AIエージェントはすでにあなたのシステム内に存在している――あなたのアイデンティティ戦略はまだそれを知らない
2026年末までに、企業向けアプリケーションの40%が特定のタスクを担うAIエージェントを組み込むようになるとされている。12か月前、その数字は5%にも満たなかった。このジャンプは単なる統計上の変化ではない。構造的な変化である。数百万もの非人間的なアイデンティティが、今まさに企業ネットワーク内でデータ、システム、そして意思決定へのアクセス権を持ちながら稼働している。それにもかかわらず、セキュリティチームの大半は依然として誤った道具でこの問題を眺めている。
アイデンティティとアクセスの管理――業界ではIAM(Identity and Access Management)と呼ばれる――は、システムの主体が人間であることを前提として構築されてきた。誰かがシステムに入り、役割を割り当てられ、定期的にアクセスを審査され、やがて退出する。このサイクルには人間的な論理がある。なぜなら、人間のために設計されたからだ。AIエージェントは人事部門を経由して入ってくるわけではなく、承認を与えるマネージャーもいなければ、退出予定日もない。しかしアクセス権は持っている。そしてそのアクセス権は、大多数の組織において、新入社員と同じ厳格さで管理されていない。
これは些細な技術的問題ではない。企業が「誰が――あるいは何が――自社システム内で動いているか」を理解するうえでの、構造的な亀裂である。
誰も持っていないインベントリ
制御の話をする前に、より根本的な問いがある。ほとんどの組織が正確に答えられない問いだ。現在、自社の環境内でいくつのAIエージェントが稼働しており、誰がデプロイし、何ができるのか、という問いである。
不都合な答えは、ほとんどの企業はそれを知らないということだ。Graviteeが公表したデータによれば、本番環境で稼働するAIエージェントのうち、デプロイ前にセキュリティチームによる正式なレビューを受けたのは7件に1件に過ぎない。残りは、新システムに通常適用されるフィルタリングを経ることなく、業務上の緊急性を理由にビジネスチームや開発チームによってリリースされた。結果として、監査なしに権限を蓄積し、共有された認証情報のもとで動作し、それを生み出したワークフローが変わったり消滅したりした後もずっと稼働し続ける、非人間的なアイデンティティのエコシステムが生まれている。
この問題は概念としては新しくない。非人間的なアイデンティティ――サービスアカウント、APIキー、自動化スクリプト――は、AIエージェントが登場する以前から、大企業のほとんどで人間ユーザーの数を上回っていた。変わったのは速度と自律性である。Kubernetesクラスターは数分で数千のサービスアカウントをプロビジョニングできる。AIエージェントは複数のシステムと同時にやり取りし、リアルタイムで意思決定し、コンテキストに応じてその振る舞いを変える。これは命令を待つだけの受動的なサービスアカウントではない。自らの判断能力を持ったアクターが、あなたのシステム内に存在しているのだ。
どのエージェントが存在し、どのようなアクセス権を持ち、誰がそれに責任を持つかという明確なインベントリがなければ、制御についていかなる議論も後手に回る。カタログ化していないものを管理することはできない。
アクターが機械である場合、侵害はどのような姿を取るか
昨年発生したSalesloftとDriftのケースは、アイデンティティ管理がAI統合に追いつかないときに生じるリスクの類型を正確に示している。攻撃者はDriftのチャットボット――Salesloftが利用していたAI統合――に紐付けられたOAuthトークンを侵害し、700以上の組織のSalesforce環境にアクセスした。この侵害は数日間気づかれないまま放置された。
重要なのは技術的な細部ではなく、運用上の事実だ。セキュリティチームはチャットボットがアクセス権を持っていることを確認できた。しかし、そのアクセス権を使ってリアルタイムで何をしているかは見えなかった。外部から見ると、悪意のあるクエリはボットの正当な動作と区別がつかなかった。信頼された非人間的なアイデンティティが、まさにそうすべきと思われることをしていたのだ。
そのパターン――アクセスは見える、行動は見えない――こそが問題の核心だ。従来のIAMフレームワークは「誰が何にアクセスできるか」という問いに答えるために構築されてきた。AIエージェントを前にしたとき、重要な問いは「そのアクセスが今この瞬間、どのようなコンテキストで、どのような目的のもとに何をしているか」である。それは異なる問いであり、異なる道具を必要とする。
役割に基づく静的な制御モデル――役割を割り当て、役割が権限を定義し、権限を四半期ごとに見直す――は、機械の速度で動作し、コンテキストに応じて振る舞いを変えるアクターのために設計されてはいない。定期的な監査ではなく、継続的なリスク評価が必要だ。タスクが終わったときにアクセスが自動的に失効する仕組みが必要であり、誰も取り消さないからといっていつまでも存続し続けるような状況を避けなければならない。
原則そのものは昔からある。最小権限、ジャスト・イン・タイム・アクセス、自動的に失効するエフェメラル・トークン、特権アクセス管理プラットフォームとの統合。これらのメカニズムはどれも新しくない。新しいのは、これらをもともと想定されていなかったアイデンティティの種別へ拡張する緊急性であり、次のインシデントが四半期報告書に現れる前にそれを実行することの必要性だ。
組織が先送りにしていること、そしてその先送りが持つコスト
セキュリティチームがIAMフレームワークをAIエージェントへ拡張するスピードが、それらのエージェントがデプロイされるスピードに追いついていない理由がある。デプロイを推進するのはビジネスチームであり、セキュリティチームはその後から対応するからだ。
この非対称性は構造的なものだ。ワークフローを自動化する手段としてAIエージェントを見つけたプロダクトチームや運用チームには、数週間かかることもあるセキュリティレビューを求めて立ち止まるインセンティブがない。彼らのインセンティブは即時の運用成果だ。そうしないことのコスト――侵害、不正アクセス、侵害されたエージェント――は、別のチームが、後になって、別の予算のもとで支払う。
このインセンティブの分配が、前述した混沌としたインベントリをまさに生み出す。正式なオーナーを持たず、権限を一度も審査されず、誰も有効期限を知らない認証情報を持つ、数十あるいは数百のエージェントが本番環境で稼働している状況だ。
解決策はエージェントのデプロイを遅らせることではない。生産性向上の効果は現実のものであり、後れを取った組織は別の形でそのコストを払うことになる。解決策は、アイデンティティのガバナンスをデプロイプロセスに統合することだ――後工程としてではなく、前提条件として。どのエージェントも、3つの基本的な問いに誰かが答えない限り本番環境に入れないようにする。何にアクセスできるか、誰がそのアクセスに責任を持つか、どのような条件でそのアクセスが失効するか、という3つの問いだ。
Gartnerは、AIエージェントのアイデンティティに対するガバナンスの欠如を、2026年に向けた最も重要なサイバーセキュリティトレンドの一つとして特定している。問題の論理が新しいからではなく、導入速度が制御の速度を上回っているからだ。その両者の差の中にこそ、インシデントが潜んでいる。
運用AIへのレースに欠けているガバナー
企業におけるAIに関する支配的なナラティブは能力に焦点を当てている。エージェントは何ができるか、どれだけ時間を節約できるか、いくつのプロセスを自動化できるか。それは正当なナラティブだ。生産性の数字は現実のものだ。
そのナラティブが除外しているのは、何かがうまくいかなかったとき誰が責任を負うかという問いだ。そして失敗するアクターが従業員ではなく複数のシステムへのアクセス権を持つエージェントである場合、その問いへの答えはより困難になる。
一部の業界調査が示す、IAMにおけるAIフレームワークがもたらす侵害コストの最大80%削減という数字は、自然に実現されるものではない。それは、AIエージェントをエンジニアリングの意思決定の前にアイデンティティの意思決定として捉えることを誰かが決断したときに実現する。セキュリティチームが各エージェントの行動をリアルタイムで可視化できているとき――静的な権限だけでなく。アクセスが自動的に失効し、認証フローが年次ではなく継続的であるとき。
AIエージェントをそのレベルのガバナンスなしにデプロイしている組織は、無知ゆえに無謀なのではない。速く動けという圧力が現実のものであり、適切な制御には投資、調整、そしてデプロイプロセスへの意図的な摩擦が必要だから、無謀なのだ。
その摩擦は、適切に設計されれば、導入の妨げにはならない。それを持続可能なものにする。秩序ある形でスケールするAIプログラムと、18か月後に大きなインシデントを引き起こすAIプログラムの違いは、モデルの品質にあるわけでも、ユースケースの野心にあるわけでもない。最初のエージェントが本番環境に入る前に、誰かがアイデンティティについての議論をしたかどうかにある。
