AIエージェントは、チャットで答えるだけのツールから、メール送信、予定作成、CRM更新、ファイル検索、API実行まで行う業務アシスタントへ進んでいます。便利になる一方で、企業は「誰がログインしたか」だけでなく、「AIに何を許すか」を管理する必要があります。
AIエージェントは“新しい特権ID”になる
これまでのID管理は、人間の社員、管理者、外部パートナーを中心に考えられてきました。しかしAIエージェントは、人間の代わりに業務システムを操作します。メールを読む、ファイルを要約する、請求書を処理する、CRMの顧客情報を更新するなど、実行権限を持つ場合は「便利なBot」ではなく「新しい特権ID」として扱う必要があります。
World Economic Forumは、Non-Human Identitiesとして、APIキー、サービスアカウント、認証トークンなどがAIエージェント時代の新しいリスクになると説明しています。AIが助言だけでなく実行するほど、権限の設計ミスが大きな事故につながります。
NHIとは何か
Non-Human Identity、NHIとは、人間ではないシステムやアプリが使う認証情報です。代表例は、APIキー、OAuthトークン、サービスアカウント、ワークロードID、CI/CDの認証情報、AIエージェントIDです。
TechRadarも、AIワークフローが増えることでNHIが急増し、特権アクセス、過剰権限、人的監視の低下がリスクになると説明しています。つまり、AIエージェントのセキュリティは、AIモデルの安全性だけでなく、IAM、Secrets管理、監査ログ、ゼロトラストの問題でもあります。
最小権限が基本になる
AIエージェントに、人間ユーザーと同じ権限をそのまま渡すのは危険です。たとえば、メールを要約するAIにメール送信権限まで必要とは限りません。CRMを検索するAIに、顧客データの削除権限は不要かもしれません。
OWASPのNon-Human Identities Top 10でも、過剰権限のNHIは侵害時の影響範囲を大きくすると整理されています。AIには「必要なときに、必要な操作だけ」を許す設計が重要です。
| 操作 | 推奨される制御 |
|---|---|
| メール閲覧 | 読み取り専用、対象フォルダ制限 |
| メール送信 | 人間承認後に送信 |
| ファイル操作 | 削除・外部共有は制限 |
| CRM更新 | 項目ごとに更新権限を分ける |
| 請求・送金 | 必ず人間承認を入れる |
| API実行 | スコープ、回数、時間を制限 |
実行ログとKill Switch
AIエージェントには、必ず実行ログが必要です。何を読んだか、何を変更したか、どのAPIを呼んだか、誰の承認で実行したかを記録しなければ、事故時に原因を追えません。
Microsoft Learnは、AIエージェントのガバナンスで、エージェントの存在を把握し、所有者を決め、アクセスを制限し、動作を観測し、止められることが重要だと説明しています。特に重要なのはKill Switchです。異常操作、誤送信、過剰アクセス、情報漏えいの兆候が出たとき、AIエージェントの権限を即時停止できる必要があります。
見るべきKPI
AIエージェント認可セキュリティでは、導入数よりも管理状態を見るべきです。
| KPI | 意味 |
| AIエージェントIDの棚卸し率 | どのAIが存在するか把握できているか |
| APIキー・トークンの所有者設定率 | 誰が責任者か分かるか |
| 過剰権限の検出数 | 不要な権限がどれだけあるか |
| AI実行ログの保存率 | 操作履歴を追跡できるか |
| 人間承認が必要な操作の定義数 | 高リスク操作を分けられているか |
| 権限失効までの時間 | 退役・停止時にすぐ無効化できるか |
| 異常操作検知から停止までの時間 | Kill Switchが機能するか |
まとめ
AIエージェント時代のログイン管理は、人間のIDだけでは不十分です。企業は、AIにどのデータを読ませ、どの操作を許し、どの操作は人間承認にするかを設計する必要があります。
これからのサイバーセキュリティでは、AIエージェントを業務自動化ツールとしてだけでなく、管理すべきNon-Human Identityとして扱うことが重要になります。AIを安全に使う企業ほど、最小権限、実行ログ、承認フロー、Kill Switchを早く整えることになるでしょう。
