SailPoint、「AIエージェントの導入に伴う新たなリスクに関する実態調査」を発表

*本プレスリリースは、2025年5月29日に米国で発表されたニュースリリースの抄訳版です。内容および解釈については英語版が優先されます。

＜主な調査結果＞

・IT分野の専門家の96%がAIエージェントはセキュリティ リスクの増大につながると認識している一方で、組織の98%はAIエージェントの活用拡大を計画

・AIエージェントは、従来型のマシン アイデンティティよりも深刻なセキュリティ リスク要因だと見なされている

・AIエージェントに対するガバナンスと可視性の欠如により、機密性の高い企業データが危険にさらされている

・専門家は、AIエージェントを人間のアイデンティティと同様に、明確なアクセス制御と説明責任の下で管理すべきと提言

企業向けアイデンティティ セキュリティのリーダーであるSailPoint, Inc.（以下「SailPoint」）の日本法人SailPointテクノロジーズジャパン合同会社（東京都港区、社長 藤本 寛、以下「SailPointテクノロジーズジャパン」）は、新たな調査レポート「AIエージェントの導入に伴う新たなリスクに関する実態調査」を発表しました。 本レポートでは、AIエージェントが広く採用されるにつれて、アイデンティティ セキュリティの強化が急務であることを明らかにしています。

調査によると、組織の82%がAIエージェントをすでに活用していますが、それらを保護するポリシーが整備されているのはわずか44%です。また、注目すべきは、IT分野の専門家の96%が、AIエージェントを増大するリスク要因と考えているにもかかわらず、98%の組織が今後1年以内にAIエージェントの活用を拡大する予定であるという矛盾です。

「AIエージェント」または「エージェント型AI」という用語は、ある環境のなかで特定の目標を達成するために、状況を把握し、意思決定し、行動を起こす自律的システムを広く指します。こうしたエージェントは必要なデータ、アプリケーション、サービスにアクセスするために複数のマシン アイデンティティを必要とする場合が多く、自己修正やサブエージェントを生成する可能性といったさらなる複雑性をもたらします。特に、回答者の72%が、AIエージェントの導入に伴ってもたらされるリスクはマシン アイデンティティによるものより大きいと答えています。AIエージェントがセキュリティ リスクと見なされる主な要因は、以下の通りです。

・AIエージェントが機密データにアクセスできる（60%）

・意図しないアクションを実行する可能性（58%）

・機密データの共有（57%）

・不正確または検証されていないデータに基づく意思決定（55%）

・不適切な情報へのアクセスとその情報の共有（54%）

SailPointのプロダクト担当エグゼクティブ・バイスプレジデント兼最高技術責任者（CTO）を務めるチャンドラ・グナナサンバンダムは、次のように述べています。

「エージェント型AIは、イノベーションの強力な原動力であると同時に、潜在なリスクもはらんでいます。こうした自律型エージェントは業務の遂行に変革をもたらしていますが、新たな攻撃対象領域も生み出しています。多くの場合、エージェント型AIは、機密性の高いシステムやデータへの幅広いアクセス権限を持っていますが、限られた監視しかなされていません。このような高い特権と低い可視性の組み合わせは、攻撃者にとって格好の標的になります。組織はAIエージェントの活用拡大に伴い、アイデンティティ ファーストのアプローチに基づいて、これらのエージェントを人間のアイデンティティと同等に厳格に管理し、リアルタイムでのアクセス権限管理、最小権限の原則の実現、アクションの完全な可視化を確実に備えていく必要があります」

今日、AIエージェントには、顧客情報、財務データ、知的財産、法務文書、サプライチェーン上の取引データなどの、機密性の高いデータに対するアクセス権限が付与されています。しかし、回答者はAIエージェントがアクセスおよび共有できるデータを制御する能力に強い懸念を示しており、92%もの圧倒的多数が、AIエージェントのガバナンスは企業セキュリティにとって非常に重要だと答えています。憂慮すべきことに、回答者の23%が、自社のAIエージェントが攻撃者にだまされてアクセス クレデンシャルを開示したことがあると報告しています。 さらに、80%の企業で、AIエージェントが以下のような意図しないアクションを実行したことがあることも判明しました。

・権限のないシステムまたはリソースへのアクセス（39%）

・機密データまたは不適切なデータへのアクセス（31%）または共有（33%）

・機密コンテンツのダウンロード（32%）

AIエージェントは単なるシステムの一部ではなく、別個のアイデンティティの一種です。世界中のほぼすべて（98%）の組織が今後12 ヶ月以内にエージェント型AIの活用拡大を計画するなか、人間のアイデンティティだけではなく、AIやマシン アイデンティティも管理できる包括的なアイデンティティ セキュリティ ソリューションが不可欠です。こうしたソリューションには、組織の環境内にあるすべてのAIエージェントを検出し、ユニファイドなプラットフォーム上で可視性を提供し、ゼロ常設特権（Zero Standing Privilege: ZSP）を適用し、監査可能性を担保する機能が求められます。こうした機能により、組織のセキュリティを強化し、規制要件を満たすサポートをします。データ侵害が拡大する現在、AIエージェントのガバナンスが不十分であることは、リスクを高める要因になります。

詳しくは、「AIエージェントの導入に伴う新たなリスクに関する実態調査」レポート全文をご覧ください。

＜調査方法＞

大企業でAI、セキュリティ、アイデンティティ管理、コンプライアンス、運用を担当する、あらゆる職位のIT分野の専門家を対象に、自社でのAIエージェントの利用状況に関する調査を実施しました。調査は独立系の第三者機関であるDimensional Research社が実施し、上記の要件を満たす計353名が回答しました。すべての回答者は全員、企業のセキュリティに関する責任を有していました。また、5大陸からの参加によって、グローバルな視点が反映された内容となっています。

■SailPointについて

SailPointは、アイデンティティこそがエンタープライズ セキュリティの要である、と考えています。現代の企業を支えているのは、人間だけでなくデジタル アイデンティティを含む多様なアイデンティティであり、それら全てを安全に管理することが極めて重要です。SailPointは、アプリケーションとデータへのアクセス権限を、アイデンティティの観点からスピーディーかつ大規模に、シームレスに管理・保護することを支援しています。SailPointが提供するインテリジェントで拡張性に優れたユニファイド プラットフォームは、アイデンティティ ファーストのセキュリティを実現。今日の差し迫った多様な脅威から企業を守ると同時に、生産性向上とビジネス変革の推進を後押しします。SailPointは、複雑性を極める現代の先進的な組織に導入されており、そのアイデンティティ セキュリティの中核を担っています。