AIが危険なのではない。危険なのは、あなたがAIに与えているアクセス権です。
Teleportの2026年版「エンタープライズインフラストラクチャにおけるAIの現状」レポートには、すべてのCISOが注目すべき数字があります。それは「4.5倍」です。
権限が過剰に付与されたAIシステムを持つ組織は、最小権限制御を実施している組織と比べて、セキュリティインシデントが発生する確率が4.5倍高くなっています。2倍でも、やや高いというレベルでもありません。4.5倍です。このレポートでは、これがAI関連インシデントを予測する最も重要な要素であり、組織の業種や成熟度、AIセキュリティへの自信よりも高い予測力を持つと指摘しています。
TeleportのCEO、Ev Kontsevoy氏はこの発見について「データは明確です。危険なのはAIそのものではなく、私たちがAIに与えているアクセス権限です」と端的に述べています。
この発言は、AIセキュリティに関する議論の枠組みを根本から変えます。リスクはAIシステム自体が本質的に危険であることではありません。リスクは、組織がAIに人間では与えないようなアクセス権限を与え、その結果、機械のスピードで過剰な権限が行使され、機械規模の影響が発生してしまうことにあります。
5つの重要なポイント
- 過剰権限のAIは、セキュリティインシデント発生の最も強力な予測要素。 必要以上のアクセス権を持つAIシステムが存在する組織では、インシデント発生率が76%に達します。最小権限制御を導入している組織ではわずか17%です。これは4.5倍の差であり、TeleportレポートはこれをAI関連インシデントの最も強力な予測要素としています。AI自体が問題なのではなく、組織がAIに与えているアクセス権限が問題なのです。
- AIシステムの70%が、同じ役割の人間よりも多くのアクセス権を持っている。 回答者の約4分の3が、自社のAIシステムが同等の業務を行う人間よりも多くのアクセス権限を持っていると答えました。さらに5分の1は、AIが「著しく多い」権限を持つと回答しています。これはわずかな過剰付与ではなく、組織が非人間IDにアクセス権を拡張する構造自体に問題があることを示しています。これがレポートで指摘されているインシデント発生の温床となっています。
- セキュリティリーダーの85%がAIリスクを懸念—理論ではなく実体験に基づく。 これは仮説的な懸念ではありません。回答者の3分の1が、少なくとも1件のAI関連インシデントを確認したと答え、さらに24%がインシデントが発生した可能性があるとしています。懸念は現場の実態に根ざしており、組織はAIによる生産性向上(インシデント調査の迅速化66%、ドキュメント作成の効率化71%、エンジニアリング成果の向上65%)を享受しつつ、同時に過剰なアクセス権を持つAIのセキュリティリスクも経験しています。
- 静的認証情報がAIの権限肥大化を加速。 パスワード、APIキー、長期間有効なトークンなどの静的認証情報は、AIシステムが過剰なアクセス権を持つ主な仕組みです。静的認証情報への依存度が高い組織では、インシデント発生率が67%に上ります(依存度が低い組織は47%)。静的認証情報は有効期限がなく、状況に応じたアクセス制御もできません。2015年の認証モデルが2026年のAIインフラに適用されているのが現状です。
- 64%の組織がAIインフラに正式なガバナンス制御を持たない。 43%の組織がAIインフラに正式なガバナンス制御がないと回答し、さらに21%は「全く制御がない」と答えています。合わせて約3分の2の組織が、過剰権限の防止やインシデント検知、コンプライアンス証明に必要なガバナンス体制なしでAIをインフラに導入しています。AIはすでに稼働しており、制御は追いついていません。
数字で見るアクセスの問題
Teleportは米国のインフラセキュリティリーダー200名以上を調査し、AIを「AI搭載ワークロード」「エージェントシステム」「マシン間通信」「ChatOps」「コンプライアンス自動化」「インシデント検知」と定義してレポートをまとめました。調査結果は、AIの生産性向上効果は享受しつつも、AIが必要とするアクセス権限の管理が追いついていない業界の現状を浮き彫りにしています。
回答者の70%が、AIシステムが同じ役割の人間よりも多くのアクセス権を持っていると答え、19%は「著しく多い」としています。AIシステムの権限が過剰な場合、インシデント発生率は76%に達し、最小権限制御がある場合は17%まで下がります。この差は漸進的ではなく、質的な違いです。
静的認証情報(パスワード、APIキー、長期間有効なトークン)は、こうした過剰権限発生の主因です。静的認証情報への依存度が高い組織はインシデント発生率が67%、低い組織は47%となっています。静的認証情報は自動で失効せず、状況に応じて変化せず、目的制限も強制しません。一度発行されると、誰かが失効させるまで永続的なアクセスを許可します。
ガバナンスの欠如も問題を深刻化させます。43%の組織はAIインフラに正式なガバナンス制御がなく、さらに21%は「全く制御がない」と回答。つまり、約3分の2の組織が、AIシステムが受け取るアクセス権限を管理するための体系的なアプローチなしにAIをインフラ環境へ導入しています。AIシステムは本番稼働中ですが、ガバナンスフレームワークはまだ計画段階です。
組織のセキュリティを信じていますか?その証明はできますか?
Read Now
インフラID管理は必要条件だが、それだけでは不十分
Teleportレポートは、AI時代にID管理の進化が必要であることを正しく指摘しています。セキュリティリーダーの69%も同意しています。しかし、必要な進化はレポートの推奨よりも本質的です。
従来のID管理は「このエンティティは誰か、何にアクセスできるか」を問うものです。AIエージェントの場合、サーバーやAPI、データベース、クラウドインフラへの認証管理が該当します。Teleportのようなプラットフォームはこのレイヤーを担い、AIエージェントのID管理、認証情報発行、インフラリソースへのアクセス制御を行います。
しかし、ここにギャップがあります。インフラの認証情報と正しい認証を持つAIエージェントでも、本来アクセスすべきでないデータにアクセスできてしまうのです。インフラアクセスとデータアクセスは同じではありません。AIエージェントがデータベースサーバーに認証されると、デフォルトで全テーブル・全レコードにクエリ可能です。APIアクセス権を持つAIは、全ファイルを読み取れます。インフラIDは確認されていますが、データアクセスは統制されていません。
これが「4.5倍」の根本原因です。過剰権限のAIとは、認証情報が盗まれたAIやIDが侵害されたAIではなく、AIの役割を超えたデータに正規のインフラアクセスで到達できる状態を指します。インシデントは認証の失敗から始まるのではなく、過剰な認可から始まります。
このギャップを埋めるには、インフラIDと独立したデータ中心のアクセス制御が必要です。AIエージェントがシステムの認証情報を持っていても、データ中心の制御で「どのデータに、どの目的で、どの条件下で」アクセスできるかを制限します。これは「AIが誰か」を管理することと、「AIがデータで何をできるか」を統治することの違いです。
AI向けデータ中心制御の実際
過剰権限AIを防ぐには、インフラ層だけでなくデータ層で機能する制御が必要です。実際には以下のような仕組みです。
デフォルトで最小権限のデータアクセスとは、AIエージェントが認証されても、その役割に必要なデータ分類のみにアクセスできることを意味します。インシデント検知AIはシステムログにはアクセスできますが、顧客PIIにはアクセスできません。コンプライアンス自動化AIは監査証跡メタデータは分析できますが、基礎となる機微な記録にはアクセスできません。ChatOpsボットは運用状況データは取得できますが、財務記録にはアクセスできません。アクセスの境界はシステムレベルではなく、データレベルで引かれます。
目的バインディングは、AIエージェントのアクセスを特定のデータリポジトリや用途に限定します。AIのアクセスは到達できるシステムではなく、そのAIが「何をするためのものか」で定義されます。インシデント検知AIが突然顧客の財務記録をクエリし始めた場合、そのアクセスはブロックされ、フラグが立ちます。これは、AIが有効なインフラ認証情報を持っていても同様です。
継続的な検証は、AIによるすべてのデータリクエストを最新ポリシーで再評価することを意味します。一度認証したら永遠に全データにアクセスできるのではなく、すべてのクエリ・取得・やり取りが、AIの許可目的、リクエストされたデータ分類、現在のリスク状況に照らしてチェックされます。これにより、AIがガバナンスなしに徐々に権限を拡大してしまう「権限肥大化」を防ぎます。
異常検知は、AIエージェントの行動を監視し、アクセスパターンが基準から逸脱した場合に特定します。通常1時間に50件処理するAIが突然5,000件リクエストしたり、コンプライアンス自動化ツールが定義外のデータカテゴリにアクセスし始めた場合、逸脱を自動でアラートし、即座にAIのデータアクセスを停止するキルスイッチを発動できます。
包括的な監査証跡は、AIによるすべてのエンタープライズデータへのアクセスを記録します—何に、いつ、どのAIエージェントが、誰の認可で、どんな操作をしたか。これらの証跡はコンプライアンス報告だけでなく、TeleportレポートがAIの主要な利点と指摘する「迅速なインシデント調査(66%)」「ドキュメント作成の効率化(71%)」の基盤にもなります。見えないAIインシデントは調査できません。
AIインフラ活用事例におけるデータ中心制御の適用
TeleportレポートはAIインフラを広義に定義しています:AI搭載ワークロード、エージェントシステム、マシン間通信、ChatOps、コンプライアンス自動化、インシデント検知。これらのユースケースごとに、特有のデータアクセス要件と過剰権限リスクが生じます。
AI搭載ワークロードは、業務遂行のためにエンタープライズデータリポジトリへのアクセスが必要です。データ中心制御は、ワークロードとデータの間にセキュアな橋をかけ、ゼロトラストアクセス方針で必要なデータ分類に限定します。ワークロードは機械のスピードで動き、アクセス制御も同じ速度で機能します。
エージェントAIシステム—マルチステップ処理やAPI連携、意思決定を自律的に行うエージェント—は、単なる分析ではなくデータを操作するため、最も過剰権限リスクが高いです。各エージェントは非人間IDとして認証・認可・継続監視が必要です。データ中心制御により、エージェントAIは認可した人間の権限を継承し、それを超えて権限を拡大できません。
マシン間通信やChatOpsは、各やり取りごとに人間の監督がないままデータ交換が行われます。データ中心制御により、リクエストの速度や量に関わらず、データアクセス方針が守られます。SlackやTeamsのボットがユーザーの代理でエンタープライズデータにアクセスする場合、ユーザーのデータ権限を継承し、ボットのサービスアカウントが持つ広範なシステム権限は使わせません。
コンプライアンス自動化やインシデント検知は、過剰権限が正当化されやすいユースケースです。しかし、実際に必要なのは監査証跡メタデータや集計指標、システムログであり、基礎となる機微なデータそのものへの生データアクセスではありません。コンプライアンス自動化ツールは、患者記録そのものを読まずにアクセスパターンを分析でき、インシデント検知システムは財務データをダウンロードせずに異常行動を特定できます。
静的認証情報の問題はデータの問題
Teleportレポートは、静的認証情報(パスワード、APIキー、長期間有効なトークン)が過剰権限AIの主因であると指摘し、静的認証情報への依存度が高い組織はインシデント発生率が67%に上るとしています。レポートは、静的認証情報への依存度を下げることを主要な対策として推奨しています。
この推奨は正しいですが、十分ではありません。静的認証情報を動的・短期間有効な認証情報に置き換えることで、インフラ認証の問題は解決できます。AIエージェントが頻繁にIDを証明し、認証情報が悪用される前に失効することを保証します。しかし、動的認証情報だけではデータアクセスの問題は解決しません。新たに発行された適切な範囲のインフラトークンを持つAIエージェントでも、そのトークンが許可するシステム内のすべてのデータにアクセスできてしまいます。
完全な解決策には、認証情報管理の改善に加え、データ中心制御のレイヤーが必要です。動的認証情報はインフラアクセスを管理し、データ分類や目的バインディングがAIの到達できるデータを制御します。継続的な検証で、すべてのリクエストに対してデータアクセス方針の適用を保証します。監査証跡は、認証情報発行からインフラアクセス、データ取得までの全チェーンを記録し、インシデント検知・調査に必要な可視性を提供します。
この多層的アプローチ—インフラID管理とデータ中心アクセス制御の組み合わせ—こそが「4.5倍」のインシデント発生率を低減します。どちらか一方だけでは不十分です。インフラIDだけではデータ層の過剰権限ギャップが残り、データ制御だけではシステム層の認証ギャップが残ります。多層防御には両方が必要です。
セキュリティリーダーが今すべきこと
現在稼働中のすべてのAIシステムに最小権限データアクセスを実装する。 各AIエージェントが今日アクセスできるデータを監査し、そのアクセスが定義された役割に本当に必要かを比較してください。必要最小限のデータ分類にアクセスを制限しましょう。この1つのアクションが、レポートで最もインシデント予測力が高いとされた要素に直接対応します。
インフラIDと独立して機能するデータ中心アクセス制御を導入する。 AIエージェントが有効なインフラ認証情報を持っていても、データ中心制御で「どのデータに、どの目的で、どの条件下で」アクセスできるかを強制しましょう。目的バインディング、属性ベースアクセス制御、データ層での継続的検証により、インフラID管理だけでは埋まらないギャップを解消します。
静的認証情報を動的・短期間有効な認証情報に置き換え、さらにデータ制御を重ねる。 AIシステムのパスワードや長期間有効なAPIキー、永続トークンを排除し、自動失効する動的認証情報発行へ移行しましょう。ただし、認証情報改革だけではデータアクセス問題は解決しません。データ分類、目的バインディング、継続的検証を重ね、AIが認証情報で得たアクセスをどう使うかを統治してください。
次のAIシステムが本番稼働する前にガバナンスフレームワークを構築する。 64%の組織がAIインフラに正式なガバナンス制御を持っていません。ガバナンスなしのAI導入が増えるたびに過剰権限ギャップは広がります。AIデータアクセスの明確な方針を定め、AI関連インシデントのエスカレーション経路を設計し、AIリスク管理の明確な責任者を割り当てましょう。AIシステムが最初の認証情報を受け取る前に、ガバナンスフレームワークを整備してください。
AIデータアクセスの異常検知とキルスイッチを導入する。 AIエージェントの行動を基準値と常に比較し、アクセスパターンが逸脱した場合は自動アラートを発動し、即座にAIのデータアクセスを停止できる体制を整えましょう。「4.5倍」のインシデント発生率は、過剰権限AIの行動を早期に検知することが、他のどの制御よりも重要であることを意味します。
AIデータアクセス全体を記録する監査証跡を構築する。 すべてのAIによるエンタープライズデータへのアクセスを、AIエージェントID、認可した人間の責任者、アクセスしたデータ分類、タイムスタンプ、実行アクションとともに記録しましょう。これらの証跡は、TeleportレポートがAIの主要な利点と指摘する「迅速なインシデント調査」「ドキュメント作成の効率化」を支えるだけでなく、インシデント発生時のフォレンジック証拠や、規制当局から求められるコンプライアンス文書にもなります。
「4.5倍のリスク」は選択であり、必然ではない
Teleportレポートは、不快でありながらも本質を突いた発見を示しています。AIセキュリティインシデントが最も多いのは、AIを最も多く導入している組織ではなく、最も多くのアクセス権限をAIに与えている組織です。リスク要因は「導入量」ではなく「過剰権限」です。
つまり、「4.5倍のインシデント発生率」は選択の結果です。最小権限データアクセスを実装し、インフラID管理とデータ中心制御を組み合わせ、静的認証情報を排除し、ガバナンスフレームワークを構築し、AI行動を継続監視する組織は、インシデント発生率17%の領域で運用できます。逆に、広範なアクセス権、静的認証情報、ガバナンスなしでAIを導入する組織は、76%の領域に留まります。
生産性向上の効果は確かに存在します。インシデント調査の迅速化、ドキュメント作成の効率化、エンジニアリング成果の向上。どの組織もこれらのメリットを逃すべきではありません。Kiteworksのプライベートデータネットワークは、目的バインディング、継続的検証、不変の監査証跡、異常検知といったデータ中心のガバナンスレイヤーを提供し、インフラIDプラットフォーム単体では実現できない統治を可能にします。しかし、これらのメリットを「4.5倍高いインシデント発生率」を受け入れずに享受するには、AIアクセスの考え方を根本的に変える必要があります。インフラ層からデータ層へ、静的認証情報から継続的検証へ、ガバナンスを後付けから前提条件へと転換しましょう。
AI自体が危険なのではありません。危険なのは、あなたがAIに与えているアクセス権限です。アクセスを是正すれば、リスクも是正できます。
Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください。
よくある質問
インフラアクセスは、AIエージェントが到達できるシステム、API、サーバーを制御するもので、ID・アクセス管理プラットフォームで認証・認可情報を発行して管理します。一方、データアクセスは、そのシステム内でエージェントが取得できる情報を制御します。重要なギャップは、有効なインフラ認証情報があると、デフォルトでシステム内のすべてのデータにアクセスできてしまう点です。AIエージェントがデータベースに認証されれば全テーブルをクエリでき、ファイルリポジトリのAPIアクセス権があれば全ファイルを読めます。Teleportレポートの「4.5倍インシデント発生率」はまさにここ—AIが正規のインフラアクセスで役割を超えたデータに到達すること—から生じています。このギャップを埋めるには、インフラIAMの上に目的バインディング、属性ベースアクセス制御、継続的検証といったデータ中心制御を重ねる必要があります。
目的バインディングは、AIエージェントのアクセス範囲を「認証できるシステム」ではなく「設計された目的」で定義するデータ中心制御です。例えば、コンプライアンス自動化エージェントは監査証跡メタデータや集計指標にアクセスできますが、そのログが示す患者記録や財務データそのものにはアクセスできません。インシデント検知AIはシステムログにアクセスできますが、顧客PIIやエンジニアリング設定ファイルにはアクセスできません。エージェントが定義された目的外のデータをクエリしようとした場合(たとえ有効なインフラ認証情報があっても)、そのリクエストはブロック・フラグされます。これにより、AIシステムが時間とともに権限を肥大化させる「権限肥大化」を防ぎ、コンプライアンスや検知ツールが広範なアクセスを必要とするという誤った正当化も排除できます。必要なのは、役割に厳密に絞った正しいデータへのアクセスだけです。
静的認証情報(パスワード、APIキー、長期間有効なトークン)は、2つの点でAIの権限肥大化を助長します。第一に、有効期限がないため、導入時に付与されたアクセスがAIシステムの進化に関係なく無期限に残ります。第二に、発行時の範囲がその後見直されることなく、AIエージェントの役割が狭まったり変化しても権限がそのまま残ります。静的認証情報への依存度が高い組織はAIインシデント発生率が67%、低い組織は47%です。対策は、自動失効する動的・短期間有効な認証情報の発行です。AIエージェントが頻繁に再認証し、認証情報が本来の利用期間を超えて残らないようにします。ただし、認証情報の改革だけではデータアクセス問題は解決しません。新たに発行された動的トークンでも、認証されたシステム内の全レコードにアクセスできてしまいます。動的認証情報には、目的バインディングやデータ損失防止制御を重ね、インフラ内でAIが到達できるデータを統治する必要があります。
ChatOpsボットやマシン間AIは、機械のスピードで多数のやり取りを実行するため、すべてのリクエストを人間が都度確認するのは現実的ではありません。ガバナンスモデルは、個別の人間承認から、事前定義されたアクセス方針の自動適用へと転換する必要があります。各ボットやエージェントには、明確な目的範囲を持つ非人間IDを割り当て、アクセス境界を導入時に設定し、すべてのリクエストで自動的に強制します。ユーザーコンテキストの継承も重要です。SlackやTeamsのボットがユーザーの代理でデータにアクセスする場合、ボットのサービスアカウントが持つ広範なシステム権限ではなく、そのユーザーのデータ権限を継承すべきです。ゼロトラスト原則を適用し、すべてのデータリクエストを過去の行動に関係なく、現行方針で検証する必要があります。すべてのやり取りを記録する不変の監査証跡が、リアルタイムでできない人間の監督の役割を担います。
コンプライアンス要件とフォレンジック調査の両方を満たすAI監査証跡には、AIとデータのすべてのやり取りについて、以下6つの要素を記録する必要があります:AIエージェントID(誰がリクエストしたか)、認可した人間の責任者(誰の権限で動作したか)、アクセスしたデータ分類(取得したデータのカテゴリと機微度)、タイムスタンプと期間、実行したアクション(読み取り、書き込み、修正、送信)、データが外部に出た場合はその送信先。この粒度で記録することで、TeleportレポートがAIの生産性向上の要とする「迅速なインシデント調査」が可能となり、不正や誤動作したエージェントがいつ何にアクセスしたかを正確に再現できます。また、GDPRやHIPAA、NIST 800-53などのフレームワーク下で、AIシステムが認可された範囲内で動作していたことを証明するコンプライアンス文書にもなります。Kiteworks AI Data Gatewayを利用する組織では、すべてのAIとエンタープライズデータのやり取りについて、これらの証跡が継続的かつ不変に生成されます。
追加リソース
- ブログ記事 ゼロトラストアーキテクチャ:信頼せず、常に検証
- 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
- ブログ記事 DSPMで機密データが検出された後のセキュリティ対策
- ブログ記事 ゼロトラストアプローチで生成AIへの信頼を築く方法
- 動画 ITリーダーのための機密データ安全保管ガイド