セッションタイトル

Navigating Identity and Security in the Age of Agentic AI

はじめに

Okta 社では、Fine-Grained Authorization (FGA) やキーノートでも話された生成AIアプリケーションやAIエージェントを構築するためのAIプラットフォームもあり、そこでDatadogを活用されているようです。
このセッションでは、両社のCTOである、Bhawna Singh(Okta)氏と Alexis Lê-Quôc(Datadog)氏の対談の形式で、アイデンティティとセキュリティをメインに話されました。

AIエージェントがもたらすアイデンティティの変革

AIエージェントの台頭は、ビジネスとテクノロジーの双方に革新をもたらしていますが、同時に「アイデンティティ」と「セキュリティ」の概念に大きな変革を迫っています。これまで、アイデンティティは「人間」に紐づくもの、あるいは人間の代理として振る舞うサービスアカウントに紐付けされるものとされてきました。しかし、自律的に意思決定を行うAIエージェントが登場したことで、この認識は根本から問い直されています。
言い換えれば、ごく最近まで、アイデンティティは「私たち自身」つまり生身の実際のユーザーに非常に強く結びついているものだと言えます。サービスアカウントを展開して行動させる場合でも、通常は誰かの代理としてでした。それが、AI エージェントにより、行動が必ずしも誰かによって促されるのではなく、もはや独自の立場を持つ「何か」によって促されるようになった今、アイデンティティについてどのように考えるべきなのかを理解したいと思います。

AIエージェントが登場する以前から、マシン・ツー・マシン(M2M)やAPI間でのアイデンティティは存在していました。しかし、AIエージェントの大きな違いは、プロンプト、データ、コンテキストに基づいて自律的に意思決定を行い、予測不能な結果を生み出す可能性がある点です。この変化が、セキュリティ確保の方法、提供されるコンテキスト、そしてそのコンテキストの制御方法に大きな影響を与えています。

特に以下の点が、アイデンティティ管理における大きな変化として挙げられています。
1. ユーザーアイデンティティの多重化:一人のユーザーのアイデンティティが複数のAIエージェントによって使用され、それぞれが異なるタスクを実行するようになります。これにより、アイデンティティの保護方法が変化します。
2. APIアクセス管理の課題:API間の呼び出しが増加する中で、アクセス・トークンの保存場所が問題となります。多くの開発者がシークレットキーをコード内に直接記述するといった「初歩的なミス」を犯す可能性があり、これに対する解決策が求められます。
3. データアクセスの粒度:AIエージェントに全てのデータへのアクセスを許可することはできません。どのデータにどれだけアクセスさせるかという管理が必要となり、Okta社は「Fine-Grained Authorization (FGA) 」という詳細なアクセス制御機能を開発し、生成AIアプリケーションやエージェントアプリケーションに対応しています。
4. 「スケール」の大規模化:これまでのアイデンティティは「1ユーザー対1ユーザー」という形式でしたが、AIエージェントの登場により、1ユーザーが複数の形式、複数のコンテキストで存在することになり、そのスケールは桁違いに増大すると予想されます。

AIエージェントの安全な導入を支える3つの柱

このような課題に対応するため、Okta社は強固なアイデンティティプラットフォームと、それに付随する機能の重要性を強調しています。

  • 強固なアイデンティティプラットフォーム:
    • ユーザーとエージェントのアイデンティティ全体ライフサイクルを接続し、認証・認可を一元的に管理できるプラットフォームが必須です。
    • シークレットキーのファイルへの直接記述を防ぐため、「トークン保管庫(Token Vault)」のような機能がプラットフォームに組み込まれています。
    • エージェントが特定のアクションを実行する際に、ユーザーの承認(非同期承認など)を求めるガードレール機能も必要とされます。
  • 可観測性(Observability):
    • エージェントのライフサイクル全体を追跡し、監視する機能は不可欠です。
    • プロンプトやコンテキストの変化によって予期せぬ結果が生じた場合に、それを検知してアラートを発する機能も重要です。
  • ガードレール(Guardrails):
    • 使用すべきデータの種類、データ保護のレベル、企業ポリシーに基づいた行動などに関する明確なガードレールが不可欠です。
    • 「多層防御(defense-in-depth)」や「最小権限の原則(least privilege)」といった基本的なセキュリティ原則は、AIエージェントの時代においても変わらないとされています。
    • 予期せぬ事態が起きた際の影響範囲を制御する「ブラスト・ラディウス(blast radius)」の考え方も重要です。

ログ

さらに、AIエージェントの行動を適切に評価・監視するためには、より詳細なログの取得が求められます。具体的には、以下の情報がログとして記録されるべきだと述べられています。

  • コンテキスト情報:エージェントが意思決定を行う際の背景情報やメタデータ(例:チケット予約エージェントの場合、時間帯、ユーザーの好みなど)。
  • セッション情報:複数のエージェントが連鎖的に動作する場合、各エージェントの認証・認可状態、セッションの開始・終了時刻など。
  • プロンプト、アウトプット、ガードレールの評価:プロンプトが何であったか、実際のアウトプットが何であったか、そして設定されたガードレール(例:費用上限)が守られたかを評価・追跡する機能は、不正検知やアラートに不可欠です。

法務・コンプライアンスチームとの連携の重要性

AIエージェントの導入において、技術チームと法務・コンプライアンスチームとの連携は不可欠です。GDPR(EU一般データ保護規則)の導入時と同様に、法務・セキュリティのリーダーたちが、技術開発の「新たな親友」となるでしょう。
法務チームは、新しい技術に伴う未知の脆弱性、オープンな領域、ライセンスの問題に対して懸念を抱くため、彼らの慎重な姿勢を尊重し、理解することが重要です。

この連携を円滑に進めるためには、以下の点が挙げられています。

  • 管理された空間での実験:リスクの低い(例:公開コンテンツを扱う)ソリューションから実験を開始し、そこから得られた知見を共有する。
  • リスクに応じた導入速度の調整:リスクの低いデータやソリューションでは迅速に展開し、高リスクなデータやシステムでは慎重に、そして「両目を見開いて」進めるべきです。
  • 迅速な対応能力の確保:万が一問題が発生した場合に、迅速に修正し、システムをロールバックできるようなガードレールや仕組みを構築することで、法務チームに安心感を提供できます。

AIエージェント時代特有の脅威とインフラへの影響

AIエージェントの進化は、新たなセキュリティ脅威を生み出し、既存のインフラにも影響を与えます。

  • エージェント・チェイニング攻撃(Agent Chaining Attacks):複数のAIエージェントが連鎖的に動作する中で、その間に脆弱性が生じ、攻撃の対象となる可能性があります。これは、従来のサプライチェーンの脆弱性と同様の課題であると指摘されていますが、まだ十分に議論されていない領域です。
  • 不正検知ルールの変化:従来の不正検知ルール(例:同一ユーザーが短期間に複数回ログインできない)は、AIエージェントがユーザーの代理として同時に複数のタスクを実行するようになることで適用できなくなる可能性があります。非人間型アイデンティティの認証方法も変化するでしょう。
  • 静的から動的・リアルタイムなセキュリティへ:従来のセキュリティは、認証取得後のセッションが静的に継続されるという側面がありましたが、AIエージェントの時代では、より動的でリアルタイムなセキュリティが求められます。
  • インフラのトラフィックパターン変化:人間によるトラフィックが特定の時間帯に集中するのに対し、AIエージェントは24時間365日稼働するため、トラフィックパターンが劇的に変化し、それに適応したインフラの構築が必要となります。

実際に、あるFortune 100企業のCIOは、AIエージェントがシステムの構成を行い、さらに自律的に自身の知識ベースを更新・強化している事例を共有しました。これはエージェントの賢さに喜びを感じる一方、「エージェントが制御不能な知識を追加していないか」をどう追跡・監視するかという懸念も引き起こします。
この点は特に共感を得ました。

変化の速いAI分野への対応

AI分野の進化は非常に速く、最新の動向を深く理解し続けることは困難です。Okta社では、エンジニアリングチーム全体がこの分野の進化を追跡することに関心を持っていると述べられています。

この課題に対処するため、以下のアプローチが有効であるとされています。

  • 「広さ」を重視し、「深さ」は必要な時に:常に全ての情報を深く追うのではなく、まずは幅広い知識を浅く広く把握し、関連性のあるものや意味のあるものに対して深く掘り下げていくアプローチが現実的です。
  • コード生成エージェントの活用:コード生成エージェントのような新しい技術は、コンテキスト切り替えのオーバーヘッドを減らし、開発者が新しい情報にアクセスしやすくする手助けもしています。ただし、生産性向上については、これまでのところ15〜20%程度の向上が見られているものの、将来的な大きな飛躍にはまだ至っていないというのが正直なところだそうです。

まとめ

次セッションの都合上、最後5分くらいを中座してしまいましたが、とくにAI エージェントによるアイデンティティの概念の変革など、非常に興味深いセッションでした。
AIエージェントの時代は、アイデンティティとセキュリティに新たな課題を突きつけますが、Okta社のような企業は、強固なアイデンティティプラットフォーム、徹底した可観測性、そして綿密なガードレールによって、その解決策を提示しています。また、技術チームと法務・コンプライアンスチームとの密な連携、そして変化の速いAI分野に柔軟に対応する姿勢が、安全で効果的なAIエージェントの導入には不可欠であると言えるでしょう。