最近まで、IT 部門は主に従業員の業務遂行に必要な IT システムを提供することに重点を置いていました。つまり、ID およびアクセス管理 (IAM) システムは主に人間中心でした。
Aryaka のセキュリティ エンジニアリングおよび人工知能 (AI) 戦略担当バイスプレジデントである Aditya Sood 氏は、この人間中心の焦点とは、ロールベースのアクセス制御 (RBAC) や多要素認証 (MFA) などのモデルを通じて ID がプロビジョニング、認証、承認され、ログイン時に決定が行われることを意味すると指摘しています。
「ゼロトラストへの進化があっても、アイデンティティは既知であり、制限されており、比較的安定しているという基本的な前提は変わりません」と彼は言います。
Sood 氏は、現在の IAM スタックは AI エージェントの流動性と自律性に対して最適化されていないと警告しています。 「私たちはもはや「ユーザー」を保護するだけではなく、人間以外のアイデンティティの広大な自律ネットワークを保護しています。 [NHIs] マシンスピードで動くんだ」と彼は言う。
「自律エージェントは API にアクセスしてツールを動的に実行します [application programming interfaces]サブエージェントを作成し、人間が直接介入することなく複数のドメインにわたって動作します。これらのエージェントは共有資格情報、一時的なトークン、または暗黙的な信頼境界を使用することが多く、アイデンティティの曖昧さ、属性の弱さ、攻撃対象領域の拡大につながります」と Sood 氏は付け加えます。
エンタープライズ AI が IT セキュリティに与える影響
多くの組織はまだ AI 成熟の初期段階にありますが、Quorum Cyber の AI および自動化エンジニアである Jacob Connell 氏は、この取り組みにおける最大の課題の 1 つは、自動化と AI を既存のエンタープライズ システムに安全に統合することであると述べています。
「AI主導の攻撃対象領域が拡大するにつれ、アイデンティティは自動化を確保し、重要なことに、問題が発生した場合の爆発範囲を制限するための基本的な制御になります。間違いは必ず起こります。最新のアイデンティティ設計の目標は、影響を確実に封じ込めて再現可能にすることです。」と彼は言います。
AI 主導の攻撃対象領域が拡大するにつれ、ID は自動化を確保し、問題が発生した場合の影響範囲を制限するための基本的な制御になります
ジェイコブ・コネル、クォーラム・サイバー
Connell 氏によると、AI はアイデンティティとアクセス管理に新しいタイプのユーザーを追加するだけではありません。これにより、組織はアイデンティティを、人間、ワークロード、エージェントなどに対する継続的なコントロール プレーンとして再考する必要が生じます。
Connell 氏は、従来の IAM を見て、ユーザーまたはサービスが認証されてトークンが与えられると、そのトークンは有効期限が切れるまで自由に再アクティブ化でき、チェックされた状態で重要な変更がないかプラットフォームが再確認する必要がなく、場合によっては数時間または数日間も再アクティブ化できると述べています。しかし、同氏は「このモデルはもはや当てはまらない」と警告する。
Connell 氏は、IT セキュリティのリーダーは継続的な評価モデルを導入する必要があると提案しています。有効なトークンが依然として必要ですが、トークンが提示されると、その時点でサブジェクトとそのコンテキストがまだすべての要件を満たしていることを、一元的に定義されたポリシーで確認する必要があると述べています。 Connell 氏は、ID がまだアクティブであるかどうか、高リスクとしてフラグが立てられているかどうか、IP または場所が予期せず変更されていないか、デバイスの状態が悪化していないか、侵害を示す新しい脅威インテリジェンスがあるかどうかなどを確認することを推奨しています。
「これらの信号をエッジで評価すると、ID 悪用の可能性を大幅に減らすことができます」と彼は言います。このアプローチは、人間のユーザー、マシンのワークロード、およびループ内に人間がいる場合など、自律的にまたはユーザーに代わって動作するエージェント AI によって作成される新たなハイブリッド ID に同様に適用されます。
倫理とIAM
IT およびセキュリティのリーダーは、組織に AI を導入する場合の倫理的な影響も考慮する必要があります。
戦略的サイバー・インターネット研究センター (CSCIS) のヨーロッパ担当シニアバイスプレジデントであるマイク・ガレスピー氏は、AI ID システムが偏見を増大させる可能性があると指摘し、それが脆弱なグループに不均衡な影響を与えると述べています。これは、彼らが信頼を損なう不透明な意思決定エンジンになるリスクを意味します。
ガレスピー氏が指摘するように、公平性、説明可能性、議論可能性は「あればいいもの」ではなく、AI システムのライフサイクル全体に組み込まれる重要な設計原則であることが、規制当局によってますます明確になってきています。
同氏によると、英国はAIを監督するための原則に基づいた規制モデルを推進しているという。これらには、2025 年データ (使用およびアクセス) 法、情報コミッショナー局 (ICO) からの最新のガイダンス、AI ID システムの仕組みを大きく形作る進行中の改革が含まれます。
ガレスピー氏が説明するように、2025 年データ (使用およびアクセス) 法は、自動処理、子供のデータの保護、苦情の処理に関する組織の義務を拡大します。同氏は、これはAIを活用した身元確認が監視と保護に関してより厳しい監視にさらされることを示していると述べた。
ICOの最新ガイドラインに関してガレスピー氏は、特にAIが「法的または同様に重大な影響」をもたらす決定に影響を与える場合、処理の公平性、透明性、明確な法的根拠が改めて重視されていると述べた。
さらに、英国の2025年オンライン安全法などの分野固有の法律は、高リスクのオンラインサービスに対して「非常に効果的な」年齢と本人確認を義務付けており、これにより正確性、プライバシー保護、実証済みのコンプライアンス方法の必要性が強化されるとガレスピー氏は言う。
「誤解しないでください。組織は責任ある使用を主張するだけでなく、それを実証しなければなりません。これは、効果的なガバナンスと規制順守を実装することを意味します。」 [GRC] 養子縁組の一環として」と彼は付け加えた。
Advent IM のコマーシャル ディレクターであるエリー ハースト氏が説明するように、AI の使用状況を監視する際の課題は、個人データの収集が必要になることです。 「誰がアクセスできるか、誰が挑戦を受けるか、誰が不審者としてマークされるか、誰が完全に侵入できないかの決定に人工知能が関与するとすぐに、それは単なる技術的な制御ではなくなり、すぐにガバナンスの問題になります」と彼女は言います。
「これらのソリューションの多くは、場合によっては生体認証、行動分析、デバイスデータ、位置情報、使用パターンなどを含む大量の個人データに依存しています。つまり、組織は合法性、必要性、比例性、安全対策、監視について明確にする必要があります。言い換えれば、ツールで何かができるということだけでなく、それを iPhone ツールではなく iPhone ツールのように行う必要があることを組織は理解する必要があるのです。ハースト氏。」
ガバナンスに関連する特定の規格に目を向けると、世界初の AI 管理システム規格である ISO/IEC 42001 は、責任ある AI 管理への構造化されたアプローチを示しており、リーダーの説明責任、ライフサイクル管理、リスク評価、継続的なパフォーマンス評価が組み込まれているとガレスピー氏は述べています。
Gillepsie 氏によると、ISO/IEC 42001 は、組織が AI アイデンティティ ソリューションを説明可能、監視、テストし、継続的に改善するために使用できるガバナンス アーキテクチャを提供します。
ただし、同氏は次のように述べています。「ISO 42001 はコンプライアンス義務に代わるものではありませんが、コンプライアンス義務を自信を持って遂行するために必要な組織規律を提供します。効果的な GRC 実装には、最初からガバナンスを組み込む必要があります。つまり、ISO 42001 構造化 AI 管理フレームワークの採用、DPIA の実行などです。 [data protection impact assessments]計画におけるプライバシーと公平性を強化し、透明性と文書を維持し、人間による強力な監督を確保します。」
規制当局が説明責任、公平性、プライバシーにますます重点を置く中、Gillespie 氏は IT セキュリティ リーダーに対し、信頼、説明責任、原則に基づいた設計に基づいて構築された AI アイデンティティの導入はもはやオプションではないと考えるよう推奨しています。 「それらは、安全、合法、責任ある AI アイデンティティ管理に不可欠です」と彼は言います。
システムがより多くの推論を行えるからといって、それがすべきであるというわけではありません。これは潜在的な地雷原であり、慎重かつ誠実に対処する必要があります
イーライ・ハースト、アドベントIM
Advent IMのハースト氏は、身元を確認するために収集されたデータは、安全対策が不十分な場合、行動の監視、スタッフのプロフィール、習慣の追跡、またはより広範な監視のサポートに簡単に使用されるデータになる可能性があると警告しています。ここから信頼が揺らぎ始めます。
「企業には、設計によるプライバシー、正しい影響評価、透明性のあるメッセージ、アイデンティティ データの使用方法に関する規律ある境界線が必要です。システムがより多くの情報を推測できるからといって、それが必要であるとは限りません。これは潜在的な地雷原であり、慎重かつ誠実に対処する必要があります」と彼女は言います。
このため、人工知能の使用方法を計画している組織には完全な評価が必要です。結論として、ガレスピー氏は次のように述べています。「プライバシーと倫理は並行した作業の流れではありません。これらは AI の正当な使用の基礎です。」
組織内で人工知能と人工知能システムが急増するにつれ、IT 部門は、AI 推論を大規模に実行するために必要なテクノロジー インフラストラクチャの管理を超えた、新たな課題に直面することが予想されます。 IAM は、セキュリティ リーダーが確立すべきサイバーセキュリティへの多層アプローチの一部です。
IAM に対する従来の人間中心のアプローチでは、AI システムの資格情報を管理するには不十分である可能性があります。さらに、IT およびセキュリティのリーダーは、組織のセキュリティと従業員のデータ プライバシーのバランスをとる AI のガバナンス フレームワークを確立する必要もあります。
