AI産業Pingidentity2026年7月17日 02:23

AIエージェント時代に迫られるゼロトラストの即時導入

Ping IdentityのCEO Andre Durandは、AIエージェントの普及に伴い、ゼロトラスト型セキュリティの即時導入が不可欠だと主張する。AIエージェントは5分間に1000件以上のアクションを実行しうるため、従来の「ログイン時一度きり」の認証モデルでは対応できないリスクが生じている。各エージェントに固有のIDを付与し、アクションごとに権限を検証する仕組みへの移行が求められている。

AIエージェント時代に迫られるゼロトラストの即時導入

AIエージェントが企業内で急速に普及するなか、セキュリティの考え方を根本から見直す必要が生じている。Ping IdentityのCEO兼創業者であるAndre Durandは、「ゼロトラスト」と呼ばれるセキュリティアーキテクチャを長期目標ではなく、AIエージェント運用の前提として今すぐ取り入れるべきだと主張する。ゼロトラストとは、ユーザーやデバイス、システムを自動的に信頼せず、すべての操作のたびに認証・検証を繰り返すセキュリティモデルのことだ。

従来の企業セキュリティは、人間がシステムを操作することを前提に設計されてきた。ログイン時に一度認証すれば、その後は比較的広い権限でセッションを維持できる仕組みが一般的だった。しかしAIエージェントは人間とはまったく異なる速度で動く。Durandは「人間の不正アクセスは数分から数時間、場合によっては数日単位で進むが、エージェントのスピードでは5分間に1000件のアクションが実行されうる」と述べており、リスクの時間軸が根本的に圧縮されていることを指摘する。

リスクが膨らむ構造として、権限の積み重ねがある。社員がAIエージェントの社内ドライブ、データベース、コードリポジトリへのアクセス要求を承認するたびに、企業は小さな制御権を手放すことになる。1件ずつ見ればごく日常的な承認だが、数千のエージェントが数千のリクエストを繰り返すなかでは、その積み重ねが既存のセキュリティ設計では計測しきれない大きなリスクになる、とDurandは説明する。

ゼロトラストが重視するのは、アクセス権の「範囲」と「有効期間」という2つの変数を同時に絞り込むことだ。Durandの言葉を借りれば「必要最小限の権限を、必要なタイミングだけ与える」という発想であり、ログイン時の一度きりの確認から、アクションごとの継続的な判断へとセキュリティの焦点を移す。従来の幅広い権限を長期間維持するモデルとは対照的なアプローチといえる。

さらにDurandが問題視するのが、エージェントの「身元」の扱いだ。現状では、AIエージェントが人間のログイン情報を使い回したり、複数のシステムで共用されるサービスアカウントの下で動いたりするケースが多い。しかし彼はこの慣行に否定的で、「各エージェントは独自のIDを持つべきだ。人間になりすますのではなく、人間から明示的に権限を委任される形が正しい」と述べる。人間の操作とエージェントの操作を明確に区別することが、ゼロトラストを機能させる前提条件だという考え方だ。

加えて、APIキーなど共有される「秘密情報」への依存も課題として挙げられている。多くのサービスアカウントが今もこうした仕組みに頼っており、エージェントが高速・大量に動作する環境では、一つの鍵が漏れた際の被害範囲が従来とは比べものにならないほど広がりうる。

AIエージェントの活用が加速する今、セキュリティ設計の見直しは後回しにできない課題として浮上している。エージェントに固有のIDを付与し、アクションごとに権限を検証するゼロトラストの原則は、人間中心のシステムに向けて作られた既存の枠組みでは対応できないリスクを補う仕組みとして位置づけられる。AIエージェントの導入が本格化するほど、IDとアクセス管理の設計が企業セキュリティ全体の強度を左右する局面が増えていくという見方ができる。

#AIエージェント#ゼロトラスト#サイバーセキュリティ#アイデンティティ管理#エンタープライズAI#アクセス制御
AI issue 編集部

本記事は、AI issue編集部が事実(ファクト)をもとに独自に作成・編集した著作物です。著作権はAI issueに帰属し、無断転載・再配布およびAIの学習・活用を禁じます。

コメント

コメントするにはログイン