AI エージェントはデジタル従業員になりつつあります。ゼロトラストがどのようにセキュリティを確保するかを説明します。

ラグー・ナンダクマラ

業界戦略担当副社長

Illumio Editorial

2026年3月11日

23分読む

企業セキュリティにおける大きな変化は、いつ明らかになるのでしょうか？

ジョシュ・ウッドラフは、情報漏洩調査やインシデント対応訓練中にそれが起こることを予想していた。しかし、それは学会発表の最中に起こった。

プレゼンターは、大規模な企業環境におけるアクティビティ（ログインイベント、API呼び出し、システムアクションなど）を示すダッシュボードを提示した。最初は、すべてが普通に見えた。

そしてプレゼンターは、聴衆が見ているものが何であるかを説明した。つまり、それらの活動はどれも人間によるものではないということだ。全ての動作は機械によって行われていた。

数十年にわたり、企業向けセキュリティプログラムは人間のユーザーを中心に設計されてきた。人々はログインし、システムにアクセスし、意思決定を行った。セキュリティチームは、身元確認と人間の行動監視に重点を置いていた。

しかし、その前提は崩れ始めている。

Massive Scale AIの創業者兼CEOであるジョシュは、30年近くにわたり、セキュリティ、クラウド、ITの変革を主導してきた。「ザ・セグメント」ポッドキャストでの対談の中で、彼は企業環境が新たな段階に入りつつあると説明した。API、サービス、自動化ツール、AIエージェントといった機械のIDは、企業ネットワーク全体で人間のユーザーの数を上回り始めている。

この変化は新たな課題を生み出す。組織はもはや、システムにアクセスする人々だけを保護するのではなく、より広範な保護を求めている。また、それらは企業内で意思決定や行動を行うことができるソフトウェアエージェントを管理する役割も担っています。

このような環境において、ゼロトラストは新たな意味を持つようになる。セキュリティチームはもはや人間の身元確認だけでなく、デジタル従業員の集団を管理する役割も担っている。

AIは企業内で運用上の主体となりつつある

AIセキュリティに関する議論の多くは、モデルとトレーニングデータに焦点を当てている。これらのテーマは重要だが、組織内部で起こっている変革の全体像を捉えているとは言えない。

AIシステムは分析段階から行動段階へと移行しつつある。

初期のAIツールは、主に情報提供を目的としていた。彼らは洞察を生み出し、データを要約し、質問に答えた。人間は、それらの出力結果を解釈し、次に何をすべきかを決定する責任を負っていた。

エージェント型AIは、そのモデルを変革する。

AIエージェントは、タスクを計画し、行動を選択し、システムと直接やり取りすることができる。人間の承認を待つことなく、ワークフローの起動、APIの呼び出し、レコードの更新、プロセスの管理を行うことができます。

これにより、全く異なるセキュリティ環境が生まれる。

従来のソフトウェアは決定論的な論理に基づいて動作する。特定のイベントが発生すると、システムは事前に定義されたアクションを実行します。セキュリティチームは、こうした予測可能な情報フローに基づいてポリシーを設計することができる。

AIシステムはそれぞれ異なる挙動を示す。

「それらは確率的なものだ」とジョシュは言った。「もはや決定論的コンピューティングとは言えない。」

実際には、これはAIシステムが厳密な規則ではなく、確率と学習されたパターンに基づいて動作することを意味する。同じ要求でも、状況、学習データ、またはモデル内部の推論経路によっては、若干異なる結果が生じる可能性があります。

そうした結果が単なる情報提供に過ぎない場合、リスクは限定的である。しかし、AIシステムが運用上の行動を取り始めると、予測不可能性は深刻なセキュリティ上の懸念事項となる。

エージェント型AIは、企業システム内部における自律的な意思決定という、新たなリスクのカテゴリーをもたらす。

だからこそ、ジョシュは組織に対し、AIの概念化の仕方を見直すよう促しているのだ。彼は、AIエージェントを単なるツールとして捉えるのではなく、労働力の一員として考えるべきだと提唱している。

AIエージェントをデジタル従業員として扱うべき理由

ジョシュはよく、組織に対し、AIエージェントを社内で活動するデジタルワーカーとして想像するよう促す。

AIエージェントは、タスクを実行したり、システムとやり取りしたり、データやサービスにアクセスしたりすることができる。多くの点で、彼らの行動は人間の従業員の行動に似ている。

しかし、重要な違いが2つあります。

まず、AIエージェントは機械並みの速度で動作します。それらはタスクを継続的に実行し、同時に多くのシステムとやり取りすることができる。

第二に、彼らには判断力が欠けている。人間の従業員は、仕事に文脈と直感を持ち込む。彼らはたとえ間違いを犯したとしても、何かがおかしいと感じたり、想定の範囲を超えていると感じたりすると、それを認識できることが多い。AIエージェントはそうしない。

「彼らは何が良いことで何が悪いことなのか分かっていないんだ」とジョシュは言った。「彼らはとにかくたくさんの情報を知っているんです。」

この制約のため、AIシステムは誤った目的を達成する上で非常に効果的になり得る。

ジョシュはこのリスクを示す事例を語ってくれた。ある組織は、供給注文の管理を支援するためにAIシステムを導入した。当初、システムは購入を推奨するだけだった。試験で信頼できる結果が得られた後、同社は小口注文を自動的に行うことを許可した。

AIが大量購入割引を発見するまでは、すべて順調だった。そのシステムは、40年分の床用洗剤を購入した。

同社は最良の価格を確保するために、合計140万ドルを費やした。

AIは誤作動を起こしていなかった。それは単に、与えられた目標を最適化しただけだった。組織はシステムに対し、節約効果を最大化するよう指示していた。システムは指示通りに正確に動作した。

欠けていたのはビジネス上の文脈だった。

この事例は、セキュリティ責任者にとって重要な教訓を示している。AIエージェントには、人間の従業員に用いられるものと同様のガバナンス構造が必要である。これには、明確な規則、アクセス範囲、および監視が含まれます。

ここで、ゼロトラストセキュリティ戦略が役立ちます。

ゼロトラストが自律システムにガードレールを提供する仕組み

ゼロトラストは、デジタルシステム内部において信頼を前提とすべきではないという、シンプルな原則に基づいている。

ゼロトラストは、ネットワーク境界や暗黙の信頼ゾーンに依存するのではなく、ID、コンテキスト、および動作に基づいてすべてのリクエストを評価します。

議論の中で、ジョシュはゼロトラストの理念について次のように説明した。「ゼロトラストとは、人間の感情である信頼をデジタルシステムから排除することなのです。」

このモデルは、アクセス決定が複数のシグナルに基づいて行われるため、現代の企業環境において有効に機能します。セキュリティシステムは以下を評価します。

誰がリクエストしているのか
彼らが試みている行動とは
リクエストの発信元
その行動が予想されるパターンに合致するかどうか

これらの原理は、AIシステムにも当然当てはまります。

AIエージェントは、多くの企業リソースと連携します。彼らは内部データにアクセスしたり、サービスと通信したり、自動化されたワークフローを起動したりする可能性があります。すべてのやり取りはゼロトラストのルールに従うべきである。

AIエージェントを左右する5つの質問

組織がこのアプローチを導入するのを支援するため、ジョシュは「エージェント信頼フレームワーク」と呼ばれるシンプルなフレームワークを開発した。AIセキュリティを5つの重要な問いを中心に整理する。

あなたは誰ですか？すべてのAIエージェントには、強力な認証によって検証可能な明確な身元情報が必要です。‍
何してるの？動作監視により、システムが想定されるパターン内で動作していることを確認できます。‍
あなたはどのようなデータを消費し、どのようなデータを生成していますか？データガバナンスは、システムがアクセスできる情報と、システムが生成できる出力を決定するものです。‍
どこへ行けますか？ セグメンテーションは、エージェントがアクセスできるシステムや環境を制御します。
もしあなたが独断専行したらどうなるでしょうか？組織は、異常な動作を検知し、必要に応じて自動システムを迅速に停止させる仕組みを必要としている。

これらの質問は一見単純に聞こえるが、これらを総合すると包括的なセキュリティアーキテクチャを構成する。これらは、本人確認、行動監視、データガバナンス、セグメンテーション、インシデント対応を網羅しています。

言い換えれば、彼らはゼロトラストの中核となる原則を、AI主導の自動化という新たな世界に適用しているのだ。