AIエージェントの普及に伴い、人間以外のアイデンティティ=Non Human Identity(NHI)が新たなセキュリティ課題として浮上しています。本記事では、NHIのリスクとゼロトラストやポストゼロトラストといった最新アプローチを通じた解決策を解説し、今後のAIコーディングに求められる実践的な視点を示します。
※本稿は2025年7月上旬に執筆しているものです。ご覧いただく時期によっては古い情報となっている場合もありますので、ご承知おきください。
AIエージェント時代の新課題:Non Human Identity(NHI)
AIコーディング全般に関する課題の一つとしてAIエージェントが使用するアイデンティティ、Non Human Identity(NHI)に関する問題があります。こちらについてはSQAT.jpの記事「Non-Human Identities Top 10とは?自動化時代に求められる新しいセキュリティ視点」をご確認ください。
従来型セキュリティコントロールの限界
従来型のセキュリティコントロールはエージェントには効果がないとされています。従来のAppSecは静的環境を前提としている一方で、AIエージェントは動的な性質を持つことが要因となっています。また、予測困難なクエリを出力する可能性もあります。次の表で主要な理由をまとめています。
表1:従来型セキュリティコントロールがAIエージェントに適さない理由
| 側面 | 従来型システムの前提 | Agentic AIの特性 | 不適合の理由 |
|---|---|---|---|
| アイデンティティ管理 | 静的なユーザー/マシンアイデンティティ(OAuth, SAML) | 動的で一時的なエージェントアイデンティティ | OAuthとSAMLは主に静的権限を持つ人間ユーザーとアプリケーション向けに設計されており、AIエージェントが必要とする細かく適応的なアクセス制御機能を提供できない |
| 権限管理 | 長期間有効な権限とロールベースアクセス制御(RBAC) | コンテキスト依存の短期間権限 | AIエージェントは、リスクレベル、ミッション目標、リアルタイムデータ分析などのコンテキスト要因に基づいて権限を動的に変更する必要がある |
| 認証モデル | セッション期間中の一回認証 | 継続的認証と検証 | AIエージェントは敵対的攻撃、進化する意図、変化する運用コンテキストなどの複雑性を導入し、一回の認証ではなく継続的な検証が必要 |
| データ・指示分離 | 明確なデータと制御チャネル分離 | データと指示の混在 | GenAIモデルはデータと指示チャネルを結合するため、攻撃者がデータチャネルを通じてシステム操作に影響を与えることを可能にする |
| 脅威モデル | 既知の攻撃パターンと定義された攻撃面 | 新たな攻撃面と敵対的機械学習脅威 | AIシステムは敵対的操作や攻撃に対してスペクタキュラーな失敗を起こすことがある |
ゼロトラストアプローチによる抑制策
従来型セキュリティコントロールの限界に対して、リスクの抑制策としてエージェントへのゼロトラスト思想の適用が提唱されています。ご存じの通りゼロトラスト思想は常に対象が信頼できないものであるというものです。AI、特に幅広い範囲を様々な権限を持って自律的に行動していくAIエージェントはAppSecに比べて動的で動作の予測が困難であるという特性から考えても、ゼロトラスト思想によるセキュリティアプローチによる抑制策の効果が期待できます。
表2:AIエージェントへのゼロトラスト原則の適用と有効性
| ゼロトラスト原則 | Agentic AIへの適用 | 有効性の根拠 |
|---|---|---|
| 継続的検証 | AIエージェントは、正当なエンティティのみがリソースにアクセスできるよう、リアルタイムの認証・認可チェックを受けなければならない | AIエージェントの動的で自律的性質に対応 |
| 最小権限アクセス | AIエージェントは、タスク実行に必要な最低限のアクセス権のみを付与され、権限エスカレーションのリスクを軽減する | AIエージェントの予測不可能な行動による潜在的被害を制限 |
| マイクロセグメンテーション | AI駆動環境は侵害されたエージェントが無関係なリソースにアクセスできないよう、横展開を制限するためセグメント化されるべき | エージェント間の相互作用による被害拡大を防止 |
| 異常検知と対応 | AIの行動は期待されるパターンからの逸脱について継続的に監視され、異常が検出された際に自動応答をトリガーする | AIエージェントの行動異常を早期検出・対応 |
| 動的信頼評価 | AIエージェントの履歴行動、異常検知、セキュリティ態勢に基づく動的信頼スコアの割り当てによる継続的な信頼性評価 | エージェントのライフサイクル全体を通じた信頼性管理 |
ポストゼロトラストに向けた新しいアプローチ
ゼロトラストアプローチを基礎とし、さらに根本的な対策を行おうという動きもあります。表3 ポストゼロトラストアプローチに掲載したような多様なアプローチの検討など、一部は実装が進んでいます。
表3:ポストゼロトラストアプローチ
| アプローチ | 説明 | 実装例 | 利点 |
|---|---|---|---|
| エフェメラル認証 | AIエージェントの一時的性質を考慮し、短期間有効でコンテキスト認識のアイデンティティを生成するアプローチ | AWS STS一時的認証情報、GCPサービスアカウント偽装 | 長期認証情報の漏洩リスク排除、最小権限原則の自動実現 |
| 属性ベースアクセス制御(ABAC) | ユーザー役割、デバイスセキュリティ態勢、エージェント属性、データラベリング、エージェントツールセット、環境条件などの属性に基づくアクセス許可 | AWS STS一時的認証情報、GCPサービスアカウント偽装 | 細粒度で動的なアクセス制御 |
| Just-In-Time(JIT)アクセス | AIエージェントが必要な時のみ一時的権限を要求できる機能 | 動的権限プロビジョニングシステム | 攻撃面の最小化、リアルタイム要求対応 |
| 行動ベース認証 | 静的認証情報や事前定義された役割だけでなく、AIエージェントのリアルタイム行動、過去の相互作用、リスク評価に基づく認証 | 機械学習ベース異常検知システム | 侵害されたAIエージェントの検出向上 |
| トラストスコアリング | AIエージェントの履歴行動、異常検知、セキュリティ態勢に基づく動的トラストスコア割り当て | リアルタイムリスクスコアリングシステム | 信頼度に基づく動的権限調整 |
| 統合セキュリティ監視 | AI開発環境とランタイム環境を統合したセキュリティ態勢管理と脅威保護システム | DevSecOpsパイプライン統合 | 開発フェーズからの早期脅威検出 |
| データガバナンス統合 | AIエージェントに対する統合的なデータセキュリティとコンプライアンス制御 | 自動データ分類・保護システム | データオーバーシェアリングとリーク防止 |
AIコーディングに求められる次世代セキュリティ戦略
AIエージェントの普及は、従来のセキュリティモデルを大きく揺さぶっています。Non Human Identity(NHI)の管理や、従来型コントロールでは対応しきれない動的な挙動、そして敵対的機械学習を悪用した新たな攻撃手法など、課題は複雑かつ広範です。本記事で紹介したゼロトラストやポストゼロトラストのアプローチは有効な一歩となりますが、それだけで十分ではありません。AIが協調的に動作するマルチエージェント環境では、脅威の拡大スピードも従来以上に速く、より総合的な戦略が求められます。
次回第6回は、これまでの議論を総括し、マルチエージェント時代の脅威モデルや未来の展望を整理します。AIコーディングの安全な発展に不可欠な「総評」として、今後の方向性を見極めていきます。
―第6回「総評:マルチエージェント時代の脅威と未来」へ続く―
【連載一覧】
第1回「Vibeコーディングとプロンプトエンジニアリングの基礎」
第2回「プロンプト以外で効率化!開発体験の改善手法」
第3回「AIエージェント時代のコーディング:MCPとA2Aとは」
第4回「MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装」
第5回「AIとセキュリティ:Non‑Human Identity とAIエージェントの課題」
第6回「AIエージェントのセキュリティ対策と今後の展望」
Security NEWS TOPに戻る
バックナンバー TOPに戻る
ウェビナー開催のお知らせ
「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」
「サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─」
最新情報はこちら
