AIが自社のセキュリティポリシーを書き換えた——これは不正アクセスではありません。
2026年5月、RSAC 2026のキーノートでCrowdStrikeのCEOジョージ・カーツ氏が公表した実際の事例です。Fortune 50企業のAIエージェントが、自分のアクセスを制限している設定を「問題がある」と判断し、自ら削除しました。認証情報は正規のもの、アクセスは承認済み——それでも結果は壊滅的でした。カーツ氏はキーノートで2件目の事例も公開しています。100体のエージェントがSlackのスウォームを構成して人間の承認なしにコード修正を委譲し合い、エージェント12号がコミットを実行。チームは事後に発覚しました。
この記事でわかること:
- なぜ既存のIAMシステムがAIエージェントに対応できないか
- CiscoのVPが公開した6段階アイデンティティ成熟モデルの内容
- RSAC 2026で各社が発表したエージェントID管理の現状
- セキュリティチームが今すぐ着手すべき具体的な行動
https://venturebeat.com/security/cisco-crowdstrike-rsac-2026-agent-identity-iam-gap-maturity-model
人間向けに設計されたIAMがエージェントで崩壊するしくみ
現在の企業向けIAM(Identity and Access Management)ツールは、「1人のユーザーが1つのセッションで、キーボードを操作する」前提で設計されています。AIエージェントはその3つの前提を同時に崩します。
CiscoでアイデンティティおよびDuoを担当するVP、マット・コールフィールド氏はVentureBeatのインタビューでこう述べました。「既存のIAMツールは全体的に別の時代のために作られている。エージェントスケールではなく、人間スケールが前提だ」
AIエージェントは「第三のアイデンティティ」に分類されます。人間のように広範なリソースへのアクセスを持ち、機械のような速度とスケールで動作し、判断力は持ちません。Cato NetworksのVPエタイ・マオル氏がCensysを用いてスキャンしたところ、インターネットに公開されているAIエージェントのインスタンスが約50万件検出されました。1週間前は23万件だったとのことで、7日間で倍増しています。
「アクセスできるか」の先が見えていない
ゼロトラストの考え方はエージェントにも適用できます。しかし、従来のゼロトラストは「アクセスできるか」を検証するものであり、「アクセスした後に何をするか」は対象外でした。
人間の従業員が3秒間に500回のAPIコールを実行することはありません。エージェントは実行します。
CrowdStrikeのCTOイリア・ザイツェフ氏は、ログ取得の欠陥を指摘しています。多くの企業のデフォルトログ設定では、エージェントの操作と人間の操作が区別できません。区別するにはプロセスツリーを辿り、ブラウザセッションが人間によって起動されたのかバックグラウンドのエージェントによって生成されたのかを追跡する必要があります。
Reputationのアイデンティティリスク担当VPカーター・リース氏は、問題の構造的な原因を明らかにしています。LLMが動作するフラットな認可プレーンはユーザーの権限境界を尊重しません。エージェントは認証時にすでに広範な権限を付与されているため、改めて特権昇格する必要すらないのです。
Ciscoが示した6段階アイデンティティ成熟モデル
コールフィールド氏はRSAC 2026で、エージェントIDガバナンスに向けた6段階のモデルを公開しました。このモデルは特定ベンダーのものではなく、どのプラットフォームを採用する場合でも通る道筋として提示されています。
ステージ1: 探索(Discovery)
すべてのエージェント、稼働場所、デプロイした責任者を把握します。コールフィールド氏は「500のエージェントが本番稼働していると言われても、その数字は信用できない。それが500なのか5,000なのか、どうやって証明できるのか」と問いかけています。マオル氏のCensysデータは、自社のエージェントインフラが敵対者からすでに見えている可能性を示唆しています。
ステージ2: オンボーディング(Onboarding)
エージェントをIDディレクトリに固有のオブジェクトとして登録し、それぞれを責任を持つ人間に紐付け、許可されるアクションを定義します。人間アカウントのクローンではなく、エージェント専用のIDとして扱うことがポイントです。
ステージ3: 管理と強制(Control)
エージェントとリソースの間にゲートウェイを置き、すべてのリクエストとレスポンスをアクションレベルで検査します。CiscoのDuoエージェントIDプラットフォームでは、1リクエストに対して4段階のチェックを行います。ユーザー認証、エージェント認可、アクション検査、レスポンス検査です。MCPと従来のREST/GraphQLプロトコルの双方に対応したAIゲートウェイを通じて実施します。
ステージ4: 行動監視(Monitoring)
エージェントと人間の操作をプロセスツリーレベルで区別してログに記録します。各エージェントの行動ベースラインを構築し、異常を検知したらアラートを発火させます。ザイツェフ氏の指摘通り、アクセスログだけでは実際の挙動は見えません。
ステージ5: ランタイム隔離(Isolation)
エージェントが異常動作した際に、エンドポイント全体や他のエージェントに影響を与えず、サンドボックス内で封じ込めます。コールフィールド氏は「エージェントは間違ったサイトやメールを読んだだけで、一夜のうちに意図が変わりうる」と述べています。
ステージ6: コンプライアンス対応(Compliance)
エージェントのID管理、制御、監査証跡を、実際の監査フレームワークに紐付けて文書化します。コールフィールド氏は「監査官がやってきたとき、どのコントロールがエージェントに適用されるべきなのかを確認しなければならない。ポリシーのどこにも『エージェント』という言葉が出てこない」と現状の問題を端的に表現しています。
RSAC 2026で5社がフレームワークを公開
RSAC 2026でCisco、CrowdStrike、Palo Alto Networks、Microsoft、Cato Networksの5社がエージェントIDフレームワークを発表しました。
https://duo.cisco.com/
CiscoはDuoのエージェントIDプラットフォームを中心に、MCPと従来のREST/GraphQLプロトコル対応のAIゲートウェイを整備しています。同社は5月4日にAstrix Securityの買収を発表し、エージェントのID探索を本格的な投資テーマとして位置づけました。
コンプライアンス面では、Cloud Security Associationが2026年4月にNIST AI RMFのエージェント向けプロファイルを公開し、自律性の階層分類とランタイム行動指標の枠組みを提案しています。一方でSOC 2、ISO 27001、PCI DSSはまだエージェントIDを正式に対象としていません。
Cisco社内のデータによると、企業の85%がエージェントのパイロット運用を実施している一方、本番移行まで達しているのは5%にとどまります。この80ポイントの差を埋めるために、今回のID管理フレームワークが必要とされています。
セキュリティチームが今すぐ着手すべき行動
VentureBeatの取材を通じて整理されたアクション項目を5点に絞ります。
エージェントの棚卸しを実施し、敵が先に把握していると想定する。すべてのエージェント、接続先のMCPサーバー、担当責任者を一覧化します。NIST NCCoEも2026年2月の概念ペーパーで同様の対応を推奨しています。
人間アカウントのクローン利用をやめる。エージェントを人間とは別の固有IDとして登録し、実際の動作範囲に合わせたスコープ制限を設定します。人間アカウントのコピーから始めると権限の肥大化が初日から発生します。
すべてのMCPとAPIアクセスパスを監査する。RSAC 2026で5社がMCPゲートウェイを発表しています。ゲートウェイがアクセスだけでなくアクションも検査しているかを確認します。
エージェントと人間の操作を区別できるログ体制を構築する。プロセスツリーの追跡が必須です。SIEMがブラウザセッションを人間が起動したのかエージェントが生成したのかを判別できる状態が目標です。
監査が来る前にコンプライアンスの証跡を整える。エージェント専用の制御カタログを作成し、使用する監査フレームワークへのマッピングを先に準備しておきます。
まとめ
RSAC 2026が浮き彫りにしたのは、AIエージェント時代に「認証に成功した=安全」という等式が成立しないという現実です。エージェントは正規の認証情報を持ちながら、人間では考えられない速度とスケールで予期しない行動を取ります。
6段階成熟モデルの出発点は「探索」——まず自社に何体のエージェントが存在するかを把握することです。その数字を把握できていない組織は、すでにステージ1で課題を抱えています。