Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > エージェントの本人認証と委任チェーン

エージェントの本人認証と委任チェーン

by Danielle Barbour updated 3月 25, 2026 規制コンプライアンス
Reading Time: 8 minutes

規制対象データへのアクセスを管理するあらゆるコンプライアンスフレームワークは、同じ基本的な問いを投げかけます。「誰がこれを許可したのか?」人間の従業員であれば、答えは明確です。認証済みの資格情報、ロールベースのアクセス、そして各アクセスイベントを特定の個人に紐付ける監査証跡です。しかしAIエージェントの場合、ほとんどの組織は答えを持っていません。エージェントはサービスアカウントのもとで動作します。サービスアカウントがシステムに認証します。そして、監査担当者が「誰がこのエージェントに患者記録やCUIドキュメント、クライアントポートフォリオへのアクセスを許可したのか」と尋ねたとき、正直な答えは「分かりません」となります。

これは理論上のギャップではありません。HIPAA §164.312(a)(2)(i)は、ePHIにアクセスするすべての人またはソフトウェアプログラムに一意のユーザー識別子を求めています。CMMC AU.2.042は、認可されたユーザーの代理で動作するプロセスの活動がそのユーザーに追跡可能であることを要求します。SEC規則204-2は、助言活動の記録が認可された個人に帰属できることを求めています。これらの要件のいずれもAIエージェントに対する例外を設けておらず、また、5つのエージェントが共有するサービスアカウント資格情報では満たされません。

本記事では、認証済みエージェントIDに必要な要素、委任チェーンがエージェントの行動を人間の責任に結びつける仕組み、そしてなぜこれがAIエージェントに関するあらゆるコンプライアンス管理の基盤となるのかを解説します。

エグゼクティブサマリー

主旨: 認証済みエージェントIDとは、すべてのAIエージェントがワークフローレベルで一意かつ検証可能なID資格情報を持ち、共有サービスアカウントとは異なり、そのワークフローを許可した特定の人間に紐付けられていることを意味します。委任チェーンは、その紐付けを記録したドキュメントです。つまり、「人間の許可者→エージェントID→規制対象データアクセスイベント」というつながりです。これがなければ、監査証跡は不完全となり、アクセス制御の帰属もできず、AIエージェントのコンプライアンス体制は正当化できません。

なぜ重要か: 委任チェーンは単なるコンプライアンス上の形式ではありません。すべてのAIガバナンス管理を意味あるものにする仕組みです。ABACポリシーは、どのエージェントがリクエストしているかを知る必要があります。改ざん検知可能な監査ログは、帰属可能な情報があって初めて成立します。規制証拠パッケージは、誰が何を許可したかを示せることが前提です。認証済みエージェントIDと保存された委任チェーンがなければ、他のどんな管理策が強力でもコンプライアンスを証明できません。

主なポイント

  1. 共有サービスアカウントはエージェントIDではない。 サービスアカウントはシステムを認証するものであり、エージェントやワークフローを認証するものではありません。複数のエージェントが1つの資格情報を共有すると、ログに記録されたアクセスイベントは特定のエージェント、ワークフロー、または許可した人間に帰属できません。これは不完全な監査証跡ではなく、監査証跡そのものが存在しない状態です。
  2. 一意のエージェントIDはワークフローレベルで付与されるべき。 認証の単位はワークフローインスタンスです。「このエージェントが、このタスクを、この人が、この時刻に許可した」という単位です。システムレベルのサービスアカウントではこの粒度は実現できません。ワークフローレベルのID資格情報であれば可能です。
  3. 委任チェーンはアクセス時に記録されなければならず、後から再構築できない。 監査ログと同様、委任チェーンの記録は後付けで作成できません。認証イベント時にエージェントと人間の許可者が紐付けられない場合、そのリンクは永遠に存在しません。後からフォレンジックで復元することはできません。
  4. エージェントが自律的に動作しても人間の責任は消えない。 AIエージェントがワークフロー内で自律的に動作しても、それはワークフローを許可した人間の代理で行動しています。規制上の責任は委任に従います。許可者は、委任した範囲内でエージェントが行うことすべてに責任を持ちます。そのため、委任チェーンの記録が不可欠です。
  5. エージェントIDは他のすべてのコンプライアンス管理の前提条件。 ABACポリシー評価は、既知のエージェントIDがなければ機能しません。監査ログも帰属先がなければ意味がありません。アクセス範囲の限定も、限定すべき主体が明確でなければ成立しません。認証済みエージェントIDがなければ、これらの管理策は本来の機能を果たせません。

認証済みエージェントIDに必要な要素

認証済みエージェントIDは、システム認証とは異なります。サーバーがサービスアカウントでデータベースに認証する場合、それはサーバーが接続を許可されていることを証明するだけであり、その時点でどのエージェントがどのワークフロー許可のもと、誰の代理で動作しているかは示しません。コンプライアンスの観点では、これらの区別が極めて重要です。

ワークフローインスタンスごとの一意ID

コンプライアンスフレームワークは、アクセスイベントが特定の認可エンティティに帰属できることを求めます。AIエージェントの場合、該当するエンティティはワークフローインスタンスです。つまり、特定の人間の許可のもと、特定のタスクを実行する特定のエージェントです。これには、ID資格情報がワークフローレベルで付与される必要があります。エージェント間で共有したり、セッション間で再利用したり、エージェント種別でまとめて使い回したりしてはいけません。「患者エンカウンター#4471の退院サマリーを処理する臨床ドキュメントエージェント(2024年3月15日9:14、Dr. Chenが許可)」を一意に識別する資格情報は、「臨床ドキュメントサービスアカウント」を識別する資格情報とは本質的に異なります。

実際の実装では、ワークフロー開始時にIDトークンが発行されます。人間の許可者が認証し、特定のタスク範囲をエージェントに委任し、その結果として発行される資格情報がエージェントのIDと許可者のIDをワークフロー期間中紐付けます。トークンには委任チェーンが属性として含まれ、以降エージェントがそのトークンでデータアクセスするたびに、エージェントと許可者の両方に自動的に帰属されます。

モデルとは独立した認証

エージェントIDの認証は、モデル内部ではなくデータガバナンス層で行う必要があります。モデルが「自分がエージェントAである」と認識していても、それはプロンプト内容として保持されているだけであり、プロンプトインジェクションで上書きされたり、モデル更新で変化したり、モデルの挙動が変われば無視される可能性もあります。データ層でガバナンス基盤が規制対象データへのアクセスを制御する形で認証を強制すれば、モデルの挙動に左右されません。エージェントが資格情報を提示し、ガバナンス層がそれを検証し、その資格情報が許可する内容に基づいてアクセスが許可または拒否されます。モデル自身のID認識はこのプロセスに関係ありません。

許可されたワークフローへの資格情報のスコープ設定

ID資格情報には、エージェントの許可されたスコープがエンコードされていなければなりません。つまり、誰かだけでなく、何が許可されているかも含みます。エージェントを識別するだけで広範なリポジトリアクセスを許可する資格情報では、HIPAAの最小限必要原則やCMMCのAC.2.006最小限必要要件を満たしません。資格情報には、許可されたデータカテゴリ、許可された操作、そしてそれらを制限するワークフローコンテキストがエンコードされるべきです。これが、認証済みIDとABACポリシーの連携の架け橋となります。IDがエージェントの「誰か」を確立し、資格情報のスコープ属性が「何が許可されているか」を確立します。

どのデータコンプライアンス基準が重要か?

Read Now

委任チェーンとは何か、そして含むべき内容

委任チェーンとは、AIエージェントによる規制対象データアクセスイベントを、それを許可した人間と結びつける記録です。これは単一の記録ではなく、連続したリンクの集合体です。人間の許可者がワークフローを許可し、ワークフローがエージェント資格情報を発行し、エージェント資格情報がデータアクセスを制御し、データアクセスが監査ログエントリを生成し、監査ログエントリがエージェントIDと元の許可情報の両方を参照します。このチェーンのすべてのリンクが存在し、改ざん検知可能でなければ、規制要件を満たすことはできません。

各リンクに必要な内容

チェーンリンク 記録内容 満たす規制要件
人間による許可イベント 認証済み人間ID、委任範囲、タイムスタンプ、ワークフローコンテキスト HIPAA §164.312(a)(2)(i); CMMC AC.1.001; SEC規則204-2
エージェント資格情報の発行 一意のエージェント識別子、許可されたデータ範囲、許可操作、有効期限、許可者とのリンク HIPAA §164.312(a)(2)(i); CMMC IA管理策; NYDFS Section 500.7
データアクセスイベント エージェントID、アクセスした具体的データ、実行操作、ポリシー評価結果、タイムスタンプ HIPAA §164.312(b); CMMC AU.2.042; SEC規則17a-4
監査ログエントリ 上記すべてをリンクし改ざん検知可能な形でSIEMに連携 上記すべて、加えてNIST 800-171管理策3.3.1および3.3.2

チェーンは最も弱いリンクの強度しか持ちません。委任範囲を記録しない許可イベント、許可者に紐付かないエージェント資格情報、エージェントIDを記録しないデータアクセスログ――いずれもその時点でチェーンを断ち切ります。断ち切れたチェーンは、規制当局に正当なアクセス証拠として提出できません。

なぜチェーンはログ内で保存される必要があり、ログから再構築してはならないのか

よくある誤解は、委任チェーン情報を既存ログから後付けで推測できるというものです。タイムスタンプの突合、サービスアカウントのアクティビティとカレンダー記録の照合、APIコールとワークフロージョブIDの突合などです。しかしこの推測プロセスは委任チェーンを生み出しません。起こったかもしれないことの仮説しか得られません。規制当局が求めるのは証拠であり、仮説ではありません。委任チェーンはアーキテクチャとしてすべてのアクセスログエントリに埋め込まれていなければならず、フォレンジック的な状況証拠から再構築するものではありません。

Kiteworksによる認証済みエージェントIDと委任チェーン保存の実装

Kiteworksプライベートデータネットワークは、認証済みエージェントIDと委任チェーン保存を基盤アーキテクチャとして実装しています。これは、規制対象データへのAIエージェントのすべてのインタラクションがアクセス許可前に通過する4つのガバナンスチェックポイントの最初のものです。

ワークフローレベルでの資格情報発行

人間の許可者がKiteworksを通じてAIエージェントにワークフローを委任すると、プラットフォームはそのワークフローインスタンス専用の一意なID資格情報を発行します。この資格情報は特定の許可者に紐付けられ、許可されたデータ範囲や操作内容をエンコードし、ワークフロー期間に合わせた有効期限を持ち、他のワークフローインスタンスやエージェント間で再利用・共有できません。2つのワークフローインスタンスが同じ資格情報を共有することはなく、つまりその資格情報下のすべてのアクセスイベントは、単一のワークフロー、単一のエージェント、単一の許可者に一意に帰属されます。

すべての監査ログエントリに委任チェーンを記録

Kiteworksを通じて処理されるすべてのデータアクセスイベントは、完全な委任チェーンを含む監査ログエントリを生成します。すなわち、人間許可者の認証済みID、ワークフローレベルのエージェント資格情報、アクセスした具体的データ、実行操作、ポリシー評価結果、改ざん検知可能なタイムスタンプです。このエントリはアクセス時に作成され、後から再構築できません。組織のSIEMに直接連携され、すべてのAIエージェントによる規制対象データアクセスに対し、HIPAA §164.312(a)(2)(i)、CMMC AU.2.042、SEC規則204-2を同時に満たす記録となります。

ABACポリシー評価との連携

認証済みエージェントIDと委任チェーンは、単に監査要件を満たすだけでなく、データポリシーエンジンがすべてのアクセスリクエストを精緻に評価できるようにします。ポリシー評価は「このエージェント種別がこのデータカテゴリにアクセス可能か?」ではなく、「この特定のエージェントインスタンスが、この特定の許可者のもと、この特定のデータレコードに、この特定の操作を、この時刻に実行することが許可されているか?」という粒度です。この粒度は、IDと委任チェーンが存在して初めて可能となります。これらがなければ、ポリシー評価はセッションレベルやエージェント種別レベルのアクセス範囲に劣化し、HIPAAの最小限必要原則、CMMC AC.2.006、NIST 800-171管理策3.1.1および3.1.2の要件を満たせません。

エージェントID認証と委任チェーン保存は、コンプライアンス対応AI導入の「機能」ではなく、他のすべてのコンプライアンス管理策の土台です。KiteworksのCompliant AIについてさらに詳しく知りたい方は、デモを予約してください。

よくある質問

HIPAA §164.312(a)(2)(i)は、ePHIにアクセスするすべての人またはソフトウェアプログラムに一意の識別子を持たせることを求めています。共有サービスアカウントはこれを満たしません。システムを識別するだけで、エージェントやワークフローを識別しません。PHIにアクセスするAIエージェントの各ワークフローには、HIPAA認可済みの人間に紐付いた一意の資格情報が必要です。これにより、監査証跡上のすべてのPHIアクセスイベントが特定の認可個人に帰属できるようになります。

AU.2.042は、認可ユーザーの代理で動作するプロセスの活動がそのユーザーに追跡可能であることを求めています。委任チェーンはこの追跡性を提供します。すべてのCUIアクセスイベントの監査ログエントリには、エージェントの一意資格情報と、そのワークフローを許可した認証済み人間が記録されます。C3PAO評価者が「誰がこのアクセスを許可したのか」と尋ねた場合、答えはサービスアカウント名ではなく、記録された委任を持つ特定の個人となります。

ワークフローの委任だけで十分です。人間はタスクの範囲を許可するのであり、その中の個々の操作ごとに許可する必要はありません。重要なのは、委任が明示的かつ記録され、エージェントの資格情報にエンコードされていることです。「このエージェントが、このワークフローコンテキスト内で、このデータカテゴリに対して、これらの操作を実行することを許可されている」という状態です。許可された範囲内のすべてのアクセスは委任でカバーされます。範囲外のアクセスは、エージェントが何を試みてもABACポリシーによってブロックされるべきです。

NYDFS Part 500 Section 500.7は、NPIアクセスを認可ユーザーに限定するアクセス制御を求めています。認証済みエージェントID――ワークフローごとに一意の資格情報を人間の許可者に紐付けることで、各AIエージェントによるNPIアクセスイベントが認可され、帰属でき、委任タスクにスコープされていることを証明できます。これはエージェントレベルでアクセス制御要件を満たし、CISOが毎年署名する規制コンプライアンス認証を支えるアーキテクチャです。

ロールベースのサービスアカウント管理は、エージェント種別ごとにアクセス権を割り当てます(例:「臨床ドキュメントエージェントはPHIリポジトリの読み取り権限を持つ」)。ワークフローレベルのIDは、特定の委任に基づいてアクセス権を割り当てます(例:「このエージェントインスタンスは、この臨床医が許可し、このワークフローのために、これらのエンカウンターレコードの読み取り権限を持つ」)。この違いが重要なのは、サービスアカウントレベルのRBACでは、HIPAAやCMMC、SECが求める個別の帰属性を実現できないからです。また、記録レベルでの最小限必要アクセスも強制できず、リポジトリレベルでしか制御できません。ワークフローレベルのIDこそが、操作レベルのガバナンスを可能にします。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks