AIエージェント由来の「非人間エンティティ」が、企業が対処すべき新たな脆弱性となる
AIエージェントは大量の「非人間エンティティ」(non-human identity)を生成しており、人間向けに設計された従来のセキュリティシステムでは追いつかず、ハッカーが攻撃を仕掛けやすい脆弱性となっている。
サイバーセキュリティ企業のNetwrixは、BleepingComputerに掲載されたスポンサー記事形式の分析レポートで、自律的に動作するAIプログラムであるAIエージェントの増加が、企業のセキュリティシステムに大きな課題をもたらしていると指摘している。これらのエージェントは「非人間従業員」のようなもので、データへのアクセス権限とアイデンティティを持つ必要があるが、ほとんどのセキュリティシステムは人間向けに設計されているため、視認・管理が困難な「Identity Security Gap」が生じている。
業界団体であるNon-Human Identity Management Group (NHIMG) のデータによると、多くの組織で「machine identities」の割合は人間のユーザーを50対1で上回っている。また、Netwrix自身の「2026 Data and Identity Security Report」では、AI利用によりidentityの数が大幅に増加した組織では、breach rateが43%にも達しており、リスクの増大を裏付けている。
この種の脆弱性は、ハッカー集団UNC6395がSalesloft DriftアプリケーションのOAuth token(アプリ間の認証に使用されるデジタルキー)を利用して、複数の企業のSalesforceシステムに侵入した事例ですでに発生している。これは、アプリとAIエージェント間の接続が悪意ある行為者にとってのバックドアとなり得ることを示している。
この傾向は他の情報源からも裏付けられており、分析会社のGartnerは、2029年までにAIエージェントに対する成功した攻撃の50%以上がaccess controlの弱点を悪用すると予測している。これは、従来のIdentity and Access Management (IAM) の構造がAI時代にはもはや十分ではないことを示唆している。
タイの企業がAIエージェントのビジネス導入を加速するにつれて、この「非人間エンティティ」に関する脆弱性は身近なリスクとなり、企業の重要データや顧客の個人情報漏洩につながる可能性がある。