IT・セキュリティリーダー150人に調査、AIエージェントのセキュリティ実態と懸念点──Okta

　Oktaは、2026年1月にIT・セキュリティの意思決定者150人を対象に実施した、AIエージェントのセキュリティに関する調査（AlphaSightsに委託）の結果を発表した。

主要な要点

• AIセキュリティのパラドックス（戦略的優先度 vs 準備状況）：回答者の86％がAIエージェントを「非常に重要」と見なしているが、現在のアイデンティティ管理システムで、AIエージェントを大規模に管理するための十分なセキュリティの準備ができていると回答したのは27％だったという
• AIエージェントの制御が契約更新の決定を左右する：ほぼすべての回答者（98％）が、次回の契約更新において、AIエージェントの制御機能を何らかの形で考慮に入れているという。また、17％の回答者は、それが「不可欠な要件」になると回答しているとのこと
• 標準化プロトコルは企業採用への「青信号」：回答者の95%が、Cross App Access（XAA）のような標準プロトコルがあれば、AI導入に対する信頼性が向上すると述べている
• データ漏洩と過剰なアクセス権限が採用の最大の障壁：AIエージェント採用における最大の懸念は「データ漏洩と流出」であり、次いで「過剰なアクセス権限の付与」を挙げているという
• 標準化されたセキュリティを優先：回答者は、AIプラットフォーム、主要ビジネスアプリ、IT・開発スタックを含む、重要なソフトウェアハブの保護に注力しているとのこと

最大のセキュリティ懸念：データ漏洩と過剰なアクセス権限

　AIエージェントに関する最大のセキュリティ懸念として「データ漏洩と流出」が挙げられ、次に「過剰なアクセス権限の付与」が続いている。

　これらの懸念に加え、回答者は、「不正なエージェントアクセス」、「シャドーAI統合」、「認証情報の拡散とシークレット管理」などを指摘しているとのことだ。

調査データの分析：セキュリティ標準が導入への確信を深める

　調査データは、標準プロトコルの採用とAIエージェント導入のスピードとの間に直接的な相関関係があることを示しているという。特に、標準プロトコルであるCross App Access（XAA）について具体的に尋ねたところ、回答は圧倒的に肯定的だったとのことだ。XAAは、企業がAIエージェントのアクセス承認、権限の範囲設定、即時遮断を可能にし、標準化された監査可能な接続を提供するための標準プロトコルだという。

　回答者の95％が、XAAの採用によってAIエージェント導入の信頼性が向上すると回答。意思決定者は、個別のツールごとに異なるセキュリティ対応を強いられる現状からの脱却を望んでいるという。彼ら彼女らが求めているのは、AI戦略の拡大に合わせて柔軟にスケールできる「エンタープライズ対応の制御基盤」なのだとしている。

　XAAがもたらすメリットをランク付けした際、回答者は以下の項目を高く評価したとのことだ。

• 最小権限の適用：提示された項目の中で最も有益度の平均スコアが高く、回答者が有益であると見なしていることを示す
• 連携アクセスの一元管理と即時遮断：二番目に有益度の平均スコアが高く、この項目を選んだ回答者数が最も多かった
• 監査証跡の改善：有益度の平均スコアのランキングでは６番目だが、この項目を選んだ回答者数は2番目に多かった
• 調達の現実：AIエージェントの制御は今や契約更新時の優先事項である

　ISV（独立系ソフトウェアベンダー）にとってのビジネスチャンスは明確だという。回答者の98％が、今後の更新においてAIエージェントの制御機能を何らかの形で考慮しているとのことだ。調査によると、XAAのような標準化されたセキュリティプロトコルをサポートすることは、今や多くの企業顧客にとって要件になっているという。

• 不可欠な要件（17％）：17%の回答者が、高額なアプリケーション更新において、AIエージェントのセキュリティ制御を「不可欠な要件」と位置付けている
• 強い好影響（59％）：さらに59％の回答者が、これらの機能はプラットフォームの継続利用に「強い好影響」を与えると報告
• 中程度の好影響（22%）：22%の回答者が、AIエージェントの制御機能が契約更新の決定に「中程度の好影響」を与えると回答

AIエージェントのセキュリティにおけるエコシステム全体での優先事項

　企業は、XAAの採用を求める対象として、特定のアプリに留まらない広範なアプリケーションのエコシステムを想定しているという。単一のツールに注力するのではなく、インテリジェンスを生成する「モデル」から、そのインテリジェンスが活用される「生産性スイート」や「開発リポジトリ」に至るまで、スタック全体を網羅するセキュリティを優先しているとのことだ。

　これらのハブを保護することは、自律型AIエージェントをより広範に展開するための基盤となるステップだという。これにより、AIエージェントが現代企業の中核となるシステム間を、安全に移動・連携できる環境が整うとしている。

ISVが取り組むべきこと

　調査で明らかになった優先事項に基づき、ISVはAIロードマップにおいて、XAAのような相互運用可能な標準プロトコルの採用を優先し、以下を提供すべきだとしている。

• 最小権限の適用： 顧客が独自のアイデンティティプロバイダーを通じてタスクやリソースごとに範囲が制限された権限を強制できるようにする。これにより、従来のAPIキーの限界を打破し、回答者が挙げた2番目に高い懸念事項である「過剰なアクセス権限の付与」に対処する
• 連携アクセスの一元管理と遮断： IT管理者が、接続されているすべてのアプリケーションにわたるAIエージェントのアクセス状況を、単一の中央管理画面で可視化し、即座に遮断できるようにする。これはXAAのメリットとして回答した数が最も多かったものであり、導入に摩擦を感じている回答者の69％が直面している「可視性のギャップ」を解消する
• アイデンティティに紐付いた監査可能性： 匿名のサービスアカウントを廃止し、全ての自律的なアクションを特定のAIエージェントのアイデンティティとその開始ユーザーに紐付ける「イベントレベルのログ」に置き換える。これにより、本番運用への移行に不可欠な「誰が、何を、いつ行ったか」という監査証跡を確立できる。これは、導入への信頼性を大幅に向上させると回答した49％の意思決定者が重視している要件である

同調査の概要と対象者

　同調査は、AIエージェントの導入におけるセキュリティ上の課題とニーズを明らかにすることを目的に、Oktaの委託によりAlphaSightsが2026年1月に実施。北米を中心としたグローバル企業のIT・セキュリティリーダー150名を対象に実施したという。回答者の93％がAIプラットフォームの選定において最終決定権または中心的な意思決定権を持っており、その全員が部長職以上の経営幹部層で構成されているとのことだ。