Octa、Shadow AIのリアルタイム追跡技術を公開……安全管理を全面的に強化

人工知能の無秩序な利用が安全脅威へと進化する中、アイデンティティアクセス管理企業のOktaは、非承認のAI代理（いわゆる「シャドウAI」）の検出機能を強化して対応しています。Oktaは12日（現地時間）、同社のアイデンティティセキュリティ状況管理プラットフォームに、シャドウAIを識別し、その権限を追跡・管理できる機能を新たに追加したと発表しました。

今回導入された「エージェント検出」機能は、組織内のAIエージェントが持つ権限やデータアクセス範囲を体系的に把握し、安全な範囲内でAIを運用できるよう支援します。この機能は特に、非承認のプラットフォーム上で生成されたAIエージェントを検出し、OAuth認証フローを通じて外部にデータを送信する行為をリアルタイムで追跡することが可能です。

OktaのAIセキュリティ部門責任者のHarish Periは、「AIエージェントはネットワークやデバイスの層ではなく、アプリケーション層で動作し、人間ではないさまざまな身分を用いて継続的かつ広範な権限を行使します」と強調し、「この新機能は、未承認のAI利用を識別し、対応策を策定することを目的としています」と述べました。

シャドウAIに対する懸念は、最近のガートナーのレポートでも裏付けられています。同レポートによると、69％の企業が従業員による非承認の生成型AIツールの使用痕跡を追跡しており、2030年までに40％以上の企業がシャドウAIによるセキュリティやコンプライアンス違反のリスクを経験すると予測しています。Oktaは、この「可視性の欠如」は、急速に拡散するAIエージェント生成ツールや、十分に検証されていないAIビルダーの使用増加に起因すると考えています。

今回のアップデートにより、OktaはOracle、Google、Microsoft、SalesforceなどのクラウドインフラやSaaSエコシステムを横断した統一的なセキュリティビューを提供し、非人間の身分管理を統合します。これにより、管理者は承認の有無にかかわらず、各種AIエージェントの所有者、権限範囲、潜在的なセキュリティリスクを識別できるようになります。

さらに、Oktaは2027年度第1四半期までに、Microsoft Copilot StudioやSalesforce Agentforceなど主要なAIプラットフォームへの検出能力を拡張する予定です。これは、各AIエージェントに付与された権限やリスク要因の追跡を強化することを目的としています。

ビジネステクノロジー上級副社長のJenna Clineは、「OktaのAIアプリケーションに対する戦略は、機能拡張よりもガバナンスを優先するものであり、継続的にコントロールに基づくアプローチを取っています」と述べ、継続的な管理の重要性を強調しました。

シャドウAIは、企業が敏捷にAIを導入する過程で制御不能な技術へと進化しやすいため、Oktaが提供する強化型のアイデンティティセキュリティ管理（ISPM）機能は、企業のセキュリティ戦略の進化を反映した施策と見なされており、AI革新を受け入れつつも安全性とコントロールを維持することを目的としています。