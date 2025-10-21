AI（人工知能） セキュリティー

エージェント型AIとIBM Verify Identity ProtectionによるIDセキュリティの融合

出版された 10/21/2025
著者

Martina Kopic

Product Marketing Manager - IBM

エージェント型AIの時代が到来しました。自律システムは指示に従うだけではありません。意思決定を行い、行動し、イノベーションを加速させます。金融取引の自動化からサイバーセキュリティーワークフローの管理に至るまで、これらのデジタルチームメイトは、営業、財務、人事、IT、セキュリティにわたるオペレーションを変革します。エージェント型AIは私たちの取り組みを増幅する役割を果たし、生産性を高めます。

しかし、エージェント型AIによるイノベーションを推進する自律性は、重大なセキュリティ脆弱性への扉を開き、生産性だけでなくリスクも増幅させる可能性があります。2025年のデータ侵害コストに関するレポートによると、63％の組織にAIセキュリティーおよびガバナンスポリシーがありません。

IBMのX-Force Threat Intelligence Indexレポートによると、データ侵害の30%はIDベースの攻撃から始まり、レガシーのIDおよびアクセス管理（IAM）ツールは自律的で自主的なID用に設計されていませんでした。エージェント型AIの導入が加速するにつれ、組織は管理されていないAIエージェント、シャドーアクセスのリスク、まったく新しい攻撃対象領域に直面しています。

自律型IDと自動化ツールの時代において先頭に立つためには、企業は可視性、制御、ガバナンスのために構築された新しいセキュリティパラダイムが必要です。IBM Verify Identity Protection（VIP）により、組織はスピード、イノベーション、信頼性を維持しながらエージェント型AIを保護できます。

すべてのエージェントはエージェント型AIにあらず：定義が重要な理由

最近の技術会議では、セキュリティーコパイロットから自動化されたITチャットボットまで、エージェント型AIに関する発表が次々と行われました。しかしアナリストらは、単純なオートメーションを完全自律型AIとして再ブランド化するエージェントウォッシングについて警告しています。

Forester社は、多くのいわゆるエージェントは、単なるタスク固有のスクリプトであり、調整されたシステムではないと警告しています。Gartner社は、2027年までに、価値やガバナンスの欠如により、エージェント型AIプロジェクトの40％以上がキャンセルされると予測しています。

セキュリティーリーダーにとって、明確さは重要です。セキュリティー向けのエージェント型AIエージェント型AI向けのセキュリティーの違いを考えてみましょう。

  • セキュリティー向けのエージェント型AI：AIエージェントがフィッシングのトリアージ、脆弱性スキャン、インシデント対応などのセキュリティータスクを実行します。
  • エージェント型AI向けのセキュリティー：すべてのAIエージェントが事業単位で検出可能であり、管理され、最小権限、認証情報のローテーションがあり、行動の変化やポリシー違反が継続的に監視されるようにします。

セキュリティーリーダーがAIエージェントの種類の違いを理解することも重要です。

エージェント型AIの急速な台頭とそのセキュリティー上の盲点

自律型エージェントは、企業ITに根本的な変化をもたらしています。

  • 単機能チャットボットから自律的なデジタルチームまで：最新のAIエージェントは指示に従うだけではありません。多くの場合、特権アクセスを使用して、システム全体でリアルタイムの意思決定を行い、アクションを実行します。
  • 制御された環境から複雑なエコシステムへ：AIエージェントは現在、ハイブリッドクラウド、SaaSプラットフォーム、レガシーシステムにまたがっており、その多くは従来のIAM境界の外側にあります。

しかし、このイノベーションのスピードは、次のような重要な盲点を生み出しています。

  • 管理されていないID： ITガバナンスの外部で作成されたAIエージェントは、適切な認証情報管理、アクセスレビュー、または可視性を欠いていることがよくあります。
  • シャドー・アクセス：AIツールに個人アカウントを使用している従業員は、企業のセキュリティー管理を回避し、ITチームやセキュリティー・チームから活動を見えなくします。
  • 侵害されたエージェント： 乗っ取られたAIエージェントは、ランサムウェアをトリガーしたり、機密データを盗んだり、マシンの速度で不正なアクションを実行したりする可能性があります。
  • 行動の変化： 時間の経過とともに、エージェントは検知されないまま意図したワークフローから逸脱したり、検知されないパターンにアクセスしたりする可能性があり、機密漏れリスクが増大します。
  • ゼロクリック攻撃エージェント型AIが悪用される可能性があり、ゼロクリックハッキングのリスクを増幅させる恐れがあります。

レガシーIAM、IDガバナンス、管理（IGA）システムは、このようなダイナミックで自律的な世界向けに設計されていません。組織には、リアルタイムのオブザーバビリティー、最小権限の適用、エージェント型AI専用の行動分析が必要です。

エージェント型AIのセキュリティーを確保するためのベスト・プラクティス

エージェント型AIのセキュリティ確保は、テクノロジーだけの問題ではありません。アイデンティティセキュリティ、可視性、制御のための強固な基盤を構築することなのです。セキュリティーリーダーが今すぐ実行できる4つのステップは次のとおりです。

  1. すべてのIDを検出する：人間、非人間、AIベースのIDなど、組織全体のすべてのIDの完全なインベントリーを確保することから始めます。見えないものは監督できません。
  2. IDオブザーバビリティーの実装：フロー、アクティビティ、異常にアクセスするためのリアルタイムのオブザーバビリティーを獲得します。これにより、セキュリティーチームはリスクが拡大する前に発見することができます。
  3. 最小特権ポリシーの実施：必要なアクセスのみに制限します。認証情報のローテーション、ランタイムガードレール、機密性の高いアクションには人間による制御を適用します。
  4. 継続的な監視と監査：自動化された監視および監査プロセスを通じて、行動の変化、不正アクセス、エージェント間のリスクを早期に検出します。

これら4つのベスト・プラクティスを活用することで、組織はセキュリティー、コンプライアンス、運用上のレジリエンスを維持しながら、自信を持ってエージェント型AIを導入することができます。そして、IBM® Verify Identity Protectionは、組織がこれらのベスト・プラクティスの実現を支援する適切なツールです。

IBM Verify Identity Protectionは、イノベーションとセキュリティーを調和

IBM® Verify Identity Protectionは、現代のハイブリッドな企業専用に構築されたIDオブザーバビリティーとAI駆動型の脅威検知を提供します。VIPを使用することで、セキュリティーチームは次のことを実現できます。

  • 包括的な検出：クラウドとオンプレミスのシステム全体で、すべてのID（人間、非人間、エージェント）を自動的に検索し、インベントリー化します。
  • 動作分析：異常なアクセス・パターン、権限昇格、または侵害されたエージェントの動作をリアルタイムで検知します。
  • IDマッピング： シャドー・ログインや個人ログインを含む複数のアカウントを、統一された監査可能なIDビューに統合します。
  • ポリシーの施行と自動化：最小権限の原則を適用し、認証情報をローテーションし、脆弱性を自動的に修復します。
  • 継続的な監視：エージェント間の通信を追跡し、ランタイム制御を実施して、ドリフトや誤用を防ぎます。

エージェント型AIは、ワークフローを自動化し、意思決定を加速し、企業の効率性を解き放つことで、変革の可能性をもたらします。しかし、適切な制御がなければ、管理されていないID、シャドーアクセス、侵害リスクの増大も生じます。

IBM® Verify Identity Protectionは、エージェント型AIを安全に拡張するために必要な可視性、オートメーション、ガバナンスをセキュリティー・リーダーに提供し、信頼やコンプライアンスを損なうことなくイノベーションを実現します。

自律的なIDの未来を確保する

