Microsoft による AI エージェントのアイデンティティの保護は 2026 年に突入

Microsoft による AI エージェントのアイデンティティの保護は 2026 年に突入

2026 年 1 月 15 日

はじめに: AI 時代におけるアイデンティティ セキュリティの新たなフロンティア

2026 年までに、自律型人工知能 (AI) エージェントの急増により、サイバーセキュリティの状況は根本的に変わります。これらのエージェントは、高度なチャットボットや仮想アシスタントからロボット プロセス オートメーション (RPA) システムやデータ分析アルゴリズムに至るまで多岐にわたり、企業運営に不可欠なコンポーネントとなっています。彼らは複雑なタスクを実行し、機密リソースにアクセスし、重要なシステムと対話しますが、多くの場合、人間が直接介入することはありません。ただし、この拡張された自律性と機能は、新たな複雑な攻撃対象領域をもたらします [1]。

従来、アイデンティティ セキュリティは主に人間のユーザーに焦点を当てていました。多要素認証 (MFA)、条件付きアクセス、および ID ガバナンス ポリシーは、従業員、パートナー、顧客の資格情報を保護するために設計されました。 AI エージェントの台頭により、この視点を拡大する必要があります。理論上、侵害された AI エージェントは、人間の攻撃者の権限や重要なシステムへのアクセスを悪用することで、人間の攻撃者の能力をはるかに超える規模と速度で損害を引き起こす可能性があります [2]。

この進化を認識して、Microsoft は 2026 年に、人間のアイデンティティに適用されるのと同じ厳密さと洗練さで AI エージェントのアイデンティティを扱うように特別に設計された、Microsoft Entra ID (旧称 Azure Active Directory) に強力な高度な機能セットを導入しました。目標は、データとシステムの整合性と機密性を維持しながら、自動化と人工知能が攻撃ベクトルにならずに効率を高めることを保証することです[3]。

この技術的および教育的な記事は、セキュリティ アナリスト、ソリューション アーキテクト、および IT 管理者が AI エージェントの ID を保護するために Microsoft Entra ID で利用できる戦略とツールを理解し、実装できるようガイドすることを目的としています。これらの新しいデジタル エンティティのセキュリティを構成および管理するための基本原則、前提条件、詳細なステップバイステップ ガイドについて説明します。

AI エージェント ID のセキュリティの緊急の必要性

AI エージェントのエンタープライズ ワークフローへの統合は、さらなる効率化、自動化、イノベーションの追求によって推進されています。ただし、この統合は、アイデンティティのセキュリティに積極的に対処しない場合、重大なリスクももたらします。次のリスク シナリオを考慮してください。

  • 機密データへのアクセス: AI エージェントは、顧客データベース、財務情報、または知的財産へのアクセスを許可される場合があります。この攻撃者の ID が危険にさらされると、攻撃者は人間のユーザーに重点を置いた従来のセキュリティ制御では検出されずに、データをまとめて持ち出すことができます。

  • 水平方向の移動と権限昇格: AI エージェントは複数のシステムやサービスと対話することがよくあります。権限の低いエージェントを侵害した攻撃者は、エージェントが他のサービスと持つ信頼関係を悪用して、ネットワーク内を横方向に移動し、権限を昇格する足がかりとして使用する可能性があります。

  • 重要なプロセスの処理: AI エージェントは、トランザクションの承認、インフラストラクチャ構成の管理、または重要な通信の送信を担当する場合があります。侵害されたエージェントは不正行為や破壊的な行為を実行するように操作され、経済的および評判に重大な影響を与える可能性があります。

  • 秘密の暴露: 多くの AI エージェントは、他のサービスにアクセスするために認証情報または API キーを必要とします。これらの資格情報が安全に保管されていない場合、またはエージェントの ID が盗まれた場合、秘密が公開され、攻撃者によって悪用される可能性があります。

これらのリスクを軽減するには、ゼロトラスト原則を AI エージェントに拡張する ID セキュリティ アプローチを組織が採用することが不可欠です。これは、各エージェントが検証可能な ID を持っていなければならず、そのアクセスは各リクエストで明示的に検証されなければならず、その権限はその機能を実行するために必要最小限でなければならず、コンテキストに従って動的に調整される必要があることを意味します [4]。

AI エージェントの基本的なセキュリティ原則

AI エージェントの効果的な保護Microsoft Entra ID は、相互接続された 3 つの原則に基づいており、ゼロ トラストの哲学を反映しています。

  1. 検証可能で一意の ID: 各 AI エージェントは、Microsoft Entra ID 内で一意で追跡可能なデジタル ID を持っている必要があります。この ID を他のサービスや人間のユーザーと共有してはなりません。アクションを監査し、特定のエージェントに割り当てる機能は、説明責任とインシデント調査にとって非常に重要です。これは、汎用ユーザー アカウントの代わりにサービス プリンシパル、マネージド ID、またはワークロード ID を使用することを意味します [5]。

  2. 適応的でリスクベースの条件付きアクセス: AI エージェントのアクセス ポリシーは動的かつ適応的である必要があります。 Microsoft Entra ID は、静的アクセスを許可する代わりに、エージェントの履歴動作、アクセスされているリソース、要求の場所、検出された異常など、各アクセス要求のコンテキストを評価して、アクセスを許可するか拒否するか、または追加のアクション (再認証や整合性チェックなど) が必要かどうかを判断する必要があります。 「エージェントリスクレベル」などの条件の導入は、この点において大きな前進です[6]。

  3. 動的な最小特権 (ジャスト十分かつジャストインタイムのアクセス): AI エージェントは、割り当てられたタスクを実行するために、可能な限り最小の権限セットで動作する必要があります。さらに、これらのアクセス許可は、必要な場合 (ジャストインタイム) にのみ付与され、タスクの完了時に自動的に取り消される必要があります。これにより、エージェントが侵害された場合に攻撃者が悪用できる「表面積」が最小限に抑えられます。この原則を維持するには、アクセス レビューや権限管理を含む AI エージェントのアイデンティティ ガバナンスが不可欠です [7]。

実装の前提条件

Microsoft Entra ID で AI エージェントの ID セキュリティ機能を実装するには、次の要素が必要です。

  • Microsoft Entra ID プレミアム P1 または P2 ライセンス: AI エージェントの保護に重要な、条件付きアクセス、ID 保護、ID ガバナンスなどの高度な機能に不可欠です。

  • 管理アクセス: Microsoft Entra 管理センター (entra.microsoft.com) の全体管理者、セキュリティ管理者、またはアプリケーション管理者のアクセス許可を持つアカウント。

  • AI/オートメーション開発の知識: AI エージェントがどのように開発、展開されるか、および認証と承認のために Microsoft Entra ID とどのように対話するかについての知識。

  • Microsoft Sentinel (オプションですが推奨): エージェントの動作の異常を高度に監視および検出します。

ステップバイステップ ガイド: Microsoft Entra ID での AI エージェント保護の構成

AI エージェントの ID のセキュリティを構成および強化する手順を詳しく見てみましょう。

ステップ 1: AI エージェントの登録と適切な分類

最初の最も重要なステップは、各 AI エージェントが別個のエンティティとして Microsoft Entra ID に登録され、その「自律エージェント」としての性質が適切に分類されていることを確認することです。これにより、セキュリティ ポリシーをきめ細かく適用できるようになります。

  1. メイン アプリケーション/サービスの登録: Microsoft ログイン管理センターで、ID > アプリケーション > アプリケーション登録 に移動します。 AI エージェントを新しいアプリケーションとして登録します。これにより、Entra ID におけるエージェントの ID を表すサービス プリンシパルが作成されます。

  2. マネージド ID の使用: Azure サービス (Azure Functions、Azure Kubernetes Service、Azure Virtual Machines など) にデプロイされた AI エージェントの場合は、マネージド ID を使用します。 Azure が資格情報のライフサイクルを自動的に管理するため、資格情報を手動で管理する必要がなくなります。攻撃対象領域を減らすために、これを強くお勧めします。

  3. 「自律エージェント」 分類: 2026 年、Entra ID のアプリケーション登録インターフェイスには、新しい分類タグ 「自律エージェント」 が含まれます。エージェントを登録する際には、必ずこのタグを適用してください。この分類は、AI ID を具体的に識別して管理するために、条件付きアクセス ポリシーとガバナンス レポートによって使用されます。

  4. 証明書ベースの認証: マネージド ID が適用できない場合は、サービス プリンシパルを構成しますクライアント シークレット (パスワード) の代わりに証明書ベースの認証を使用することもできます。証明書は、より堅牢なセキュリティ層とより安全な管理ライフサイクルを提供します。

ステップ 2: AI エージェントの条件付きアクセス ポリシーを実装する

条件付きアクセス ポリシーはゼロ トラスト アプローチの中心であり、アクセスを許可または拒否する条件を定義できます。 2026 年に、これらのポリシーはエージェント固有の属性を含むように拡張されました。

  1. 新しい条件付きアクセス ポリシーの作成: 保護 > 条件付きアクセス に移動します。次の設定を使用して新しいポリシーを作成します。

  2. 割り当て > ユーザーまたはワークロード ID: 特定の AI エージェントのサービス プリンシパルまたはマネージド ID を選択します。厳密に必要であり、明確な除外がある場合を除き、エージェントに「すべてのユーザー」を使用することは避けてください。

  3. クラウド リソースまたはアクション: エージェントがアクセスする必要がある特定のリソースを選択します (例: Azure SQL Database、Microsoft Graph API、Azure Key Vault)。ここでは最小特権の原則を適用します。

  4. 条件 > エージェント リスク レベル: これは、2026 年に導入された新しい条件です。Microsoft Entra Identity Protection によって検出されたエージェントの動作に関連するリスクを評価するように構成します。リスクが または に分類された場合、アクセスをブロックするか、追加のアクションが必要になります。

  5. アクセス制御 > 許可: 高リスクのシナリオの場合は、アクセスをブロック を選択します。リスクを低くするには、「コードの整合性の証明を要求する」 を要求できます。これは、コード署名のチェックまたはエージェント実行環境の整合性の証明です。

  6. 場所と動作ベースのポリシー: エージェントのリスクに加えて、場所 (エージェントが特定の IP からのみ動作する必要があるかどうか) や動作パターン (エージェントが通常の動作パターン以外のリソースにアクセスしようとする場合) などの他の条件も考慮します。

ステップ 3: AI エージェントのアイデンティティ ガバナンスとアクセスのレビュー

人間のアイデンティティと同様に、AI エージェントのアイデンティティも、権限が適切なままであり、権限が蓄積されないように継続的なガバナンスが必要です。

  1. エージェントのアクセス レビュー: Microsoft Entra Identity Governance を使用して、AI エージェント ID の自動アクセス レビューを作成します。定期的なレビュー (例: 四半期ごと) を設定して、エージェントの所有者またはセキュリティ チームが、付与されたアクセス許可が継続的に必要であることを証明できるようにします。これは、最小特権の原則を確保するのに役立ちます。

  2. エージェント向けの特権アクセス管理 (PIM): 高度な特権アクセスを必要とするエージェント (重要なインフラストラクチャの管理など) には、**特権アイデンティティ管理 (PIM) ** を実装します。これにより、エージェントが必要な場合にのみ、限られた期間だけ、権限をジャストインタイム (JIT) で昇格できるため、攻撃者が侵入する機会が減ります。

  3. Microsoft Sentinel による監視とアラート: Microsoft Entra ID 監査ログを Microsoft Sentinel と統合します。カスタム検出ルールとアラートを作成して、AI エージェントによる異常な動作パターンを特定します。たとえば、エージェントがほとんど対話しないリソースから大量のデータにアクセスし始めた場合、または通常の営業時間外にリソースにアクセスしようとした場合に、アラートがトリガーされる可能性があります [8]。

追加の考慮事項とベスト プラクティス

  • 最小特権の原則: AI エージェントには、その機能を実行するために厳密に必要な権限のみを常に付与します。これらの権限を定期的に確認して調整してください。

  • エージェントのセグメント化: 可能であれば、AI エージェントをその役割とアクセスするリソースに基づいてセグメント化します。これにより、エージェントが侵害された場合の「爆発範囲」が制限されます。

  • アイデンティティ ライフサイクル: AI エージェント ID のプロビジョニング、管理、プロビジョニング解除のための明確なプロセスを確立します。エージェントが不要になった場合は、その ID を非アクティブ化し、その権限を直ちに取り消す必要があります。

  • 教育と啓発: AI エージェントは人間ではありませんが、これらを開発および管理するチームは、アイデンティティ セキュリティのリスクとそれを軽減するためのベスト プラクティスを認識する必要があります。

  • セキュリティ テスト: AI エージェントの ID とアクセスを特に対象としたセキュリティ テスト (侵入テストや攻撃シミュレーションなど) が含まれます。

結論

AI エージェントのアイデンティティの保護は、2026 年のサイバーセキュリティの重要かつ急速に進化する分野です。強化された条件付きアクセス、アイデンティティ保護、アイデンティティ ガバナンス機能を備えた Microsoft Entra ID は、これらのデジタル エンティティにゼロ トラスト アプローチを実装するための強固な基盤を提供します。この記事で詳しく説明されているガイドラインと手順に従うことで、組織は AI エージェントが安全に動作し、人工知能時代の新たな脅威から最も貴重な資産を保護できるようになります。

参考文献

[1] Microsoft セキュリティ ブログ。 「2026 年における AI を活用したアイデンティティとネットワーク アクセス セキュリティの 4 つの優先事項」入手可能場所: [https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] (https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/) [2] マイクロソフト技術コミュニティ。 「Microsoft Entra のイノベーションが RSAC 2026 で発表されました。」入手可能場所: https://techcommunity.microsoft.com/blog/microsoft-entra-blog/microsoft-entra-innovations-announced-at-rsac-2026/4502146 [3] Microsoft Learn。 「ユーザー、アプリ、デバイスと同じ厳格さでエージェントのアイデンティティを保護します。」入手可能場所: https://learn.microsoft.com/en-us/entra/identity/identity-protection/overview-identity-protection [4] マイクロソフトのセキュリティ。 「AIでアイデンティティのセキュリティを強化する」入手可能場所: https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-id [5] Microsoft Learn。 「Microsoft Enter の新機能」入手可能場所: https://learn.microsoft.com/en-us/entra/fundamentals/whats-new [6] マイクロソフト技術コミュニティ。 「RSA 2026: Microsoft Defender の新機能は何ですか?」入手可能場所: [https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046] (https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046) [7] Microsoft Learn。 「Microsoft Defender for Endpoint の新機能。」入手可能場所: https://learn.microsoft.com/en-us/defender-endpoint/whats-new-in-microsoft-defender-endpoint [8] マイクロソフト技術コミュニティ。 「月刊ニュース - 2026 年 4 月」入手可能場所: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050