増殖する「シャドーAI」から企業を守るには？　AIエージェントを安全に活用する4つのステップ

AIエージェントの浸透　浮き彫りになった「シャドーAI」のリスク

　近年、AI技術の急速な進化にともない、ビジネス現場におけるAI活用は新たなフェーズに突入している。テキスト生成や要約といった単一のタスクをこなすLLM（大規模言語モデル）に基づいた生成AIの利用から、ユーザーの代わりに自律的に思考し、複数のツールを駆使して複雑な業務を遂行する「AIエージェント」の活用へとシフトしつつある。

　多くの企業が業務効率化の切り札としてAIエージェントに大きな期待を寄せる一方、セキュリティの観点からは新たな課題も持ち上がってきた。Okta Japan フィールドCTO 日本担当の井坂源樹氏は、企業におけるAI活用の実態とリスクの高まりについて次のように述べる。

　「公開データを学習したLLMだけでは、業務利用の範囲が限定的にならざるを得ません。その点、人の代わりに自律的に振る舞うAIエージェントが、企業内のデータベースやSaaSアプリケーションといったリソースに直接接続し、自律的にタスクを実行することで初めて真のビジネス価値が生まれます。しかし、AIが高度な能力を発揮するとともに、セキュリティ上のリスクが高まっていることも事実です」（井坂氏）

　AI利用に関するリスクといえば、一般的には機密情報の漏えいやハルシネーション、著作権リスク、プロンプトインジェクションなどが真っ先に思い浮かぶ。しかし、井坂氏によれば真に深刻なのは、自律的に動作し企業内のリソース（情報）にアクセスするAIエージェントであり、それが企業ネットワークで適切に管理されないまま増殖する「シャドーAIエージェント」の存在だという。

　「現在最も懸念すべきは、把握できていないAIエージェントが社内に増加していることです。AIエージェントがどこに存在しているのか、社内のどのシステムやデータにつながっていて、一体何をしているのかが管理者からまったく見えていません。過度な権限をもったAIエージェントも散見され、適切に利用できていないことが最大の課題です」（井坂氏）

　また、こうした課題を解消し、AIエージェントを安全に活用するためには、AIエージェントの「可視化（検出）」「登録」「制御（保護）」「統制」という、4つのステップからなるライフサイクル管理が不可欠だと同氏は強調する。

4ステップで「AIエージェント」を安全に利用する方法とは

　4つのステップを効率的に実施し、AIエージェントを安全に利用するためのソリューションとしてOktaが2026年4月から提供しているのが、「Okta for AI Agents」と呼ばれる新製品だ。

　同製品では前出の4ステップのうち、1ステップ目の「可視化（検出）」を担えるよう、社内に潜むシャドーAIを効果的に検出する機能を備えている。具体的には、2つの手法を用いて検出を行う。

　1つ目は、ブラウザプラグインを用いてトラフィックを監視し、未把握のアプリケーションからシャドーAIエージェントを検知するアプローチだ。

　「AIエージェントが接続を試みる際、多くの場合OAuthによる同意画面がユーザーに提示されます。しかし、個人の判断で接続の可否を決めることは極めてリスクが大きく、管理されていない状態を招いてしまうでしょう。そこでブラウザプラグインが連携を許可しようとする瞬間を捉え、シャドーAIエージェントを検知します」（井坂氏）

　2つ目のアプローチは、企業が利用するAIプラットフォームから直接AIエージェントを検知するというもの。たとえば、Salesforce AgentforceやMicrosoft Copilot Studio、Amazon Bedrock、Google Vertex / Geminiといった主要なAIプラットフォームに対して、APIを通じてAIエージェントとその権限を検知する。そこから収集されたデータは、Oktaの「Identity Security Posture Management（ISPM）」ダッシュボードに集約され、AIエージェントの稼働状況を“アイデンティティ情報の一部”として一元的に把握できるようにする計画があるという。

　この可視化につづく第2ステップが「登録」である。第1ステップで検知されたAIエージェントは、Okta上でエージェントのアイデンティとして作成・登録され、以降はユーザーと同様に一元的に管理可能だ。

　「登録プロセスでは、単にリスト化するだけでなく、AIエージェントの所有者（オーナー）を割り当てることが重要です。誰の代わりに、どのリソースに、どのようなスコープで接続するのかを一元的に制御し、オーナーを定めることでガバナンスを確立していきます」（井坂氏）

ユーザー任せの同意を排除　AIエージェントとアプリ接続を一元管理する

　こうして可視化と登録を終え、社内のAIエージェントがOktaの管理下に入った後に求められる第3ステップが「制御（保護）」だ。同ステップにおける最大のテーマは、エンドユーザーによる“無秩序な同意”を排除し、企業全体としてのガバナンスを確立することにある。

　「アプリケーションへのアクセス要求に対して、これまではエンドユーザーがOAuthのプロセスを通じて同意の操作を行うことで認可を与えてきました。しかし、この操作の実態を管理者が把握する術がなかったため、誰が何を許可しているのかが見えない状態です。さらに同意が多すぎるために『同意疲れ』を引き起こし、ユーザーが深く考えずに同意してしまうリスクも生じています」（井坂氏）

　この課題を根本から解決するためにOktaが推進しているのが、「Cross App Access（XAA）」という新たな認可の仕組みである。

　「アプリケーション間接続の管理を、ユーザーから管理者（企業）の手に取り戻すことが何より重要です。XAAを活用すれば、AIエージェントの接続先リソース（アプリケーション）の認可をアプリケーションごとにばらばらに行うのではなく、管理者が一元的に管理できるようになります。アプリケーションごとの同意管理を不要にすることでユーザー体験を向上させつつ、企業側での強力な認可管理を実現します」（井坂氏）

　このXAAの仕組みは現在、IETFのOAuthワーキンググループに「Identity Assertion JWT Authorization Grant」としてドラフト採択されており、MCP（Model Context Protocol）の仕様にも追加されるなど、標準化に向けて調整されているという。

　なお、Oktaでは多数のSaaSベンダーとXAAの実装に向けた協業を進める一方で、企業が自社開発するアプリケーションにもXAAを容易に実装できるよう、「Auth0 for AI Agents」と呼ばれる仕組みも提供している。

AIエージェントの権限を継続的に見直し、統制することが肝要に

　ライフサイクル管理における最後のステップが、第4ステップの「統制」だ。一度Oktaに登録し、ポリシーを設定して制御下においたAIエージェントであっても、「定期的な見直しは欠かせない」と井坂氏は指摘する。

　「Oktaでは、管理・把握しているAIエージェントを棚卸しするプロセスまでも自動化できます。アクセス認定機能を用いて、AIエージェントのアクセス権限や活動の監視を継続的に行い、リスクを検出する仕組みです」（井坂氏）

　アクセス認定（Access Certifications）の機能では、蓄積されたインベントリ情報を基にしてAIエージェントの利用状況を一覧化できる。これにより管理者やオーナーによる、棚卸し作業を省力化できるという。

　「AIエージェントの詳細やリスクレベル、過去の履歴などを確認できます。高リスクと判定されたものに対しては、承認（Approve）、取り消し（Revoke）、再割り当て（Reassign）といったアクションを直感的に実行可能です」（井坂氏）

　こうした機能を通じて、Okta for AI Agentsは先述した4ステップのライフサイクルすべてにわたってAIエージェントを保護し、そのセキュアな活用を支援できるという。

　AIエージェントは、企業の生産性を飛躍的に高める可能性を秘めているが、それにともなうアイデンティティ管理とアクセス制御の複雑さは、従来のユーザー管理や単純なAPI連携と比べてはるかに複雑化するだろう。そうした状況下、シャドーAIのリスクを回避しつつ、AIエージェントの自律性を損なうことなく安全に活用していくためには、既存の境界防御や単純な認証、ユーザー任せのシステム間連携に変わる、新たな仕組みが不可欠だと井坂氏は強調する。

　「AIエージェントを把握し、どこにどのように接続するのかをOktaという中央のアイデンティティ基盤で一元的に制御する。そうすることでAIエージェントを企業リソースへとセキュアに接続できるようになり、真のビジネス価値へと昇華させることができるのです」（井坂氏）