AIエージェントのセキュリティ、事業側の導入にブレーキをかけないためのOkta Platformのアプローチ

期待先行のAIエージェント、後回しになるセキュリティとガバナンス

　企業組織内のアイデンティティ数は、従業員のものから、契約社員、マシンやデバイス、AIエージェントのものまで、爆発的な増加を続けている。アイデンティティマネジメントにおける特に大きな変化が、AIエージェントの登場である。企業のAIエージェントへの期待と関心はこれまでにないほどの大きさで、セキュリティは後回しで検討と導入が進んでいる。結果、カスタマーエージェントが、本来提供すべきではない割引を提供したり、開発エージェントが本番環境のリポジトリー全体を削除したりする話を聞くようになった。

　セキュリティリーダーの懸念は膨らむ。たとえば、2025年8月に公開した「Okta AI at Work 2025」レポートによれば、91％の組織がすでにAIエージェントを導入している一方、AIエージェントのようなNHI（Non-Human Identity）を管理するための戦略やロードマップを持っている組織はわずか10％にとどまっているとわかった。管理の行き届かないAIエージェントは、攻撃者にとって格好のターゲットになってしまう。ゲストで登壇したBox Chief Technology Officerのベン・クス氏も、「AIエージェントには、ドキュメントや受信メールの参照、ユーザーの入力プロンプトの監視でユーザーを騙したり、悪意のあるユーザーがデータを改ざんしたり、予期せぬ動作をさせたりするリスクがある」と話していた。

　AIエージェントの脆弱性を狙うような、新しい問題に対応するには、従来型のツールでは難しい。「複数のポイントソリューションをダクトテープで巻くだけのアプローチでは対応できない。制御を簡素化しつつも、保護を強化する統合アプローチが求められている」とクリステン・スワンソン氏は訴えた。

　今のセキュリティリーダーに求められているのは、対策を施した上で、事業側のイノベーションを促すことだ。その実現に向け、Oktane 2025でCEOのトッド・マッキノン氏が提唱したビジョンがIdentity Security Fabricになる。これは、AIエージェントを含む人間以外のアイデンティティを、認証前から、認証中、認証後まで安全に保護することを目指すものだ。扱うアイデンティティの出所、所有者、接続先は問わない。あらゆるアイデンティティタイプ、あらゆるアイデンティティユースケース、あらゆるリソースタイプを、単一のプラットフォーム上に統合し、エンドツーエンドのオーケストレーションを実現する。スワンソン氏は、「このビジョンは、多くのCISO、CIO、CTOから支持を得られると思う」と語った。