AIエージェントは急速に企業のコアビジネスプロセスへと浸透しつつある。カスタマーサービスの自動化、コード生成、財務承認まで、エージェントにはシステムやデータへのアクセス権限がますます付与されている。しかし、107社を対象とした最新調査は、憂慮すべき現実を明らかにした。セキュリティ対策がエージェントの導入速度に到底追いついていないのだ。
VentureBeatが独占報道したこの調査によると、54%の企業がAIエージェントのセキュリティインシデントの発生、またはその未遂を確認している。さらに衝撃的なのは、大多数の企業がいまだにエージェント間での認証情報の共有を許可しており、エージェントごとに独立したスコープ付きIDを割り当てている企業はわずか約3分の1、最もリスクの高いエージェントを隔離している企業は3割にとどまっているという点だ。セキュリティスタックの大部分は、エージェント環境専用に構築されたものではなく、モデルプロバイダーや大手クラウド事業者が提供する既製ツールに依存している。
共有認証情報:時限爆弾
調査によると、6割超の企業が複数のAIエージェントに同一のサービスアカウントまたはAPIキーを共用させている。この使い回しのパターンは従来のIT環境でも危険だが、エージェントのシナリオではリスクが指数関数的に拡大する。1つのエージェントが侵害されれば、攻撃者は共有認証情報を利用して関連するすべてのエージェントの権限範囲へ横断的に移動できる。たとえば、顧客からの問い合わせを処理するチャットエージェントがバックエンドのデータベースエージェントと認証情報を共有している場合、前者の脆弱性は即座にコアデータへの脅威となりうる。
「認証情報を共有していると、どのエージェントがどの操作を開始したか特定できなくなる。監査は事実上機能せず、一度漏洩すれば全エージェントのキーを更新しなければならない。」——調査アナリストのコメント
IDの分離不足とセキュリティスタックの外部依存
エージェントごとに独立した最小権限のID(既存のIAMロールや個別のAPIキーなど)を割り当てている企業は34%にすぎない。残りの企業は全エージェントに同一のサービスアカウントを使用しているか、IPホワイトリストなど粗い手段でのみアクセスを制限している。これはエージェント間の権限境界がほぼ存在しないことを意味し、一度の侵害で「クラスター全体の陥落」を招きかねない。
さらに懸念されるのはセキュリティツールの構成だ。82%の企業がモデルプロバイダー(OpenAI、Anthropicなど)の組み込みセキュリティ機能や、クラウドプラットフォーム(AWS、Azureなど)の汎用セキュリティサービスに依存している。これらのツールは一定の防護効果はあるものの、エージェントの自律的な意思決定、ツール呼び出し、多段階の推論といった動的な振る舞いに対応して設計されたものではない。たとえば従来のWAFは、エージェントが会話の途中で突然内部APIを呼び出そうとする行動を検知できない。
高リスクエージェントの隔離不足
調査ではエージェントをリスクレベルで分類しており、データベースの変更、運用コマンドの実行、PII(個人識別情報)データへのアクセスが可能なものを「高リスク」と定義している。しかし、これらのエージェントにネットワークマイクロセグメンテーションやサンドボックス環境を適用している企業はわずか30%だ。残り70%の高リスクエージェントは低リスクなエージェントと同じ信頼ドメインに置かれており、悪用された場合、攻撃者はエージェント自身の「ツール呼び出し」機能を通じて機密リソースにアクセスできてしまう。
典型的な事例として、ある企業のコード生成エージェントが本番環境にアクセスできる状態で隔離されていなかったケースがある。このエージェントはプロンプトインジェクション攻撃を受け、クラウドストレージ上のシークレットファイルの読み取りに成功した。事後調査により、このエージェントが社内のチケット管理システムのエージェントと同一の認証情報を使用していたことが判明した。
編集部注:なぜ企業はエージェントセキュリティへの対応が遅いのか
AIエージェントのセキュリティガバナンスが遅れている表面的な理由は技術的な複雑さにあるが、根本的な原因は組織文化・プロセス・インセンティブのミスアライメントにある。セキュリティチームはエージェントの調達・統合の意思決定に関与しないことが多く、開発チームは迅速なリリースを優先してセキュリティ制御に不慣れであり、経営層はエージェントの能力を「高度なチャットボット」程度にしか認識しておらず、自律的な行動のリスクを軽視している。さらに重要なのは、現時点でエージェントセキュリティの成熟した標準や監査フレームワークが存在せず、企業はモデルプロバイダーの約束を信頼する一方で、エージェントが導入後に改ざんや攻撃を受けるという現実を過小評価する傾向があることだ。
この状況を変えるためには、企業はエージェントを「一段のコード」としてではなく、独自のIDを持つ「デジタル従業員」として扱わなければならない。すなわち、各エージェントに固有のID、最小権限、ログ監査、動的な振る舞いのモニタリングを付与すべきだ。ゼロトラストの原則(決して信頼せず、常に検証する)は、エージェントの世界でも同様に、あるいはそれ以上に重要だ。
本記事はVentureBeatより編訳
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接