AIエージェントアプリケーション開発者のためのAuth0、セキュリティを強化してもユーザー体験を犠牲にしない

AIエージェント構築に向けての2つの開発要件

　最初に登壇したシブ・ラムジ氏は、講演の冒頭で「AIを正しく活用するには、アイデンティティを正しく理解しなくてはならない」と強調した。ある調査会社の予測によれば、2034年までにAIエージェントの市場規模は2,360億ドルを超えるという。アプリケーションを提供している会社の開発者はその中心にいて、これからの企業オペレーションのインフラ構築のリーダーの役割を担おうとしている。

　すでにAIエージェントアプリケーションの構築は始まっているが、B2B向けであれ、B2C向けであれ、ユーザーに今後の積極的な活用を促すには、誰がどのデータにどうアクセスできるかを制御できることが前提になる。しかし、市場からの期待の高まりに反して、昨今のニュースからはAIエージェント由来のインシデントの報告が増えてきた。アプリケーションベンダーの顧客の中には将来を不安視する者もいるが、一つ明らかになったのは、どんなに迅速な対応が求められても、セキュリティを後回しにはできないことだ。

　Auth0は、人間のアイデンティティ管理のための製品提供を通して、開発者を支援してきた。この取り組みを拡張し、人間と同様にAIエージェントについても同様の厳しさでセキュリティを担保し、AIエージェント時代に向けての製品強化を継続できるように支援する。ラムジ氏は、AIエージェント時代のアプリケーション開発要件を2つ挙げた。その1つは「製品にAIを導入すること」だ。これは単なる機能としてではなく、全く新しいユーザー体験を提供することを意味する。そして、もう1つが「製品をAIレディにすること」だ。AIエージェント同士が協力して複雑なタスクを実行する。いわゆるマルチエージェントのユースケースを安全に実装するための準備が求められている。

　AIエージェントアプリケーションの構築では、設計段階からセキュリティを組み込む「Security by Design」が必要になる。ラムジ氏は、その前提知識としてAIエージェントの2つの特徴を指摘した。まず、AIエージェントは予測不可能であることだ。オープンエンド型の質問を受け付け、決定論的ではない。また、AIエージェントはシステムアーキテクチャーを変える。「AIエージェントはプレゼンテーション層になり、APIになり、時にはデータが前面に出ることもある。従来の三層アーキテクチャーでは対応できず、テクノロジースタックを再構築することになるだろう」とラムジ氏は付け加えた。

AIエージェント構築のために提供するAuth0 for AI Agents

　アイデンティティ管理は、顧客の資産を保護しながらも、優れたユーザー体験を備えたAIエージェントアプリケーションを構築するための実現手段になる。そこでOktaが提供するのがAuth0 for AI Agentsである。これは、AIエージェントがツール、ワークフロー、ユーザーのデータに安全に接続できるようにするためのツールを提供するもので、B2C、B2B、社内アプリケーション、どの場合にも対応する。「AIエージェントのセキュリティを担保し、アプリケーションベンダーが開発に集中できるよう支援したい」と、ギャレス・デイヴィス氏はAuth0 for AI Agents提供の狙いを語り、架空の会社AgentRFPを例に、デイヴィス氏は機能を紹介した。

　AgentRFPは、ユーザーからの依頼に応じて、AIエージェントがRFP（Request for Proposal）への回答となる提案書を自動的に作成し、迅速な顧客への提出とより多くの案件獲得を支援している。たとえば、営業担当者のクレアが顧客からRFPを受け取ったとする。いつものクレアは、CRMアプリケーション、社内Wiki、RFPデータベースなどにアクセスし、情報を収集する。では、クレアに代わってAgentRFPのAIエージェントにこの作業をやってもらう場合、どうやってセキュリティを強化するのか。デイヴィス氏が示したのは、Auth0が提供する「ユーザー認証」「安全なAPIアクセス」「監査可能な非同期インタラクション」「きめ細かいデータアクセス」という、Auth0ユーザーの開発者にはお馴染みの4つの機能を利用することだ。

　AIエージェントがAgentRFPにアクセスを求めてきたとする。まず、適切な人物の代理として動くユーザーかを確認する必要がある。ここで利用するのは、人間のユーザーと同様のユーザー認証である。また、安全なAPI連携のためにはToken Vaultを利用する。トークンとは、ユーザーが誰かを確認し、特定のアクションを実行する権限の有無を判断する情報で、Token Vaultを利用することで、CRMアプリケーションなど、AIエージェントの外部アプリケーションへのAPIアクセスを安全に管理できる。

　そして、AIエージェントが実行するタスクに人間が関与するHuman-in-the-Loopを取り入れる上で役に立つのが、非同期認証である。たとえば、クレアが成果物である提案書を顧客に提出する前、誰かにレビューを受けてから最終化するようにしたい。非同期認証はこれを可能にするだけでなく、誰が何をいつなぜ行ったかが、明確に記録されるので、監査証跡も残せる。また、提案書を作成するとき、過去の成果物を参照するが、一部に機密性の高い情報が含まれている場合など、全部を参照していいとは限らない。ユーザー単位、あるいはアセット単位など、アプリケーション単位よりも細かい許可を設定できるようにするのがFGA for RAG（Fine-Grained Authorization for Retrieval-Augmented Generation）になる。