最近、こんな話を聞いた。ある企業で、社員が業務効率化のためにChatGPTベースのAIエージェントをSlackに接続した。便利だった。だが数週間後、そのエージェントが人事チャンネルの給与情報にもアクセスしていたことが発覚した。
誰も悪意はなかった。ただ、エージェントに「ID」がなかっただけだ。人間なら入社時にアカウントを作り、権限を設定し、退職時にアカウントを無効化する。当たり前のことだ。でもAIエージェントには、この「当たり前」がまだ存在しない。
2026年3月16日、Oktaがこの問題に真正面から答える製品群「Okta for AI Agents」を発表した。この記事では、なぜAIエージェントにID管理が必要で、具体的に何が変わるのかを解説する。
そもそもAIエージェントの「ID」とは何か
人間のID管理は直感的に理解できる。社員証、メールアカウント、システムログイン——すべて「この人は誰で、何にアクセスできるか」を管理する仕組みだ。
AIエージェントのID管理も、本質は同じだ。違うのは、相手が人間ではなく自律的に動くソフトウェアであるという点だけ。
具体的には、以下の3つを管理する必要がある。
| 管理項目 | 人間の場合 | AIエージェントの場合 |
|---|---|---|
| 認証(誰か) | パスワード、MFA | APIキー、OAuthトークン、証明書 |
| 認可(何ができるか) | ロールベースアクセス制御 | スコープ制限、最小権限 |
| 監査(何をしたか) | ログイン履歴、操作ログ | ツール呼び出しログ、API呼び出し記録 |
要するに、AIエージェントを「もう一人の従業員」として扱い、同じレベルのID管理を適用するということだ。
何が起きているのか——数字で見る現状
Oktaの調査(2026年2月)が明らかにした数字は衝撃的だ。
- 88%の組織が、AIエージェントに起因するセキュリティインシデントを確認または疑っている
- にもかかわらず、AIエージェントを独立したIDとして管理している組織はわずか22%
- 98%の組織で、従業員が未承認のAIツール(シャドーAI)を使用
- シャドーAIによるセキュリティ侵害は、平均67万ドルのコスト増加をもたらしている
正直、これは驚いた。9割近い企業がインシデントを経験しているのに、まともにID管理しているのは2割強しかいない。消火器なしでバーベキューしているようなものだ。
Okta for AI Agentsは何を解決するのか
2026年3月16日に発表された「Okta for AI Agents」は、4月30日にGA(一般提供)予定の製品群だ。3つの問いに答える設計になっている。
問い1:エージェントはどこにいるか(Discovery)
まず、社内で動いているAIエージェントを「発見」する機能。これが意外と難しい。
社員が個人的に導入したブラウザ拡張のAIアシスタント、チームが独自にデプロイしたSlack Bot、外部SaaSに組み込まれたAIエージェント——これらの「シャドーエージェント」を、OAuthクレームやAPI呼び出しパターンから検出する。
OktaのUniversal Directoryが拡張され、AIエージェントを「ファーストクラスの非人間アイデンティティ」として登録・管理できるようになる。オンボーディングからデコミッションまで、ライフサイクル全体をカバーする。
問い2:エージェントは何に接続できるか(Access Control)
Agent Gatewayが、全エージェントとリソース間の接続を制御するコントロールプレーンとして機能する。
注目すべきは、このGatewayがMCP(Model Context Protocol)サーバーのプロキシとしても動作する点だ。つまり、MCPベースのツール呼び出しもOktaのポリシーエンジンで制御できる。
# 概念的なAgent Gatewayのポリシー設定例(YAML)
# 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。
agent_policy:
agent_id: "sales-assistant-agent-01"
owner: "sales-team-lead@example.com"
allowed_resources:
- type: "api"
endpoint: "https://crm.example.com/api/v2/*"
scopes: ["read:contacts", "write:notes"]
- type: "mcp_server"
server: "slack-mcp"
tools: ["search_messages", "post_message"]
channels: ["#sales", "#deals"] # 人事チャンネルは除外
denied_resources:
- type: "api"
endpoint: "https://hr.example.com/*" # HR系は全面禁止
max_token_lifetime: "1h"
require_human_approval_for:
- "write:*"
- "delete:*"動作環境: Agent GatewayはSaaS版とセルフホスト版の両方で提供予定。
問い3:エージェントは何をしたか(Governance)
すべてのツール呼び出し、認可判定、データアクセスのログが組織のSIEMに転送される。行動分析と異常検知により、エージェントの逸脱行動を検出する。
特に強力なのがUniversal Logout for AI Agentsだ。エージェントが予期しないデータにアクセスした場合、全システムのアクセストークンを即座に無効化する「キルスイッチ」として機能する。
# Universal Logoutの概念的なAPI呼び出し例
# 注意: 本番環境で使用する前に、必ずテスト環境で動作確認してください。
import requests
# 動作環境: Python 3.10+, requests>=2.28
OKTA_DOMAIN = "https://your-org.okta.com"
API_TOKEN = os.environ["OKTA_API_TOKEN"] # 環境変数から読み込み
def emergency_revoke_agent(agent_id: str, reason: str):
"""エージェントの全アクセスを即座に無効化"""
response = requests.post(
f"{OKTA_DOMAIN}/api/v1/agents/{agent_id}/universal-logout",
headers={"Authorization": f"SSWS {API_TOKEN}"},
json={
"reason": reason,
"revoke_all_tokens": True,
"notify_owner": True,
"log_to_siem": True
}
)
return response.json()
# 使用例: 想定外のHRデータアクセスを検知した場合
result = emergency_revoke_agent(
agent_id="sales-assistant-agent-01",
reason="Unauthorized access to HR data detected"
)
print(f"Revoked: {result['tokens_revoked']} tokens across {result['systems_affected']} systems")よくある誤解
誤解1:「APIキーを管理していればID管理は不要」
これはよく聞くが、的外れだ。APIキーは「認証」の一部にすぎない。問題は、そのキーで「何ができるか」「何をしたか」が見えていないこと。しかも多くの組織で、APIキーは共有されたまま、ローテーションもされず、平文でコードに埋め込まれている。Oktaの調査では、AIエージェントの認可にハードコードされたロジックや共有APIキーを使っている組織が大多数だ。
誤解2:「うちはAIエージェントを使っていないから関係ない」
98%の組織で従業員が未承認のAIツールを使っているという統計を思い出してほしい。あなたの会社でも、誰かがブラウザ拡張のAIアシスタントを使って社内ドキュメントを要約させているかもしれない。そのアシスタントは立派なAIエージェントだ。
誤解3:「既存のIAMツールでAIエージェントも管理できる」
従来のIAM(Identity and Access Management)は人間の行動パターンを前提に設計されている。人間は1日に数十回ログインする。AIエージェントは1秒に数百回APIを叩く。動作速度、セッション管理、異常検知の閾値——すべてが違う。だからこそ、エージェント専用のID管理レイヤーが必要になる。
他のプレイヤーはどう動いているか
AIエージェントのセキュリティに取り組んでいるのはOktaだけではない。
| 企業/プロジェクト | アプローチ | 特徴 |
|---|---|---|
| Okta | ID管理プラットフォーム拡張 | 非人間IDのライフサイクル管理、MCPプロキシ |
| Google (A2A) | Agent-to-Agentプロトコル | エージェント間認証、タスク委譲時の権限伝搬 |
| Anthropic (MCP) | ツールアクセスの標準化 | ツール発見・呼び出しの統一インターフェース |
| Microsoft | Entra IDのエージェント拡張 | Copilot Coworkとの統合 |
ポイントは、これらは競合というより補完関係にあるということだ。MCPがツールアクセスを標準化し、A2Aがエージェント間通信を標準化し、Oktaがその上に横断的なID管理レイヤーを提供する——というエコシステムが形成されつつある。
AIエージェントのプロトコル構造については、A2Aプロトコルとは?MCPとの違いとマルチエージェント連携の新常識で詳しく解説している。
結局どうすればいいのか
Okta for AI Agentsの正式リリースは2026年4月30日だ。それを待つ間にも、できることはある。
今日やること:社内で使われているAIエージェント・AIツールの棚卸しを始める。IT部門に聞くだけでは足りない。各部署に「AIツールを使っていますか?」と直接聞く。シャドーAIの発見が第一歩だ。
今週中:発見したAIエージェントそれぞれに対して、「誰がオーナーか」「何にアクセスしているか」「APIキーのローテーション状況」を確認する。これだけで多くのリスクが可視化される。
今月中:AIエージェントのセキュリティポリシーのドラフトを作成する。最低限、以下の3点を決めること——(1) エージェント導入の承認プロセス、(2) 最小権限の原則の適用方法、(3) インシデント発生時の対応フロー。
AIエージェントのセキュリティ設計については、AIエージェントのガードレールとは?なぜ必要で、どう実装するのかも参考になる。
参考・出典
- Okta Unveils New Framework to Manage AI Agents — Okta Newsroom(参照日: 2026-03-18)
- Okta unveils new framework to manage AI agents — SiliconANGLE(参照日: 2026-03-18)
- Okta unveils new framework to secure enterprise AI agents — TechRadar(参照日: 2026-03-18)
- AI Agent Security in 2026: The Risks Most Enterprises Still Ignore — Beam AI(参照日: 2026-03-18)
- State of AI Agent Security 2026 Report — Gravitee(参照日: 2026-03-18)
この記事はAIgent Lab編集部がお届けしました。
あわせて読みたい:
- A2Aプロトコルとは?MCPとの違いとマルチエージェント連携の新常識 — マルチエージェント時代のプロトコル全体像
- AIエージェントのガードレールとは?なぜ必要で、どう実装するのか — 安全なエージェント設計の基本
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
