もともと Truthlocks Blog
過去30年のあいだに、テクノロジー業界は人間のアイデンティティを中心とした「1つの分野」そのものを築き上げました。私たちはパスワードを作り、次にそれだけでは不十分だと気づきました。多要素認証を追加しました。人々が一度認証すれば必要なものすべてにアクセスできるように、シングルサインオン(SSO)システムを構築しました。異なる人が異なる権限を持てるように、ロールベースアクセス制御(RBAC)を開発しました。何かがうまくいかなかったときに、誰がいつ何をしたのかを正確に追跡できるように監査ログ(監査証跡)も作りました。
そしてAIエージェントが登場し、私たちはそれらをすべて捨ててしまったのです。
現在本番環境で稼働している多くのAIエージェントは、共有APIキーまたはサービスアカウントで認証しています。エージェントは社内のAPIを呼び出したり、顧客データにアクセスしたり、ワークフローを起動したり、事業に影響を与える意思決定を行ったりするかもしれません。しかし、あなたのシステムの観点からは、そのエージェントは見えません。同じ認証情報(クレデンシャル)を使う別のエージェントと区別できません。エージェントが具体的にどのようなアクションを取るかを制御できません。特定のアクションを特定のエージェントに紐づけて追跡することもできません。
これが、エージェント型AIにおけるアイデンティティ・ギャップであり、しかもその幅はますます広がっています。
なぜこのギャップが生まれるのか
このアイデンティティ・ギャップは、誰かが悪い判断をしたから起きたわけではありません。AIエージェントの進化が、それらを管理するために設計されたインフラよりも速かったから起きたのです。
組織が最初にAIを使い始めたとき、「エージェント」とはアプリケーションコードに埋め込まれた単純なAPI呼び出しでした。実際には自律的ではありませんでした。アプリケーションが呼び出したときだけ動き、特定のことを1つだけ行い、結果はアプリケーションが処理しました。このモデルではエージェントのアイデンティティは必要ありませんでした。エージェントは本当にエージェントではなく、単なる関数呼び出しだったからです。
しかし今日のAIエージェントは、本質的に別物です。自律的です。意思決定します。ツールを呼び出します。複数のシステムとやり取りします。長時間にわたって動作します。さらに、サブタスクを委任するために他のエージェントを生み出すことさえあります。いまでは、別のエージェントを構築してデプロイするエージェントも登場しています。
インフラが追いつきませんでした。「関数呼び出し」の時代のアイデンティティモデルを、「自律エージェント」の時代に対応するために使っており、そのズレは危険なものになりつつあります。
ギャップが実際にあなたにコストとして課すもの
アイデンティティ・ギャップは、導入するエージェントの数が増えるたびに大きくなる4種類のリスクを生み出します。
セキュリティリスク。 個別のエージェント・アイデンティティがないと、侵害されたエージェントは正当なものと見分けがつきません。攻撃者が共有APIキーにアクセスできてしまえば、あらゆるエージェントをなりすますことが可能になります。同じ認証情報を共有しているすべてのエージェントを混乱させずに、1つの侵害されたエージェントだけのアクセスを取り消すことはできません。
コンプライアンスリスク。 規制当局はますます「誰(または何)が、どのような理由で機密データにアクセスしたのか」を知りたがっています。「AIエージェント」というだけの回答は受け入れられません。具体的な情報、つまりどのエージェントか、誰によって認可されたか、どのような制約のもとで動いていたか、どのデータにアクセスしたのか、何の目的のためかが必要です。エージェントのアイデンティティがなければ、これらの答えを提供できません。
運用リスク。 マルチエージェントシステムで何かがうまくいかなかったとき、最初に問われるのは「どのエージェントがやったのか?」です。個別のアイデンティティがないと、デバッグは法医学的な考古学になります。何十、何百ものエージェントのうち、どれが問題を引き起こしたのかを特定するために、タイムスタンプやペイロードのパターンを相関させようとして、一般的なログをふるいにかけることになります。
信頼リスク。 エージェントが外部システム、パートナー、顧客と相互作用するようになると、相手方は、自分たちが対処しているエージェントを信頼できることを必要とします。検証済みのアイデンティティと、その実績は、匿名のAPI呼び出しとは根本的に違います。信頼を可能にするのが、アイデンティティです。
ギャップを埋める
アイデンティティ・ギャップを埋めるには、AIエージェントを人間のユーザーと同じように扱う必要があります。つまり、独自の認証情報、権限、行動プロファイル、監査ログを持つ「第一級のアイデンティティ」として扱うのです。
まさにそれを実現するのが、Machine Agent Identity Protocol です。すべてのエージェントに、暗号学的に検証可能なアイデンティティが付与されます。すべてのエージェントには、何ができるかを制御する定義済みスコープがあります。各エージェントの振る舞いは、どれくらいのアクセス権を得るかを決める信頼スコアに寄与します。重要なアクションはすべて、不正改ざんが困難な透明性ログに記録されます。
本プロトコルは、機械のアイデンティティは専有のロックインではなく共有の標準であるべきだと私たちが考えているため、Apache 2.0のもとでオープンソースです。仕様は github.com/truthlocks/maip にあります。Truthlocks は本番環境で使える品質の実装を提供していますが、誰でもこのプロトコルに基づいて構築できます。
今がそのタイミング
毎週、組織は、より自律性が高く、より多くのアクセス権を持つエージェントをより多く本番環境に投入しています。アイデンティティ・ギャップは蓄積して増幅します。これに対処するのを先延ばしにするほど、すでに本番環境で動いているエージェントへ後付けでアイデンティティを組み込むのが難しくなります。
今このギャップを埋める組織は、構造的な優位性を得られます。自信を持ってエージェントの台数(ファーム)を拡張でき、コンプライアンス要件を満たし、インシデントに迅速に対応し、パートナーや顧客との信頼を築けます。
待つ組織は、最終的に説明できないインシデント、通過できない監査、封じ込められない侵害に直面します。なぜなら、状況が要求していたアイデンティティのインフラを、そもそもエージェントに与えていなかったからです。
今日からギャップを埋め始めてください。ドキュメントが、10分以内に最初のエージェントを登録する手順を案内します。
Truthlocks は、AIエージェントのためのマシン・アイデンティティ基盤を提供します。
