マッキンゼーにはAI従業員が2万5千人います。そして、ほとんどに社員証がありません。
正確に言うと、人間の社員のIDを借りて使っているか、誰も管理していないAPIキーで社内システムを動き回っているんです。企業の91%がすでにAIエージェントを運用しているのに、身元を体系的に管理しているのはわずか10%。
エージェントの91%が借り物の身分証で働いている
企業がAIエージェントを導入する方法は、大きく3パターンあります。
| 現状の慣行(問題) | あるべき姿 | |
|---|---|---|
| 認証 | 人間アカウント共有または静的APIキー | エージェント固有の管理ID |
| 権限 | 人間と同じ広範な権限を継承 | 最小権限+リアルタイム承認 |
| 監査 | 追跡不能(誰が何をしたか不明) | 完全な行動監査ログ |
| 廃棄 | 終了後も認証情報が残存 | ライフサイクル終了と同時に自動廃棄 |
Strata.ioが2026年に実施した調査によると、44%が静的APIキー、43%がID・パスワードの組み合わせでエージェントを運用しているとのことです。 エージェントが消えた後も認証情報がシステムに残り続けるんです。追跡する方法もなく、廃棄プロセスもありません。
Graviteeの「2026 AIエージェントセキュリティ実態レポート」はさらに踏み込んでいます。本番環境のAIエージェントの48%はセキュリティ管理なしで稼働中で、85%の企業にはエージェントの行動に対する公式な責任者がいません。
OktaもEntraも、これは設計の範囲外なんです
Okta、Microsoft Entra——エンタープライズIAMの二大巨頭です。20年間、何億人もの人間社員のログインを安全に処理してきました。
問題は、これらのプラットフォームが「人間がウェブアプリにログインする」という前提で設計されていることです。 AIエージェントは違います。一度ログインして終わりではなく、24時間自律的に動き回り、秒単位で意思決定を行い、同時に何千も稼働することがあります。人間のようにセッションを終了しません。
NewCoreのCEO、ゾハール・アロン氏はこれをはっきりこう表現しました。
"15年、20年前の身元プラットフォームが、AIエージェントの規模と複雑さに耐えきれずに崩壊するのは避けられないことです。"
— ゾハール・アロン, NewCore CEO
Oktaは2026年3月にXAA(クロスアプリアクセス)プロトコルを発表してエージェント身元管理市場に参入し、Microsoft Entra Agent IDも同じ方向に動いています。 既存プラットフォームが動き出したこと自体、この市場が現実のものとなったシグナルです。
セキュリティチームが今すぐ確認すべきリスク
コーディングエージェント(Claude Code、Cursor、Codex)はコードリポジトリ・CI/CDパイプライン・クラウドインフラに直接アクセスできます。誰の認証情報で動いているか、権限の範囲はどこまでか——今日確認してください。
エージェント身元インフラはどう機能するのか
NewCoreのアプローチは、エージェントを人間社員と同様に扱いながら、エージェント専用のルールを適用することです。[[cite:5],[cite:6]] 3つのコア技術を紹介します。
Secure Split Key(分割キーアーキテクチャ):認証情報を顧客とプラットフォームで半分ずつ保管します。一方が盗まれても単独では使えません。Golden SAML攻撃やトークン再利用攻撃を構造的にブロックします。
エージェントライフサイクル管理:エージェントが「入社」すると固有IDが発行され、権限範囲が設定され、全行動が監査ログに記録されます。「退社」すると認証情報は即座に廃棄されます。人間社員のオンボーディング・オフボーディングと同じ概念です。
VisualMFA+アウトオブバンド検証:機密性の高い作業については、人間のリアルタイム承認が必要です。エージェントが本番DBを変更しようとすると、担当者のスマートフォンに確認リクエストが届きます。 Claude Code、Codex、Cursor専用の統合パッケージもすでにリリース済みです。
今すぐ実施するエージェント身元点検5ステップ
- インベントリを作る
組織内で稼働しているAIエージェントをリストアップしましょう。従業員が個人的に使っているシャドウAIも含めて。企業平均は76〜100個です。ないと思っているなら、ほぼ確実にあります。 - 認証情報の種類を確認する
各エージェントが何で認証しているか確認します。静的APIキー、人間アカウントの共有、サービスアカウント——どれも短期的な応急処置です。人間アカウントを共有しているエージェントは即座に分離が必要です。 - 権限の範囲を点検する
エージェントに必要な権限だけが付与されているか確認します。コーディングエージェントが顧客DBにアクセスできるなら過剰権限です。最小権限の原則をエージェントにも適用しましょう。 - 監査ログを確保する
「このエージェントが先週何をしたか」に答えられる必要があります。エージェントの行動ログがなければ、コンプライアンス監査でただちに問題になります。金融・医療業界ではエージェントも人間と同等の監査追跡が必要です。 - 廃棄プロセスを設計する
エージェントのプロジェクトが終了したとき、認証情報が自動廃棄されるか確認します。稼働中のAPIキーを持つ停止済みエージェントが最も危険な攻撃ベクターです。
専用ソリューションなしで今すぐできること
専用IAMソリューション導入前でも、エージェント用サービスアカウントを人間アカウントから分離するだけで追跡可能性が大きく向上します。OktaやEntraを使っているなら、エージェント専用サービスアカウントを別グループにまとめて権限範囲を絞るところから始めましょう。
さらに深く掘り下げる
NewCore公式発表 創業者の背景、Secure Split Keyの技術詳細、ローンチロードマップ newcore.com
State of AI Agent Security 2026 Graviteeの実態調査——6つの失敗パターンと業種別インシデント発生率 gravitee.io
The AI Agent Identity Crisis Strata.ioの研究——44%の企業が静的APIキーでエージェントを運用している実態データ strata.io
AI Agents at Work 2026 Oktaのグローバル調査——役員292人・ナレッジワーカー492人対象 okta.com
Rogue Agents and Shadow AI VCがAIセキュリティに賭ける理由とエージェント身元保安市場の構造 techcrunch.com
