AI普及とセキュリティの課題
見出し
企業がAIエージェントを導入し、日々のワークフローにAIを組み込む中で、人間のアイデンティティと同様にAIエージェントの安全を確保し、統制する能力が求められています。また、現代の業務がブラウザベースに移行する中、社内のセキュリティアーキテクチャの進化も不可欠です。
現在の状況として、経営幹部の約9割がAIエージェントの利用が中規模または広範囲に広がっていると回答している一方、人間と同等のセキュリティ管理をAIエージェントに適用している組織はわずか34%にとどまると報告されています。さらに、セッションハイジャックなどアイデンティティを狙った攻撃は前年比127%増加し、ITリーダーの約6割が特定のベンダーへの依存を戦略的リスクと捉えています。
Oktaの最高製品責任者(CPO)であるEly Kahn氏は、「組織は、自社のチームが求めるAIや生産性向上ツールと、自社のビジネスが必要とするセキュリティのどちらか一方を諦める必要はありません」と述べ、Googleの製品スイートとOktaのアイデンティティ層の組み合わせが自然な選択肢であるとの見解を示しています。
Google Cloudのセキュリティ&アイデンティティISVパートナーシップ担当ディレクター兼グローバルヘッドであるVineet Bhan氏は、「AIを活用する企業の安全を確保するには、現代の業務を支える中核プラットフォーム全体でシームレスに機能する、アイデンティティセキュリティ層が必要です」とし、Oktaとの協力により、Google Cloud全体にその基盤を拡張していく意向を示しました。
AIエージェント向けセキュリティとガバナンス
Auth0 for AI AgentsとGemini Enterprise Agent Platform Runtimeの統合
Google Cloudの「Gemini Enterprise Agent Platform Runtime」上で次世代アプリケーションを構築する顧客向けに、「Auth0 for AI Agents」は、パイロット段階から本番環境への安全な移行に必要なアイデンティティ層を提供します。同ソリューションは、Auth0 for AI AgentsとGemini Enterprise Agent Platform Runtimeの統合により、開発者がカスタムコードを記述する負担を軽減し、エンタープライズ向けのアイデンティティとアクセス管理をワークフローに組み込むことを支援します。主な機能は以下の通りです。
-
ユーザー認証: 認証されたユーザーのみがAIエージェントを呼び出せるようにします。
-
トークンボルト: OAuthトークンを安全に保存、管理、更新し、AIエージェントがユーザーに代わってサードパーティや下流のサービスに安全に接続できるようにします。
-
ヒューマンインザループワークフロー: 機密性が高い、またはリスクの高いアクションに対して、人間の承認チェックポイントを設定し、ユーザーが制御権を維持しながらAIエージェントが処理を継続できるようにします。
-
きめ細かな認可: Gemini Enterprise Agent Platform RuntimeのAIエージェントが、ユーザーに許可された特定のアクションのみを実行するように制限し、過剰な権限による不適切な挙動を防ぎ、機密データを保護します。
-
MCP向けの認証: あらゆるMCP(Model Context Protocol)サーバーに認証と認可を追加し、誰がアクセスできて、何ができるかをユーザーが細かく制御できるようにします。
Okta for AI AgentsとGemini Enterprise Agent Platformの連携(近日提供予定)
企業が数万個規模のAIエージェントを導入するようになると、可視性の欠如による「アイデンティティの死角」や、ポリシー適用がバラバラになることによるガバナンスのリスクが生じる可能性があります。Okta for AI AgentsとGemini Enterprise Agent Platformの連携により、AIエージェントが検証済みのアイデンティティとして作成され、人間の所有者に紐付けられ、そのアクセスが一元化された企業ポリシーによって管理されるようになるとしています。
この連携では、AIエージェントのインポートと登録により、Gemini Enterprise Agent Platform上で構築されたAIエージェントをOkta for AI Agentsが一元化されたディレクトリに継続的にインポートし、人間の所有者にリンクさせてアカウンタビリティを維持します。また、Google Agent Gatewayを介したOktaポリシーの適用により、外部のAIエージェントがGoogleのサービスとやり取りする際、Gemini Enterprise Agent Platform内のGoogle Agent Gatewayが強制適用ポイントとして機能し、リアルタイムの認証と認可をOkta for AI Agentsに委任することで、すべてのリクエストが一括管理された単一の企業ポリシーによって統制されるようになります。
最新の業務環境全体でのセキュリティ強化
OktaとChrome Enterpriseによるブラウザ脅威へのリアルタイム対応
ブラウザがSaaSやAIを活用した業務の主要なプラットフォームとなった現在、IT・セキュリティチームにとってブラウザ層のセキュリティ対策は不可欠です。組織はセッションハイジャックや資格情報の窃盗といった脅威に直面しており、悪意のある拡張機能や管理されていないブラウジング活動が新たなリスクを生み出しています。
OktaとChrome Enterpriseは協力し、ブラウザをポリシーが適用された安全なワークスペースへと変革し、管理デバイスと未管理デバイスの両方で、業務を妨げることなくアプリケーション、データ、AIの利用を保護するとしています。主な機能は以下の通りです。
-
Chrome Enterprise Universal Enrollment: Okta Integration Networkを通じて利用可能なChrome Enterprise Universal Enrollmentにより、ITチームは管理・未管理を問わず、あらゆるデバイス上の管理対象Chromeプロフィールを通じて企業向けのポリシーを適用できます。この際、Googleへのアイデンティティ同期は不要です。
-
デバイス信頼性の向上: Oktaは「Device Assurance」を「Chrome Device Trust Connector」と統合し、Oktaで保護されたアプリケーションへのアクセスを許可する前に、ブラウザとデバイスのセキュリティ状態をリアルタイムで評価します。新たなアンチウイルス(AV)シグナルにより、デバイスのAVが機能していない、またはバージョンが古い場合、Chromeはブラウザレベルでログインをブロックできるようになります。
-
macOS向けの拡張可能なSSO: ChromeがmacOS上でAppleの「拡張可能なシングルサインオン(SSO)」を公式にサポートし、アイデンティティプロバイダーとしてOktaをサポートするようになりました。このChrome拡張機能により、ユーザーは「Okta FastPass」や「Okta Device Access」をより効果的に活用でき、アプリケーション間でのログイン体験がさらにスムーズになります。
-
デバイスにバインドされたセッション資格情報(DBSC)のサポート: Oktaは設計パートナーとしてGoogleと共同でDBSC(Chromeブラウザを介して暗号的にセッションを特定のデバイスに紐付けるオープン標準)に取り組み、Oktaエンドユーザーダッシュボードにそのサポートを実装しました。多要素認証(MFA)がログインプロセスを保護する一方で、DBSCはセッションの乗っ取りを防ぎます。対応しているアプリであれば、攻撃者がクッキーを盗み出すことに成功したとしても、別のデバイスでそのクッキーを使用することはできないとしています。
本記事において、現時点で一般提供されていない、あるいは未取得のソリューション、機能、認証、認可、または証明に関する記述は、予定通りに提供・取得されない可能性、あるいはまったく提供・取得されない可能性があります。Oktaはこれらの項目を提供する義務を負うものではなく、顧客はこれらを購買決定の判断材料とすべきではないとしています。
ソース元: Okta、Google Cloudと提携し、AIを活用する従業員の安全を確保
URL: https://www.okta.com/ja-jp/newsroom/press-releases/okta-teams-up-with-google-cloud-to-secure-the-ai-powered-workforce/