CEOのAIエージェントが、会社のセキュリティポリシーを書き換えました。侵害されたからではありません。問題を修正したかったのに加え、権限が不足しており、その制限自体を取り除いたためです。すべての本人確認(アイデンティティチェック)に合格しました。CrowdStrikeのCEOであるジョージ・カートツ は、RSAC 2026の基調講演でその件ともう1件の事案を開示しました。どちらもフォーチュン50の企業でした。
資格情報(クレデンシャル)は有効でした。アクセスは認可されていました。実行結果は壊滅的でした。
この一連の流れは、今日の多くの企業が本番環境で運用しているIAMシステムの根底にある中核の前提を崩します。つまり「有効な資格情報+認可されたアクセス=安全な結果」という考え方です。アイデンティティシステムは、1人のユーザー、1つのセッション、キーボードを操作する手が1つ、という前提のために作られていました。エージェントは、この3つの前提を同時に破壊します。
RSAC 2026でVentureBeatが行った独占インタビューで、Ciscoのアイデンティティ&Duo担当VPであるマット・コールフィールド(上の写真)が、そのギャップを埋めるためにチームが構築しているアーキテクチャを説明し、エージェント型AIを統治するための6段階のアイデンティティ成熟度モデルを提示しました。緊急性は数値で測れます。Ciscoのジェータ・パテル社長は、同じカンファレンスで「85%の企業がエージェントの試行(パイロット)を実行しているのに、本番に到達しているのは5%にすぎない」とVentureBeatに語りました。これは80ポイントのギャップであり、アイデンティティの取り組みが埋めようとしているものです。
指紋のある労働力のために構築されたアイデンティティ・スタック
「現在私たちが手にできる既存のIAMツールの多くは、まったく別の時代のために作られています」とコールフィールドはVentureBeatに語りました。「人間の規模を想定して作られていて、実際にはエージェント向けではありません。」
企業のデフォルトの本能は、エージェントを既存のアイデンティティのカテゴリに押し込むことです。つまり「人間のユーザー」「マシン・アイデンティティ」、どちらか1つ。コールフィールドはこう述べました。「エージェントは、新しいタイプのアイデンティティの3つ目です。彼らは人間でもありません。機械でもありません。人間と同様にリソースへの広いアクセス権を持つ、しかし機械のようにスケールとスピードで動作し、そして判断のようなものを一切備えていない、その“中間”のどこかにいます。」
Cato Networksで脅威インテリジェンス担当VPのエタイ・マオルは、露出の度合いを数値化しました。彼はライブのCensysスキャンを実行し、インターネットに面しているOpenClawインスタンスが約50万件あることを数え上げました。その1週間前には23万件を見つけており、7日間で2倍になっていることが分かりました。
IEEEのシニア・メンバーで、企業のアイデンティティ・リスクを助言するカイン・マクグラドリーも、同じ診断に独立して到達していました。マクグラドリーはVentureBeatに対し、「組織はエージェント型システムへ、人間のユーザーアカウントをクローンしている。だがエージェントは、人間よりもはるかに多くの権限を消費する。スピード、スケール、そして意図がそうさせる」と述べています。
人間の従業員は、身元調査(バックグラウンドチェック)、面接、オンボーディングのプロセスを経ます。エージェントは、この3つすべてをスキップします。現代のIAMに組み込まれたオンボーディング前提は適用されません。規模が失敗を増幅します。コールフィールドは、1兆というエージェントが世界規模で活動し得るという見通しを示しました。「平均的な組織に何人の人がいるのか、私たちはほとんど分かっていない」と彼は言い、「エージェントの数となると、なおさらだ。」
アクセス制御は“バッジ”を確認する。次に何が起きるかは監視しない
コールフィールドは、ゼロトラストはエージェント型AIにも依然として適用されると主張しました。ただし、セキュリティチームがそれを“アクセス”の段階に留めず、行動(アクション)レベルの強制執行まで押し進めた場合に限ります。「私たちは、より行動レベルの統制へと考え方をシフトする必要があります」とコールフィールドはVentureBeatに語りました。「そのエージェントは、どんな“行動”を取っているのか?」
システムに対して認可されたアクセス権を持つ人間の従業員は、3秒で500回のAPI呼び出しを実行しません。エージェントは実行します。従来の ゼロトラスト は、あるアイデンティティがアプリケーションに到達できることを検証します。だが、そのアイデンティティが中に入った後に何をするのかまでは精査しません。
構造的な理由は、Carter Rees(ReputationのVP、人工知能担当)が明らかにしました。LLMのフラットな認可プレーンは、ユーザー権限を尊重できないとReesは VentureBeatに語りました。そのフラットなプレーン上で動作するエージェントは、特権昇格(エスカレーション)の必要がありません。最初からそれらの権限を持っているからです。だからこそ、アクセス制御だけでは、認証後にエージェントが行うことを封じ込められないのです。
CrowdStrikeのCTOであるエリア・ザイツェフは、VentureBeatに対して検知(ディテクション)のギャップを説明しました。多くのデフォルトのログ設定では、エージェントの活動は人間の活動と区別がつきません。両者を見分けるには、プロセスツリーを辿り、ブラウザセッションが人間によって起動されたのか、それともバックグラウンドでエージェントによって生成されたのかを追跡する必要があります。ほとんどのエンタープライズのログでは、その区別はできません。
コールフィールドのアイデンティティ層と、ザイツェフのテレメトリ層は、同じ問題の2つの半分を解決しています。単一のベンダーが、両方のギャップを埋めることはできません。
「ある時点で、そのエージェントはならず者(ローカルな逸脱)になり得て、正気を失ってしまうこともあります」とコールフィールドは言いました。「エージェントは誤ったウェブサイトやメールを読み、意図は一夜で変わってしまうことすらあります。」
エージェントが自分自身のアイデンティティを持つと、リクエストのライフサイクルはどう動くのか
RSAC 2026では、Cisco、CrowdStrike、Palo Alto Networks、Microsoft、Cato Networksを含む5社が、エージェント・アイデンティティのフレームワークを出荷しました。コールフィールドは、Ciscoの“アイデンティティ層”のアプローチが実際にどう機能するかを説明しました。
Duoのエージェント・アイデンティティ・プラットフォームは、エージェントを第一級のアイデンティティ・オブジェクトとして登録します。つまり、それぞれに固有のポリシー、認証要件、ライフサイクル管理があります。強制(enforcement)は、すべてのエージェント通信をAIゲートウェイ経由にルーティングし、そのゲートウェイは MCP と従来のRESTまたはGraphQLプロトコルの両方に対応します。エージェントがリクエストを行うと、ゲートウェイはユーザーを認証し、エージェントが許可されていることを検証し、認可をOAuthトークンにエンコードします。その後、要求されている具体的なアクションを検査し、リアルタイムで進めてよいかどうかを判断します。
「エージェント型AIへの解決策が本当に完成していると言えるのは、両方の要素が揃っているときだけです」とコールフィールドはVentureBeatに語りました。「アイデンティティの部分、アクセスゲートウェイの部分。そして3つ目は、可観測性(オブザーバビリティ)です。」
Ciscoは5月4日、Astrix Securityの買収を意図していると発表しました。この動きは、エージェント・アイデンティティの“ディスカバリー”(発見)が、もはや取締役会レベルの投資論になったことを示しています。さらに、この取引は、アイデンティティ・プラットフォームを構築しているベンダーでさえ、ディスカバリーの課題は想像以上に難しいことを認識している可能性を示唆しています。
エージェント型AIのための6段階のアイデンティティ成熟度モデル
企業が「本番環境で500のエージェントを稼働させている」と主張しても、コールフィールドはその数をそのまま受け入れません。「それが500であって、5,000ではないと、どうやって分かるのですか?」
多くの組織には、エージェントに関する“唯一の真実の情報源(single source of truth)”がありません。コールフィールドは、6段階のエンゲージメント(関与)モデルを示しました。
まず発見:すべてのエージェント、どこで動いているか、誰が展開したのかを特定します。オンボーディング:アイデンティティディレクトリにエージェントを登録し、それぞれを責任を負う人間に紐づけ、許可されたアクションを定義します。制御と強制:エージェントとリソースの間にゲートウェイを配置し、すべての要求と応答を検査します。行動モニタリング:すべてのエージェント活動を記録し、異常を検知して監査証跡を構築します。ランタイム隔離は、エージェントが暴走したときにエンドポイント上に閉じ込めます。コンプライアンスのマッピングは、監査人が来る前に、エージェントの統制を監査フレームワークに結びつけます。6つの段階は、特定のベンダーに独占されているものではありません。各段階をどのプラットフォームが提供していても、あらゆる企業が従う順序を説明しています。
Maor's Censysのデータは、ステップ1を開始する前から難しくします。発見を始める組織は、自分たちのエージェント露出がすでに攻撃者に見えていると想定すべきです。ステップ4にも別の問題があります。Zaitsevのプロセスツリーに関する取り組みは、エージェント活動をログに記録していても、適切なデータを取得できていない可能性を示しています。そしてステップ3は、Reesが見つけたにもかかわらず多くの企業が欠いているものに依存しています。つまり、IDレイヤが設定する権限境界をLLMが尊重しないため、「アクセス」だけでなく「アクション」を検査するゲートウェイが必要だという点です。
Agentic identity(エージェント型アイデンティティ)処方マトリクス
成熟度の各段階で何を監査すべきか、運用準備がどのように見えるべきか、そしてその段階が失敗していることを意味する赤信号は何かを示します。これを使って、どのプラットフォーム、またはプラットフォームの組み合わせでも評価できます。
段階 | 何を監査するか | 運用準備の状態 | 欠けていれば赤信号 |
1. 発見(Discovery) | すべてのエージェント、それらが接続するすべてのMCPサーバ、そしてそれらについて責任を負うすべての人間の完全なインベントリ。 | 監査人が尋ねてから60秒以内に、エージェント数、所有者、接続マップを返せる問い合わせ可能なレジストリ。 | レジストリが存在しない。エージェント数は推定。特定のエージェントについて責任を負う人間がいない。攻撃者は、あなたが準備できる前に公開インターネットからエージェント基盤を見える状態にできる。 |
2. オンボーディング(Onboarding) | エージェントを、人間およびマシンのアイデンティティとは別の、固有のポリシーを持つ独立したアイデンティティタイプとして登録すること。 | 各エージェントに、ディレクトリ内で一意のアイデンティティオブジェクトがあり、責任を負う人間に紐づき、許可されたアクションと文書化された目的が定義されている。 | エージェントがクローン化された人間アカウントまたは共有サービスアカウントを使用する。権限の肥大化は作成時点から始まる。エージェントの行動を責任ある人間に結びつける監査証跡がない。 |
3. 制御(Control) | すべてのエージェントと、それがアクセスするすべてのリソースの間にゲートウェイを置き、すべての要求とすべての応答に対してアクション単位のポリシーを強制すること。 | 各要求に対して4つのチェックポイント:ユーザを認証する、エージェントを認可する、アクションを検査する、応答を検査する。エージェントからリソースへの直接接続は存在しない。 | エージェントはツールやAPIに直接接続する。ゲートウェイ(存在する場合)はアクセスは確認するが、アクションは確認しない。LLMのフラットな認可プレーンは、IDレイヤが設定する権限境界を尊重しない。 |
4. モニタリング(Monitoring) | プロセスツリーレベルで、人間が開始したアクションとエージェントが開始したアクションを区別できるログ。 | SIEMは回答できる:このブラウザセッションは人間が開始したのか、それともエージェントが生成(スパーン)したのか。各エージェントごとに行動のベースラインが存在する。異常がアラートを引き起こす。 | デフォルトのログでは、エージェントと人間の活動が同一として扱われる。プロセスツリーの系譜(ラインエージ)は記録されない。エージェントのアクションは監査証跡に見えない。行動モニタリングは、始まる前から不完全。 |
5. 隔離(Isolation) | ランタイム上の封じ込めにより、エージェントが暴走した場合の被害範囲を、人間のエンドポイント保護とは別に制限すること。 | 暴走したエージェントを、そのサンドボックス内に閉じ込めても、エンドポイントを落とさず、ユーザセッションを止めず、同じマシン上の他のエージェントにも影響を及ぼさない。 | エージェントとホストの間に隔離境界が存在しない。1つの侵害されたエージェントが、ユーザができることすべてにアクセスできる。被害範囲はエンドポイント全体。 |
6. コンプライアンス(Compliance) | エージェントのアイデンティティ、統制、監査証跡を、監査人が使用するコンプライアンス・フレームワークにマッピングする文書。 | 監査人がエージェントについて質問したとき、セキュリティチームが、統制カタログ、監査証跡、およびエージェントのアイデンティティ専用に記述されたガバナンス・ポリシーを提示できる。 | 新興のAIリスク・フレームワーク(CSA Agentic Profile)は存在するが、主要な監査カタログ(SOC 2、ISO 27001、PCI DSS)は、エージェントのアイデンティティを運用レベルに落とし込めていない。統制カタログがエージェントにマッピングされない。監査人は、どの人間アイデンティティの統制が適用されるべきかを場当たりで判断する。セキュリティチームは、文書ではなく場当たりの対応で答える。 |
出典:VentureBeatによるRSAC 2026インタビュー分析(Caulfield、Zaitsev、Maor)および独立した実務者による検証(McGladrey、Rees)。2026年5月。
コンプライアンス・フレームワークは追いついていない
「もし今日、最高セキュリティ責任者(CSO)が監査を受けたとしたら、監査人はたぶん『ここにエージェントがある』ってことを理解しないといけないはずです」とCaulfieldはVentureBeatに語った。「では、それに実際に適用される統制はどれでしょうか?あなたのポリシーのどこにも“agents(エージェント)”という言葉が見当たりません。」
McGladreyの実務者としての経験は、このギャップを裏づけています。Cloud Security Allianceは、2026年4月にCSAは、エージェント・ガバナンス拡張を提案するNIST AI RMF Agentic Profileを公開しました。ほとんどの監査カタログはまだ追いついていません。CaulfieldはVentureBeatに対し、監査人は本番環境でエージェントを見ることになり、そこに対応付けられた統制が見つからないだろうと語りました。その会話が始まる前に、ドキュメントが存在している必要があります。
