられたアクセスの設計の不備が、この問題の根本にあると指摘する記事です。よろしければ、以下の記事も、ご参照ください。
2025/05/27:NHI は人間の 45倍規模:AI Agent の前に考えるべきは?
2025/05/08:AI と NHI:増え続ける非人間 ID の管理がカギになる
IoT OT Security News 
You must be logged in to post a comment.