増殖する「シャドーAI」から企業を守るには？　AIエージェントを安全に活用する4つのステップ

AIエージェントの権限を継続的に見直し、統制することが肝要に

　ライフサイクル管理における最後のステップが、第4ステップの「統制」だ。一度Oktaに登録し、ポリシーを設定して制御下においたAIエージェントであっても、「定期的な見直しは欠かせない」と井坂氏は指摘する。

　「Oktaでは、管理・把握しているAIエージェントを棚卸しするプロセスまでも自動化できます。アクセス認定機能を用いて、AIエージェントのアクセス権限や活動の監視を継続的に行い、リスクを検出する仕組みです」（井坂氏）

　アクセス認定（Access Certifications）の機能では、蓄積されたインベントリ情報を基にしてAIエージェントの利用状況を一覧化できる。これにより管理者やオーナーによる、棚卸し作業を省力化できるという。

　「AIエージェントの詳細やリスクレベル、過去の履歴などを確認できます。高リスクと判定されたものに対しては、承認（Approve）、取り消し（Revoke）、再割り当て（Reassign）といったアクションを直感的に実行可能です」（井坂氏）

　こうした機能を通じて、Okta for AI Agentsは先述した4ステップのライフサイクルすべてにわたってAIエージェントを保護し、そのセキュアな活用を支援できるという。

　AIエージェントは、企業の生産性を飛躍的に高める可能性を秘めているが、それにともなうアイデンティティ管理とアクセス制御の複雑さは、従来のユーザー管理や単純なAPI連携と比べてはるかに複雑化するだろう。そうした状況下、シャドーAIのリスクを回避しつつ、AIエージェントの自律性を損なうことなく安全に活用していくためには、既存の境界防御や単純な認証、ユーザー任せのシステム間連携に変わる、新たな仕組みが不可欠だと井坂氏は強調する。

　「AIエージェントを把握し、どこにどのように接続するのかをOktaという中央のアイデンティティ基盤で一元的に制御する。そうすることでAIエージェントを企業リソースへとセキュアに接続できるようになり、真のビジネス価値へと昇華させることができるのです」（井坂氏）