1/6 PAGES
2/6 PAGES
3/6 PAGES
実際に、著名なAIサービスやAIエージェントで、次のようなセキュリティ上の問題が相次いでいます。
著名なAIサービス・AIエージェントで発生したセキュリティ問題事例(画像:筆者提供)
経営者が注意すべき「3つのポイント」
これらは特定のベンダーの問題ではなく、AIエージェントを搭載したシステムに共通するリスクです。経営者が特に注意すべきポイントを、3つに絞って整理します。
①:「管理されないAI」――鍵を渡したまま追跡していない
AIエージェントは、人間ではないがシステム上で独立して行動する「NHI(Non-Human Identity=非人間アイデンティティ)」です。そしてAIエージェントには、社内システムやSaaSにアクセスするためのAPIキーや認証トークン等が付与されます。
問題は、AIエージェント自体の棚卸しも、それに付与された認証情報の管理も、著しく遅れていることです。
CSA(Cloud Security Alliance)の調査によれば、AIのアイデンティティ(ID)の作成・削除に正式なポリシーを持っている組織はわずか22%にとどまります。さらに過半数(51%)の組織が、AIに関する「所有者や責任の不在」や「過剰な権限付与」を最大の課題として挙げています。過剰な権限は、攻撃者がAIを踏み台にしてより高い権限を取得する「権限エスカレーション」の入り口にもなります。
人間の社員には入退室カードを厳格に管理し、多要素認証を義務づけているのに、AIエージェントがどれだけいて、誰が管理し、どんな鍵を持っているかわからない。そういう状態が、いま多くの企業で放置されています。
次ページが続きます:
【「防げない攻撃」とは?】
4/6 PAGES
5/6 PAGES
6/6 PAGES
