エージェントAIがNHIスプロールを無政府状態の攻撃面にする

現代のクラウド環境は、数千の非人間の資格情報で構成されており、これらの資格情報は静かに強力なアクセスを保持し、十分な注意を受けていないことが多い。サービスアカウント、APIキー、OAuthトークン、その他の非人間の資格情報は、アプリケーションの動作を静かに認証しているが、しばしば不完全にインベントリ化されており、まれにローテーションされ、管理が難しい。 MandiantのM-Trends 2026レポートでは、4万5000時間以上のインシデントレスポンスから得られたデータをもとに、多くのセキュリティチームが長年疑っていたことが確認された。つまり、これらのマシンアイデンティティはクラウドでの脆弱性の主要な攻撃ベクトルとなっている。脅威アクターは、長期間有効なOAuthトークンを収集し、第三者SaaSベンダーを妥協させてハードコードされたキーを盗み出し、それらのシークレットを使用して大規模なデータ盗難のために環境にピボットする。 この発見は、この分野を追跡している人々にとって驚くことではないが、実践者にとっては、問題に重ねられているものが何であるかが心配だ。既存のサービスアカウントを管理しようとして闘っている組織は、同時に、新しい非人間のアイデンティティを、従来のガバナンスプロセスが処理できない速度で鋳造するエージェントAIシステムを展開している。既知の問題と新しい加速器の衝突が、露出の住処である。

非人間アイデンティティスプロールの算数

比率は、数学を通して作業するまで受け入れがたい。今年初めに発表された別の最近の研究では、非人間アイデンティティは企業環境で人間のユーザーを82対1で上回っていることがわかった。 アイデンティティセキュリティアウトルック2026レポートでは、ManageEngineは、調査対象の組織のほぼ半分が100対1を超える比率を見ており、一部の業界では500対1に達していると報告した。2024年上半期と2025年上半期の間で、平均的な企業はNHIの量が44%増加した。

企業環境における非人間アイデンティティの増加は、エージェントAIシステムが広く採用される前に既に進行していた。これらの成長は、主にクラウドコンピューティングへの移行、ミクロサービスアーキテクチャの採用、およびSaaSプラットフォームの統合によって推進された。しかし、エージェントAIは、単に既存の課題に線形的に追加されるのではなく、将来的に問題のペースとスケールを根本的に変更する。各エージェントは、警報を自律的に調査する、ワークフローをオーケストレートする、またはデータリポジトリにアクセスするために、独自のアイデンティティインフラストラクチャが必要である。したがって、組織は、資格情報、接続トークン、許可スコープの急激な増加、および独自のアイデンティティチェーンを持つサブエージェントの出現を経験している。従来のツールは、組織内でアクティブな非人間アイデンティティの数を信頼性高く追跡または数量化することができなくなる。

これは脅威インテリジェンスの問題である

エージェントが関与する場合、攻撃面の算数は変化する。特権を持つ人間のアカウントを妥協した攻撃者は、1つのアイデンティティにアクセスを獲得する。エージェントの資格情報を妥協したり、エージェントが推論するデータを汚染したり、エージェントの入力パイプラインに命令を注入したりする攻撃者は、下流のサービスに接続された自律システムの許可を継承する。

事件はすでに現実化している。2025年、AppOmniはServiceNowのVirtual Agent統合におけるCVE-2025-12420を公開した。これは、MFAとSSOをバイパスして管理者特権でAIエージェントを実行するために、電子メールアドレスのみを使用して任意のユーザーを偽装できる脆弱性であった。2026年初頭に発生したOpenClawの脆弱性は、135,000以上のGitHubスターを持つオープンソースAIエージェントフレームワークに影響し、悪意のあるWebサイトがプラグインやユーザーとのやり取りなしに開発者のAIエージェントを乗っ取ることを示した。 Mandiant自身のケースワークは、脅威アクターUNC6395がSaaSベンダーのSalesforce統合からOAuthトークンを盗み出し、700以上の組織の顧客環境にアクセスしたことを文書化した。

アイデンティティの妥協の爆発半径は、1人がアクセスできるものによっては限られない。代わりに、1つのエージェントが承認されたものによっては限られない。多くの生産環境では、実用的にはは限られない。

ガバナンスギャップはアーキテクチャ的である

クラウドセキュリティアライアンスとStrata Identityは、2025年末にセキュリティリーダーを調査し、IAMツールがエージェントアイデンティティを管理できるという高い自信を持っているのは18%だけであることを発見した。環境全体でエージェントのアクションを人間のスポンサーに戻すことができるのは28%だけだった。投資を推進する上位の懸念は、物語を語っている。機密データの公開（55%）、承認されていないアクション（52%）、資格情報の悪用（45%）、およびエージェントの検出または登録の不可能性（40%）である。

これらの数字は、セキュリティチームがエージェントが実行されていることを知っているが、エージェントの所有者、承認されたアクセス、実際のアクセス、またはクリーンな資格情報の取り消しについて信頼性高く回答できない環境を説明している。アイデンティティフレームワークは、ほとんどの企業セキュリティプログラムの根底にあるもので、プリンシパルへのアクションの属性付けを前提としている。エージェントがサブエージェントを生成し、別のアクションをチェーンし、別のシステムをトリガーする場合、属性付けはグラフ問題ではなく、ルックアップ問題になる。多くの組織には、そのグラフをトラバースするツールがない。

CiscoのState of AI Security 2026レポートは、準備ギャップを別の方向から量化した。ほとんどの組織はエージェントAIを展開することを計画しているが、29%だけがその展開を保護する準備ができていると報告した。残りの71%は、攻撃が仮想的なものではなく、既存のツールが捉えることができなかったものであるという理由で準備ができていない。

速度の問題

これを最もよく処理する組織は、エージェントアイデンティティに、特権を持つ人間のアカウントに適用するのと同じライフサイクル規律を適用するものである。具体的には、所有権の定義、最小特権スコープ、ローテーションスケジュール、および信頼性の高いキルスイッチ。マシンスピードのアイデンティティ作成は、人間のスピードの承認プロセスによって管理できない。ガバナンスツールは、エージェントを展開するツールと同じペースで動作する必要がある。ほとんどの組織では、そのツールは生産環境で存在しない。何が欠けているのかは、非人間のアイデンティティがリスクであるという認識ではない。システムがアイデンティティを作成するのと同じ時計速度で動作するガバナンスインフラストラクチャである。ギャップが存在する毎週、セキュリティチームが見ることができるものと実際に実行されているものの距離は、エージェントの展開の別の世代によって広がる。