2025年8月、Gartnerは「2026年末までに企業アプリケーションの40%にタスク特化型AIエージェントが組み込まれる」という予測を発表した。2025年時点の普及率が5%未満であることを考えると、わずか1年で8倍に膨れ上がる計算である。問題は、各エージェントがデータベース、クラウドサービス、コードリポジトリへのクレデンシャルを必要とすることだ。CyberArkの2025年調査によれば、マシンIDはすでに人間の従業員の82倍に達しているが、68%の組織がAIシステムに対するアイデンティティセキュリティ制御を持っていない。本稿では、エージェント時代に起こる「アイデンティティ爆発」の構造を分析し、最小権限の再定義とエージェント特権マトリクスの設計パターンを提示する。

「アイデンティティ爆発」の構造 ── 82:1の非対称性

従来のIAM(Identity and Access Management)は、人間のユーザーを中心に設計されてきた。1人の従業員に対して1つのアカウント、1セットの権限、定期的なアクセスレビュー。この前提が崩壊しつつある。

Palo Alto Networksが2025年11月に公開した予測レポートによると、企業環境におけるマシンおよびエージェントのアイデンティティは、人間の従業員1人あたり82のIDという比率に達している。Obsidian Securityの調査では、エージェント型AIのスキャンを実施した組織において、従業員1人あたり1〜17のエージェントが検出されている。

この「アイデンティティ爆発」が深刻なのは、各エージェントが独立したクレデンシャルを必要とする点にある。APIキー、OAuthトークン、サービスアカウント、データベース接続文字列──これらがエージェントごとに生成・管理されなければならない。Graviteeが2026年に発表した『State of AI Agent Security 2026』レポートによれば、45.6%のチームがエージェント間認証に共有APIキーを使用し、27.2%が独自のハードコードされたロジックに依存している。

CyberArkの調査では、76%の組織が3年以内にAIエージェントを本番環境に投入する計画だが、CISO(最高情報セキュリティ責任者)の3分の1以上がエージェンティックAIをトップリスクと認識している。導入の加速とセキュリティの不在──この乖離が「アイデンティティ爆発」の本質である。

AIエージェントは「新しいインサイダー」である

Palo Alto Networksの最高セキュリティインテリジェンス責任者ウェンディ・ウィットモアは、2026年1月の寄稿で次のように警告した。「巧妙に作られた1つのプロンプトインジェクション、あるいは『ツール誤用』脆弱性の悪用によって、敵は自律的なインサイダーを手に入れる。そのエージェントは、取引を静かに実行し、バックアップを削除し、顧客データベース全体を流出させるためにピボットすることができる」。

なぜAIエージェントがインサイダー脅威として機能するのか。TheHackerNewsの2026年1月の分析記事は、3つの構造的要因を指摘している。

第一に、エージェントは「常時稼働」である。人間のインサイダーと異なり、休憩も睡眠もとらず、設定が不適切であればクリティカルなAPI、データ、システムへの特権アクセスを保持し続ける。第二に、既存のセキュリティ制御は人間のユーザーと直接的なシステムアクセスを前提に構築されており、エージェントを介したワークフローには不適切である。第三に、IAMシステムは「誰がユーザーか」に基づいて権限を適用するが、AIエージェントがアクションを実行する場合、認可はエージェントのアイデンティティに対して評価され、元の依頼者のIDではない。つまり、エージェントは権限バイパスの経路になりうる。

2025年に発生した実際のインシデントがこの脅威を裏付けている。チャットエージェントの統合が乗っ取られ、Salesforce、Google Workspace、Slack、Amazon S3、Azureにまたがる700以上の組織が影響を受けたSaaSサプライチェーン侵害が確認された。また、GitHub Copilotの脆弱性(CVE-2025-53773)では、プロンプトインジェクションを通じたリモートコード実行が可能であり、攻撃成功率は最大84%に達した。

プロンプトインジェクションからクレデンシャル窃取への攻撃チェーン

エージェントに対する攻撃は、しばしばプロンプトインジェクションから始まる。2025年1月、研究者らはエンタープライズRAGシステムに対するプロンプトインジェクション攻撃を実証した。公開アクセス可能なドキュメントに悪意のある指示を埋め込み、AIに機密ビジネスインテリジェンスを漏洩させ、セーフティフィルターを無効化するようシステムプロンプトを改変し、昇格された権限でAPIコールを実行させた。

この攻撃チェーンが示すのは、エージェントが保持するクレデンシャルの「爆発半径」が人間のそれをはるかに超えうるという事実である。人間の従業員がフィッシングに遭った場合、被害はその個人がアクセス権を持つシステムに限定される。しかし、複数のサービスに横断的なアクセス権を持つエージェントが侵害された場合、被害は瞬時にクラウド全体に拡散する。

さらに深刻なのは「LLMジャッキング」と呼ばれる新たな攻撃ベクトルである。LLMのAPIアクセス用クレデンシャルを窃取し、倫理的なセーフガードを迂回した有料サービスを構築するというもので、Microsoftは2025年にこの手口に関与した犯罪グループに対して民事訴訟を起こしている。MCPサーバーに保存されたOAuthトークンは窃取や不正使用に対して脆弱であり、侵害されたトークンはパスワード変更後も有効であるケースが多い。

最小権限の再定義 ── エージェント特権マトリクスの設計パターン

この危機に対して、業界はどう対応しているのか。2025年後半から2026年初頭にかけて、主要ベンダーが相次いでエージェント向けアイデンティティソリューションを発表している。

Microsoft Entra Agent ID(2026年1月発表)は、AIエージェントを人間と同格の「ファーストクラスアイデンティティ」として扱う。Copilot StudioやAzure AI Foundryで作成されたエージェントに自動的にIDが割り当てられ、ゼロトラストの適応型条件付きアクセスポリシーがエージェントにも拡張される。

CyberArk Secure AI Agents(2025年12月一般提供開始)は、AIエージェント保護に特化した初のアイデンティティセキュリティソリューションである。SaaS、クラウド、開発環境にまたがるエージェントを検出し、ゼロ常設権限とJust-in-Time(JIT)アクセスを適用する。

Okta for AI Agents(2026年初頭提供予定)は、ISPM(Identity Security Posture Management)によるエージェント検出、ユニバーサルディレクトリでのリスク分類、Cross App Access(XAA)プロトコルによるエージェント・アプリ間接続の標準化を提供する。

CrowdStrikeによるSGNL買収(2026年1月)は、リアルタイムのリスクベースでアクセスを付与・失効させるContinuous Identityモデルにより、人間・NHI(非人間アイデンティティ)・AIエージェントの統合管理を目指す。IDCは、アイデンティティセキュリティ市場を2025年の290億ドルから2029年の560億ドルへと成長すると予測している。

これらのソリューションに共通する設計原則は、以下の3つに集約できる。

(1)JIT(Just-in-Time)プロビジョニング:エージェントはランタイムで一時的なアクセスを要求し、クレデンシャルは使用後直ちに失効する。Aembitの実装例では、永続的なシークレットが最大90%削減され、クレデンシャル失効時間は数日からコンマ数秒に短縮された。

(2)暗号学的に検証されたエージェントID:各エージェントに一意の暗号学的アイデンティティを割り当て、ポリシーをランタイムで適用する。共有APIキーやハードコードされたシークレットからの脱却を意味する。

(3)継続的な行動ベースの権限調整:観測された行動パターンに基づいて権限を動的に調整し、未使用の権限を自動的に失効させる。昇格されたアクセスは常に一時的かつ目的限定である。

標準化への動き ── NISTとOpenIDが示す方向性

ベンダー主導のソリューションに加えて、標準化団体による枠組みの整備も進んでいる。NISTのNational Cybersecurity Center of Excellence(NCCoE)は、2026年2月に「ソフトウェアおよびAIエージェントのアイデンティティと認可の導入加速」に関するコンセプトペーパーを公開した。パブリックコメントの受付期間は2026年4月2日までとなっている。

OpenID Foundationは、2025年10月にAIエージェントのアイデンティティ管理に関するホワイトペーパーを公開し、自律的なAI展開に対応するために既存の認証・認可フレームワークがなぜ進化する必要があるかを論じている。

これらの動きが示すのは、エージェントのアイデンティティ管理がもはや個別企業のセキュリティ課題ではなく、産業全体のインフラストラクチャ課題として認識され始めているという事実である。Graviteeの調査で81%のチームがエージェント導入の計画段階を過ぎているにもかかわらず、完全なセキュリティ承認を得ているのはわずか14.4%であり、88%の組織が2025年にセキュリティインシデントを確認または疑っている。標準化なしに安全なエージェント経済は成立しない。

FAQ

「アイデンティティ爆発」とは何か?

AIエージェントの急増により、データベース・クラウド・APIなどへのアクセスに必要なマシンIDとクレデンシャルが爆発的に増加する現象を指す。現在、マシンIDは人間の82倍に達しており、従来のIAMでは管理が困難になっている。

なぜAIエージェントが「インサイダー脅威」になるのか?

エージェントは常時稼働で特権アクセスを保持し、プロンプトインジェクションで乗っ取られると複数システムに横断的に被害を拡散させる。従来のセキュリティ制御は人間を前提としており、エージェント経由の権限バイパスを検知しにくい構造にある。

エージェントの特権管理で最も重要な原則は何か?

JIT(Just-in-Time)プロビジョニングによる一時的なクレデンシャル発行、暗号学的に検証されたエージェントID、行動ベースの継続的な権限調整の3つである。永続的な共有APIキーからエフェメラルトークンへの移行が鍵となる。

企業がエージェントセキュリティに今すぐ取り組むべきことは?

まず、自社環境に存在するすべてのエージェントとそのクレデンシャルを棚卸しすることが最優先である。次に、共有APIキーの使用を廃止しJIT方式に移行し、NISTやOpenIDの標準化動向を注視して自社ポリシーに反映する。

参考文献