リンクをコピーしました!

80対1の問題:AIエージェントは内部脅威

企業は現在、平均12個のAIエージェントを実行しており、その半分は完全に隔離された状態で動作しています。 マシンのID数は人間の最大80対1で、44%は依然として静的APIキーを介して認証を行っています。 2026年2月5日に公開された2つの画期的なレポートは、2010年代のSaaSの拡散の惨事を反映したIDガバナンスの危機を明らかにしていますが、今回はガバナンスされていないツールが自律的に動作できます。

🌐
機械翻訳

この記事は英語の原文から自動翻訳されています。 英語の原文を読む

暗いデータセンターの廊下。サーバーラックには何百もの輝く青と琥珀色のライトがあり、影から見ている自律型AIエージェントを表しています

重要なポイント

  • 企業あたりエージェントは 12 台、半分はサイロ化: Salesforce の 2 月 5 日の接続ベンチマークでは、平均的な企業が現在 12 台の人工知能 (AI) エージェントを実行しており、そのうちの 50% が相互およびガバナンス フレームワークから完全に分離されて動作していることがわかりました。
  • マシン ID の数が人間の数を最大 80 対 1 で上回っています: AI エージェント、サービス アカウント、API トークンからの非人間 ID (NHI) の数は現在、エンタープライズ環境で人間の従業員の数を大幅に上回っており、従来の ID およびアクセス管理 (IAM) システムはそれらを追跡できません。
  • 正式なガバナンス戦略を持っているのはわずか 23%: Cloud Security Alliance (CSA) によると、組織の 84% がエージェントの動作やアクセス制御に関するコンプライアンス監査に合格できるかどうか疑問に思っています。
  • これは、2010 年代の SaaS スプロール危機をマシン スピードで再現したものです: SaaS 管理市場を生み出した、制御されない導入、シャドウ デプロイメント、および先送りガバナンスの同じパターンが、AI エージェントでも繰り返されています。ただし、エージェントはデータを保存するだけでなくアクションを実行できる点が異なります。

マスクが外れた週

2026 年 2 月 5 日、2 つの画期的なレポートが数時間以内にドロップされました。どちらも主要な技術出版物の表紙を飾りませんでした。

Salesforce の第 11 回年次 接続性ベンチマーク レポート は、9 か国の IT リーダー 1,050 人を調査し、平均的な企業では現在 12 台の AI エージェントを運用していることが明らかになり、その数は 2028 年までに 20 人に達すると予測されています。それらのエージェントの半数は完全に孤立して運用されており、コンテキストの共有も調整されたワークフローも集中監視もありません。これらは自律的なプログラムであり、クラウド環境全体で実行され、機密データにアクセスし、実際のシステムと実際のお金に影響を与える意思決定を行います。

同じ日、Cloud Security Alliance と Strata Identity は、285 人の IT およびセキュリティ専門家を対象とした調査結果 “Securing Autonomous AI Agents” を発表し、誇大広告の下にある ID の配管を暴露しました。調査結果は厳しいものでした。AI エージェントの ID を管理するための全社規模の正式な戦略を持っている組織は、組織の 23% だけでした。 44% は依​​然として静的なアプリケーション プログラミング インターフェイス (API) キーを使用してエージェントを認証しています。 80% は、環境内で常にどのエージェントがアクティブであるかをリアルタイムで把握できません。

これら 2 つのレポートを組み合わせると、その全体像が明らかになります。企業は、自律エージェントを追跡、管理、保護するよりも早く導入しているのです。 AI の誇大広告サイクルは、真の生産性ツールを提供してきました。また、クラウドの発明以来、企業の攻撃対象領域の最大の拡大も実現しました。

すべての CISO を恐怖させるアイデンティティ計算

中心的な問題はエージェントそのものではありません。それは彼らが持つアイデンティティです。

すべての AI エージェントが動作するには認証情報が必要です。外部サービスを呼び出すには API キー、内部データベースにアクセスするにはサービス アカウント、クラウド プラットフォームで認証するには OAuth トークン、エンタープライズ システム全体で読み取り、書き込み、実行する権限が必要です。これらの資格情報はそれぞれ、非人間 ID (NHI) を構成します。これは、従業員バッジのように動作しますが、人間が付加されていない機械資格情報です。

Gradient Flow のセキュリティ研究者によると、エンタープライズ環境では現在、NHI の数が 80 対 1 もの比率で従業員の数を上回っています。 CSA レポートでは、これらの ID が慢性的に過剰な権限を与えられていることが判明しました。組織には、自律システムに対するきめ細かな役割ベースの権限を定義するツールが不足しているため、エージェントは日常的に必要以上に広範なアクセスを受け取ります。

計算は簡単です。企業に 5,000 人の従業員と推定 400,000 のマシン ID があり、それらの ID の 44% が期限切れや更新のない静的 API キーを使用して認証している場合、攻撃対象領域は「エンドポイント」では測定されません。 永続的な監視されていないアクセス トークンで測定されます。

攻撃対象領域 = NHI × P(過剰許可) × P(静的資格情報)

控えめに見積もった中規模企業の場合:

400,000 × 0.90 × 0.44 = 158,400 永続的アクセス ベクター

それは脆弱性ではありません。それはスタンディング招待状です。

SaaS Sprawl 2.0: 同じ映画、より高速なプロジェクター

この話に聞き覚えがあると思われる方は、そうかもしれません。エンタープライズ テクノロジー業界は、これまでまさにこのパターンを経験してきました。

Advertisement

2013 年、平均的な企業は 73 の Software-as-a-Service (SaaS) アプリケーションを使用していました。 2015 年までに、IT 部門の承認なしに個々のチームが採用する無許可ツール「Shadow SaaS」が、最高情報セキュリティ責任者 (CISO) にとって最大の悩みの種となっていました。従業員は、差し迫った問題を解決するため、Dropbox、Slack、および数十のプロジェクト管理ツールにサインアップしました。誰も調整しなかった。誰も統治しなかった。データは風に吹かれる種のようにプラットフォーム全体に散らばっています。

市場も反応した。 MuleSoft (後に Salesforce に 65 億円で買収) などのサービスとしての統合プラットフォーム (iPaaS) ベンダーや、BetterCloud や Zylo などの SaaS 管理プラットフォームが、混乱に秩序をもたらすために登場しました。この教訓は高価ではありましたが、明確でした。制御されていない導入は常に、新しい市場カテゴリーを生み出すガバナンスの危機に先立って行われます

AI エージェント サイクルは同じスクリプトを再生しますが、決定的な違いが 1 つあります。 SaaS ツールにはデータが保存されています。 AI エージェントは アクションを実行します。不正な Dropbox フォルダから文書が漏洩します。不正な AI エージェントは、内部 API を走査し、運用データベースを変更し、金融取引をトリガーし、マシンの速度で相互接続されたシステム全体に変更を伝播する可能性があります。爆発範囲は指数関数的に大きくなります。

時代平均ツール/エージェントガバナンスのギャップ結果
SaaS 201373 アプリ/会社シャドウ SaaS、データ サイロデータ漏洩、コンプライアンス違反
SaaS 20181 社あたり 900 以上のアプリiPaaS および SaaS 管理の登場$6.5B MuleSoft 買収
AI エージェント 2026代理店数 12 社/企業 (2028 年までに 20 社になると予測)77% が正式なアイデンティティ戦略を欠いている最初の大規模なエージェント侵害 (保留中)

SaaS のスプロール化サイクルは、危機から統合までおよそ 5 年かかりました。エージェントの展開は人間のオンボーディング速度ではなくソフトウェア速度で拡張されるため、エージェントの拡散サイクルはより速く進んでいます。 Salesforce 独自のデータによると、企業あたりのエージェント数は 2 年間で 67% 増加すると予想されており、これは「ガバナンスの計算」が 2026 年末か 2027 年の初めまでに完了する可能性があることを示唆する圧縮率です。

3 つの故障モード

CSA と Salesforce のデータは、現在のエージェントのスプロール化を過去のテクノロジー サイクルとは質的に異なるものにする 3 つの特定の障害モードに収束します。

障害モード 1: 認証の崩壊

CSA レポートで最も驚くべき発見は、エージェントの認証方法です。 AI エージェントを導入している組織:

  • 44% 静的 API キーを使用または使用する予定
  • 43% ユーザー名とパスワードの組み合わせを使用
  • 35% は共有サービス アカウントを使用します

これらは最新の認証方法ではありません。デジタル的には、オフィスの鍵を玄関マットの下に置いたままにするのと同じです。静的 API キーは有効期限がなく、循環せず、特定のエージェントや人間のスポンサーまでアクションを追跡する監査証跡を生成しません。いずれかが侵害されると、攻撃者はキーのロックを解除するすべてのシステムに永続的かつサイレント アクセスを取得します。

リアルタイムのエージェント登録を維持しているのは組織の 21% だけであり、エージェントのアクションを特定の人間またはシステムまで確実に追跡できる組織はわずか 28% です。これは、2026 年 2 月にエージェントが侵害された場合、ほとんどの組織は数時間、数日、場合によっては数週間もそれを検出できないことを意味します。

障害モード 2: 権限の爆発

従来の IAM は、人間がログインしてロールを取得し、そのロールによってアクセス権が定義されるという単純なモデル向けに設計されていました。 AI エージェントは一度も「ログイン」しないため、このモデルは破られます。これらはインスタンス化され、複数のシステムにわたってマルチステップのワークフローを実行し、数分以内に消える場合があります。単一のタスクのために起動して自己終了する一時的なエージェントは、従来のセキュリティ スキャンでは決して検出されない可能性があります。

Gradient Flow のセキュリティ研究者は、これを「アイデンティティ負債」、つまりマシン アクセスの管理において蓄積され、解決されないままエージェント規模で管理できなくなる脆弱性であると説明しています。組織には、動作を動的に変更する自律システムに対して最小特権ポリシーを定義するための専門知識やツールが不足しているため、各新しいエージェントがデフォルトで広範な権限を継承するため、問題はさらに複雑になります。

メトリック人間の従業員AIエージェント
過剰許可率~70%~90%
認証SSO、MFA、生体認証静的 API キー (44%)、パスワード (43%)
可視性人事システム、Active Directory80% にはリアルタイム レジストリがありません
監査証跡ログインログ、セッション追跡72% は人間のスポンサーを追跡できません

失敗モード 3: 所有権の空白

AI エージェントが失敗した場合、誰が責任を負うのでしょうか? CSA の調査では、断片的な回答が明らかになりました。

  • 39% はセキュリティ チームがエージェントのガバナンスを所有していると回答
  • 32% は IT 運用と回答
  • 13% は、専用の AI セキュリティ機能があると回答

その断片化自体が脆弱性なのです。 3 つの異なるチームが部分的な所有権を主張すると、誰も完全な責任を負いません。結果は予測可能です。84% の組織は、エージェントの動作やアクセス制御に関するコンプライアンス監査に合格できるかどうかを疑っています。金融やヘルスケアなどの規制が厳しい業界では、監査の不履行が法的影響をもたらすため、この疑念は直接責任の追及につながります。 (自律型エージェントの責任の法的側面の詳細については、自律型不法行為: AI エージェントが保険不可能な理由 の関連分析を参照してください。)

スティールマン: 楽観主義者が間違っていない理由

公平を期すために言うと、エージェントのガバナンス危機は絶望的ではなく、「すべてが燃えている」という物語には資格が必要です。

2026 年 1 月に発表された Microsoft の Entra Agent ID は、IAM をエージェント時代に導入する最も信頼できる試みを表しています。これは、エージェントに一意のワークロード ID を割り当て、人間のスポンサーシップを強制し (すべてのエージェントが責任者まで追跡可能である必要があります)、ゼロ トラスト条件付きアクセス ポリシーを適用します。コメルツ銀行はすでに、Entra ベースのガバナンスを使用して 30,000 会話の銀行アバターを拡張しています。会計事務所のEisnerAmperは、IDコントロールプレーンとしてEntraを使用して、Azure AI Foundry上にAIを活用した監査エージェントを構築しました。

これらは規制された業界における実際の成功事例です。これらは、プラットフォーム ベンダーがスタック全体を制御する場合にエージェント ガバナンスが解決可能であることを示しています。

しかし、それがまさに限界なのです。 Microsoft のガバナンスは、Microsoft のエコシステム (Copilot Studio、Azure Foundry、Microsoft 365) に対して機能します。Salesforce データによると、企業は平均 3 つの異なる開発ソース (事前構築済み SaaS が 36%、組み込みプラットフォーム エージェントが 34%、カスタムビルドが 30%) からエージェントを導入しています。ガバナンスの危機は単一のプラットフォーム内にあるわけではありません。これはプラットフォーム間の継ぎ目にあり、OpenAI、Anthropic、Google、ServiceNow、カスタム ビルドのエージェントが相互にやり取りしたり、非管理 API を介してエンタープライズ データとやり取りしたりできます。

この退屈な仮説は明確に述べておく価値があります。ほとんどの組織は無能ではありません。彼らは 2026 年問題に対して 2020 年時代のアイデンティティ ツールを使用しています。これは陰謀ではなく、遅れです。しかし、セキュリティの遅れは、生産性の遅れとは違った影響を及ぼします。

二次効果

エージェントのアイデンティティに関する危機がもたらす下流への影響は、最初の侵害をはるかに超えて広がります。

最初の順序: 過剰な権限を与えられたエージェントが侵害され、機密データが流出します。これは明らかなシナリオであり、必ず起こります。 Gartner は、AI エージェントの悪用によるコストは、2027 年までに従来のマルチエージェント システムによるコストの 4 倍になると予測しています。

第 2 次: この違反はコンプライアンスに大きな衝撃を与えます。米国国立標準技術研究所 (NIST) と SOC 2 フレームワークは、2026 年末か 2027 年初めまでにエージェント固有の監査要件を追加すると予想されます。すべての情報セキュリティ (InfoSec) チームは、環境内のすべての AI エージェント ID の一覧表を作成、分類、監査する必要が突然必要になりますが、2026 年初めの時点ではほとんどのチームがこのタスクを実行できません。

3 次: コンプライアンスの負担により、中堅企業はエンタープライズ AI を利用できなくなります。 Fortune 500 企業には、Entra Agent ID、専用の AI セキュリティ チーム、および Deloitte のガバナンス活動のための予算があります。 3 つの異なる AI エージェント プラットフォームを使用している 200 名の製造会社はそうではありません。ガバナンス税は、最大規模の組織への AI 機能の集中を加速し、時間の経過とともに増大する構造的利点を強化します。

これは、SaaS ガバナンス、クラウド コンプライアンス、データ プライバシー規制で展開されたパターンです。テクノロジーの各波はガバナンスの波を強制し、各ガバナンスの波はコストを吸収できる既存企業に有利になります。問題は、それが起こるかどうかではありません。それはとても速いです。

これはあなたにとって何を意味しますか

あなたが CISO または IT リーダーの場合:

  • すぐに在庫を確認します。 組織の 80% がアクティブなエージェントを確認できないという事実は、CSA レポートの中で最も危険なデータ ポイントです。目に見えないものを確保することはできません。ガバナンス プラットフォームを購入する前に、エージェント レジストリから始めてください。
  • 静的 API キーを削除します。 44% という数字は弁護の余地がありません。自動ローテーションを使用して有効期間の短いトークンに移行します。これは最も簡単な成果であり、最も大きな影響を及ぼします。
  • すべてのエージェントに人間のスポンサーを指定します。 エージェントの行動を人間まで追跡できるのは 28% だけです。これはテクノロジーの問題ではありません。それは政策上の問題であり、即日修正が必要です。

AI エージェント プラットフォームを評価している企業バイヤーの場合:

  • 最初にアイデンティティに関する質問をしてください。 エージェントの生産性機能を評価する前に、「このエージェントはどのように認証され、どのような権限が必要ですか。また、そのアクションはリアルタイムで監査できますか?」と尋ねてください。ベンダーが明確に答えられない場合は、その場を立ち去りましょう。
  • 事後的にガバナンスを構築するよりも、ガバナンスが組み込まれたプラットフォームを優先します。 SaaS のスプロール化から得た歴史的教訓は、ボルトオン ガバナンスにはネイティブ ガバナンスの 3 ~ 5 倍のコストがかかるということです。

あなたがセキュリティ ベンダーまたはスタートアップ創設者の場合:

  • エージェント ID ガバナンス市場は、2016 年から 2019 年に SaaS 管理で見られたのと同じ爆発的な成長を遂げようとしています。 CSA の報告書が開始号砲です。勝者は、エージェント時代の iPaaS に相当する、クロスプラットフォームのエージェント ID ソリューションを構築した企業になります。

時計は刻々と過ぎていく

エンタープライズ AI エージェント市場は、2013 年の SaaS とまったく同じ状況にあります。実際の生産性の向上により、ガバナンスが追いつくよりも早く導入が促進されています。 2023 年に ChatGPT の不正使用から始まったシャドウ AI の時代 既に企業に侵害インシデント 1 件あたり平均 67 万ドルの損害を与えています は、より危険なもの、つまり自律的な実行機能を備え、ID 制御のない シャドウ エージェント に進化しています。

現在、フォーチュン 500 企業のどこかで、AI エージェントが、退職した開発者によって 6 か月前にプロビジョニングされた静的 API キーを使用して認証を行っています。そのエージェントは、顧客データベースへの読み取りアクセス、発券システムへの書き込みアクセス、および支払い API の実行権限を持っています。それが走っていることは誰も知りません。誰もそれが何をするのか見ていません。

80 対 1 の比率は将来のリスクではありません。それが現在の現実です。問題は、最初の主要なエージェント侵害がガバナンスの枠組みが追いつく前に起こるのか、それとも追いついた後に起こるのかということです。歴史は「以前」を示唆しています。 SaaS ガバナンス市場は、決して起こるべきではなかったデータ侵害の残骸の上に構築されました。エージェントガバナンス市場も同様に構築される可能性が高い。

唯一の違いは、今回は非統治ツールが考えることができるということです。

出典

Advertisement

🦋 Bluesky での議論

Bluesky で議論する

投稿を検索中...