シャドウAIは簡単な問題だった：本当のリスクは承認されたソフトウェア内の隠れたエージェントである

2年前、シャドウAIとは従業員が顧客データをChatGPTに貼り付けることを意味していた。解決策は、広く見れば、管理可能だった：ツールを発見し、良いものを承認し、悪いものをブロックし、従業員を訓練する。ほとんどの組織は、そのようなプレイブックの途中にあるが、61%の組織はすでに環境内でシャドウAIに遭遇しているということである。プレイブックはほとんど機能する。

しかし、この説明はもはや問題を説明していない。シャドウAIは、従業員の行動の問題から、建築の問題へと変化した。従来のガバナンスは、ベンダーが埋め込んだAIエージェントや従業員がシステムに接続したエージェントを含む、現代のランドスケープに追いつくことができない。承認されたシステム内で、従業員が発行した資格情報を使用して動作するエージェントが存在する。アイデンティティが唯一の実際の制御ポイントである。

あなたが見ていない2つの影

2026年の興味深い質問は、従業員がどのAIツールを開いたかではない。従業員がインストールした最後のクォーターの製品アップデートで、どのベンダーがどのAIエージェントを静かに出荷したか、そしてそれがどの権限を継承したかである。

シャドウAIは以前、従業員の行動の問題だった。見ることができ、名前を付けることができ、ポリシーを設定することができた。しかし、現在広がっているバージョンは構造的なものである。すでに承認されたソフトウェアを通じて到着し、すでに発行された資格情報を使用して動作し、すでに監査されたワークフローで動作する。影はもはや行動的なものではなく、建築的なものである。従業員はまだ絵の中にいるが、AIを使用するのではなく、システムにエージェントを接続するために動作する。従業員は、すでにアクセス権を持っているシステムを使用して、エージェントをシステムに接続している。インターフェースは、従業員がそれを行うことを容易にするように設計されている。最初の行動に対して書かれたポリシーは、2番目の行動には適用できない。

これが「禁止する」ことは本当の議論ではなかった理由である。シャドウAIに対して先んじていたCISOたちは、企業向けツールを承認し、従業員を管理された代替品に向かわせたが、次のラウンドがすでに始まっていて、2つのベクターがあることを発見した。最初のベクターは、ベンダーがすでに生産中の製品に埋め込んだもの：埋め込まれたモデル、エージェントモード、新しい統合など。これらは誰も読まなかったリリースノートに到着する。2番目のベクターは、従業員が自分で接続しているもの：LLMがノーコード自動化を通じてCRMに接続されたり、カスタムGPTがデータウェアハウスにAPIキーを与えられたり、MCP接続がデスクトップアシスタントから生産システムに接続されたりする。両方のベクターは同じ結果をもたらし、承認された資格情報を使用して、承認されたシステムに対して、承認されたワークフローで動作するエージェントが生じる。調達は最初のベクターを見ることができるが、2番目のベクターを見逃すことがある。

9割の組織がAI関連のIT予算増加を計画しており、多くの組織が次の6〜24ヶ月間にIT運用全体でより広範な拡大を計画している。支出はインテリジェントな機能に向けられている。ガバナンスはインチ単位で追いつこうとしている。ただし、バランスは問題ではなく、問題の副産物ではない。

周囲は常に人間だった

最初の波に対して機能した精神モデルは、この波に対して機能しない。従業員の行動としてのシャドウAIは、セキュリティチームが影響を与えることができる選択を従業員が行うことを前提としていた。しかし、ベンダーのアーキテクチャとしてのシャドウAIは、選択を除去する。メールを作成するモデル、会議をスケジュールするエージェント、文書を要約して転送するアシスタントなどは、従業員が何かをする必要はない。従業員はただ、使用するように言われたソフトウェアを続けるだけでよい。

正直な答えは、セキュリティプログラムが守っている周囲は、人間の行動の周囲だった。従業員がツールを開く、従業員がアクセスを許可する、従業員がセキュリティチームが観察し、形作ることができる決定を下す。周囲は2つの方向から同時に消えている。上から、ベンダーは承認された製品にエージェントを出荷している。下から、従業員はユーザーの役割から統合者の役割に移行し、ガバナンスのための計測が行われていないインターフェースを通じてシステムにエージェントを接続している。アイデンティティを中心に構築された新しい周囲は、従業員が誰かを決定するのではなく、アイデンティティが何をしているかを決定する。多くの組織は、まだそのようなコントロールファブリックを持っていない。

最後に探す場所

アイデンティティは正しい制御ポイントであるが、枠組みを変える必要がある。従来の枠組みは「アイデンティティは新しい周囲である」というものだった。ユーザーはどこにでもいて、デバイスはどこにでもいて、SaaSはどこにでもある。10年前は真実だったが、現在はテーブルステークスである。2026年のバージョンは異なる：アイデンティティは、AIが実際に何をしているかを見ることができる唯一の場所である。AIが動作するとき、ツールの境界はすでに超えられている。エージェントは誰かの資格情報を使用して動作している。誰の、どのスコープで、どのデータに対して、誰の承認で動作しているかが、有用な監査ログを生み出す唯一の質問である。ツールレベルのガバナンスではこれらの質問に答えることができない。

ほとんどのITリーダーは、統一がAIを安全に実装し、拡大する能力に直接影響を与えることを認識している。難しい質問は、統一が実際にコントロールレイヤーで何を意味するかである。単にダッシュボードを減らすことではない。単一のアイデンティティファブリックで、すべてのアクター（人間、サービスアカウント、エージェント、埋め込まれたモデル）が同じメカニズムを通じてプロビジョニング、スコープ、監視、廃止される必要がある。そうでない場合は、統一されたガバナンスの外見を与えるが、実際には断片化された適用である。

ベンダーのレビューには有効期限がある

不幸なことに、ベンダーのレビューには有効期限がある。これは、セキュリティプログラムの構造に不快な影響を与える。ほとんどのAIガバナンス委員会は、ツールレビューを中心に組織されており、ベンダーが評価され、承認され、または拒否される。承認された後、レジストリに追加される。ただし、このプロセスは、ツールの動作が承認時と同じであると仮定する。AI埋め込まれたソフトウェアの場合、この仮定は承認前に破綻する。ベンダーは新しいモデル、新しいエージェントモード、新しい統合を出荷し、6ヶ月前に承認されたガバナンスレビューは、もはや存在しない製品を説明している。

ツールからアイデンティティへ

持続するプログラムは、ガバナンスをツールからアイデンティティへ移動するものである。すべてのアクションは、既知の所有者、スコープされた権限セット、定義されたライフサイクルを持つアイデンティティに追跡可能である。人間か非人間か、従業員かエージェントか、承認されたツールか埋め込まれたモードか、質問は同じである：これは何者か、どのようなことが許可されているか、いつそれが真実でなくなるとわかるか。質問に答えることができるプログラムは、ツールの承認競争に勝つ必要はない。答えることができないプログラムは、ベンダーや従業員がレビュープロセスよりも速く出荷することに追いつくことになる。

シャドウAIは、カテゴリとして消え去ることはない。特に、新しいエージェントワークフォースの時代に、72%の組織はすでに生産環境にAIエージェントを持っている。代わりに、それはより大きな問題の一部になっている。次の予算サイクルをツール発見や承認ポリシーに費やす組織は、2024年の問題を2026年のタイムラインで解決しようとしている。アイデンティティレイヤーの計測に人間、エージェント、人間とエージェントの間の混乱した連続体に費やす組織は、実際に持っている問題を解決しようとしている。

シャドウAIの最初の波は、セキュリティチームが従業員の好奇心を追い越すことができないことを教えた。2番目の波は、セキュリティチームがベンダーの速度や従業員の工夫を追い越すことができないことを教えるだろう。両方の教訓は同じ結論を導く。ガバナンスの単位は、ツールでは決してない。アイデンティティがツールを通じて動作することだった。