7月10日、SentinelOneのCTO(最高技術責任者)であるGrady Summersが「The Replicant in Your Directory: AI Agents and the Identity Security Gap」と題した記事を公開した。この記事では、AIエージェントの急増によって企業内の非人間アイデンティティ管理が深刻なセキュリティ上の死角を生み出している実態について詳しく紹介されている。
「信頼済み」トークン1つが、組織全体への侵入口になった
2025年、UNC6395と追跡される脅威アクターが、Salesloftのチャット統合ツールであるDriftに関連するOAuthトークンを入手した。このトークンを足がかりに、数百の組織にまたがるSalesforce環境を横断移動。さらにそこからAWSクレデンシャル、Snowflakeトークン、本来保存されるべきでない場所に置かれた追加シークレットへとアクセスが拡大した。
このトークンは脆弱性を突いたわけではない。すでに「信頼済み」として扱われていたから危険だった。
信頼されたマシンアイデンティティ(機械的な主体に付与されたID)が1つあれば、そこから次々と別のアイデンティティへの侵入経路が開く。AIエージェントはこの問題を生み出したのではなく、加速させているという点が本記事の核心だ。
マシンアイデンティティは人間の50倍存在する
Non-Human Identity Management Groupの調査によれば、多くのエンタープライズ環境において、マシンアイデンティティの数は人間ユーザーの最大50倍に達している。
マシンアイデンティティとは、AIエージェント、サービスアカウント、OAuthアプリケーション、ワークロードアイデンティティなど、人間以外の主体に割り当てられたIDの総称だ。なかには数分しか存在しないものもあれば、それを作ったアプリケーションや自動化処理がとっくに廃棄されているにもかかわらず、何年も有効なままのものもある。
問題は、多くの組織がこれらのIDについて「誰が所有しているか」「なぜまだ存在するのか」「何にアクセスできるか」という基本的な問いに答えられていないことだ。
ガバナンスより速く「信頼」が広がる
従来のアイデンティティ管理は、人間のライフサイクルを前提に設計されている。入社・異動・退職というイベントに合わせてアクセス権を付与・剥奪する仕組みだ。しかしAIエージェントはこのサイクルに乗らない。
- 自動的に生成される
- 他のアイデンティティからパーミッションを継承する
- マシンスピードで複数システムと連携する
- 動作中に追加のアイデンティティを生成することもある
Netwrixの2026年データ&アイデンティティセキュリティレポートでは、AIによってアイデンティティ数が大幅に増加した組織の**侵害率が43%だったのに対し、AIによる変化が少なかった組織では11%**にとどまったと報告されている。
さらに興味深い事実がある。侵害された組織の多くは、シャドーAIの監視や非人間アイデンティティのガバナンスを実施し、センシティブデータの継続的な可視化を行うなど、平均よりも高い水準のセキュリティ対策を講じていた。これは一見矛盾するように読めるが、元記事の文脈ではAIの導入によってアイデンティティ数が急増した組織ほど侵害リスクが高まるという構図を示しており、「対策の質」よりも「管理対象の爆発的な増加」が侵害率を押し上げていると解釈できる。対策を講じていても侵害された、という点は重く受け止めるべきだ。
セキュリティチームが常時答えるべき4つの問い
著者はセキュリティチームが継続的に把握すべき問いとして以下の4点を挙げる。
- どんなアイデンティティが存在するか?
- それを誰が所有しているか?
- それは何にアクセスできるか?
- いつ廃止すべきか?
これらの問いは従来のサービスアカウント管理でも問われてきた。しかしAIエージェントでは難易度が根本的に異なる。サービスアカウントであれば監査ログを辿り、作成者や用途を特定できる場合がほとんどだ。一方、AIエージェントはマシンスピードで動作しながら下流のアイデンティティを次々と生成し、複数システムをまたいで連携するため、「誰がそのIDを承認したのか」という責任の所在がすぐに曖昧になる。さらに、エージェント自身が別のエージェントを呼び出す連鎖構造では、最初の承認行為から実際の権限行使までの経路が追跡困難になるという固有の問題がある。
センシティブデータの所在を把握するだけでは不十分だ。そのデータに到達できるすべてのアイデンティティを把握し、現在のインベントリを維持し、各IDに明確なオーナーを紐づけることが求められる。
「誰も作ったことを覚えていないアイデンティティ」が、最も注意すべき信頼済みIDになりつつある。
詳細はThe Replicant in Your Directory: AI Agents and the Identity Security Gapを参照していただきたい。