昨今、指示された業務を自律的に実行するツールとして、AIエージェントが企業システムや業務プロセスに急速に浸透しています。AIエージェントは、人や従来のアプリケーションとは異なり、長時間・非同期で動作し、複数のシステムやクラウドを横断してIDを利用するという特性を持っています。こうしたAIエージェントを安全に活用するには、「人以外が利用するID(Non-Human ID:NHI)」として厳密に管理・統制することが不可欠です。
AIエージェント活用におけるIDセキュリティの重要性
AIエージェントには、業務効率化や自動化のために強い権限が与えられがちです。さらに、人の操作なしで自律的・継続的に動作するため、問題が起きた場合の影響は非常に大きくなります。特に、AIエージェントの利用が拡大する過程では、次のような状態に陥りやすくなります。
- AIエージェントがどこで、何の目的でIDを利用しているのか把握できない
- 管理責任者が不明なIDが存在する
- 利便性を優先した結果、不要・過剰な権限がIDに付与されたままになる
このような状況は、AIエージェントが既存のID管理の枠組みに十分に組み込まれていないことに起因します。そのため、AIエージェントを安全に活用するには、IDセキュリティの観点から「可視化(棚卸)」「統制(ライフサイクル管理)」「監視」を行うことが重要です。
AIエージェントが利用するIDの可視化(棚卸)
AIエージェントが利用するIDをNon-Human ID(NHI)としてID管理基盤に登録し、以下の情報を一元的に可視化します。
- 利用目的・業務内容
- 管理責任者・承認者
- 付与されている権限・利用先システム
- 利用頻度・最終利用日時
これにより、管理外IDの発生防止、目的が不明確なIDの洗い出し、不要・過剰な権限の特定と是正といった棚卸に基づくID統制が可能になります。AIエージェントを「誰も把握していない存在」にしないことが、AIエージェント時代のIDセキュリティの出発点です。
AIエージェントが利用するIDのライフサイクル管理
人やアプリケーションのIDと同様、AIエージェントのIDは作成した後の運用、変更、廃止を一貫して管理することが重要です。下記のようなライフサイクル管理により、管理外IDの放置や不要な権限の残存を防止することが可能となります。
- 業務開始時にIDを作成し、必要最小限の権限のみを付与
- 利用状況を継続的に監視・記録
- 業務終了や役割変更時には、速やかに権限を見直し、無効化
AIエージェントによるID利用状況の監視
AIエージェントによるID利用は人の操作を伴わないため、気づかないうちに想定外の形で利用されるおそれがあります。したがって、以下のような点について監視することが必要です。
- どのAIエージェントが、いつ、どのシステムにアクセスしたか
- 想定された業務範囲を超えた利用がないか
- 異常なアクセスや挙動の有無
ID利用状況を可視化・監視することで、インシデント発生時の迅速な対応や、継続的な権限最適化につなげることができます。
KPMGによる支援
既存のID管理の枠組みを活かしながら、AIエージェントをNHIとして一元管理することで、AIエージェント時代に対応した統制への拡張を支援します。
