Okta、シャドーAIエージェントのリスクを可視化・軽減する新機能を発表

アイデンティティ管理サービスのリーディングカンパニーであるOkta, Inc.（本社：米国・サンフランシスコ 以下Okta）は、アイデンティティセキュリティポスチャ管理（ISPM）における新機能「Agent Discovery」を発表しました。これにより、組織はシャドーAIエージェントを検出し、既知および未知のAIエージェントに潜むアイデンティティのリスクや設定ミスを明らかにし、AIエージェントが悪用された際の影響範囲の特定が可能になります。

「Okta for AI Agents」ソリューションの一部として、お客様はシャドーAIエージェントに人間の責任者を割り当て、標準的なセキュリティポリシーを適用することで、これらを管理下の資産へと転換できます。Okta Platformの全機能を活用し、ライフサイクル全体を通じてAIエージェントの発見、オンボーディング、保護を実現します。

OktaのAIセキュリティ担当SVP兼ゼネラルマネージャーであるハリシュ・ペリ（Harish Peri）は次のように述べています。「アイデンティティは、エージェンティック企業におけるコントロールプレーンです。AIエージェントはネットワークやエンドポイント、デバイスの階層で動作するのではなく、アプリケーション階層で動作し、広範で長期的な権限を持つ複数の非人間アイデンティティ（NHI）を使用します。すべてのエージェントとその権限を検出しマッピングすることで、Okta for AI Agents内のAgent Discoveryは、認可されたAIエージェントとシャドーAIエージェントの両方を大規模に保護するために必要な可視性とガバナンスを組織に提供します」

背景と重要性

「シャドーIT」が「シャドーAI」という目に見えない層に置き換わる中、組織は深刻な責任の空白地帯に直面しています。Gartnerの最近の報告によると、69%の組織が従業員による禁止された生成AIツールの使用を疑っているか、あるいはその証拠を把握しています。また、2030年までに企業の40%以上が、未承認のシャドーAIに直接起因するセキュリティやコンプライアンスの侵害を経験すると予測されています（注1）。

この可視性の欠如は、誰もがデジタルワーカーを作成できるようになった「エージェント作成の民主化」と、エージェント構築プラットフォームの普及によって加速しています。その結果、IT部門の監視が届かないところで、従業員が未検証・未公認のツールを活用し、OAuth認可を通じてセキュリティ境界の外へとデータを流出させてしまうリスクが生じています。

非公認プラットフォーム上のエージェントを企業管理下へ

Agent Discoveryは、OAuthの同意を検知し、非公認のプラットフォームや未検証のエージェントビルダー上で作成されたエージェントを特定します。これらの接続を発生源の時点で表面化させることで、組織は、それらがバックエンドのAPI連携や複雑なアプリ間接続に発展する前に、環境内に侵入したAIツールを把握できます。

Google Chromeを含むブラウザとの連携により、Agent Discoveryはリアルタイムのシグナルをキャプチャし、「クライアントアプリ（AIツール）」と「リソースアプリ（データソース）」の関係をマッピングします。非公認ツールを使用する未知のエージェントが重要なデータへのアクセス権限を取得した際には、アラートを発信します。そこから、エージェントに付与された特定の権限やスコープを明らかにし、セキュリティ審査を回避している未承認アプリを特定します。

Equals Moneyのチーフオペレーション兼プロダクトオフィサーであるジェームズ・シムコックス（James Simcox）氏は次のように述べています。 「従業員が私的なAIエージェントを職場に持ち込むと、管理されていないツールが組織のデータやシステムに監視なしで接続されるという、危険な死角が生まれます。組織には、どのようなエージェントが存在し、誰が所有し、何にアクセスできるのかを理解するための継続的な探索が必要です。セキュリティやコンプライアンスのリスクを招く前にシャドーAIを可視化し、制御できるAgent Discoveryのようなソリューションが登場したことを嬉しく思います」

発見されたエージェントは、Okta上で「既知の管理されたアイデンティティ」として登録し、セキュリティポリシーの適用や人間の責任者の割り当てを行うことで、ガバナンスの統制下に置くことができます。

今後の展開

リスクは非公認プラットフォームだけでなく、管理されたAI/MLプラットフォームや大規模言語モデル（LLM）にも及ぶため、Oktaは継続的な探索機能を拡張し、企業の「重要資産（クラウンジュエル）」であるAI環境もカバーする予定です。これにより、セキュリティチームは公認されているもののリスクの高いアイデンティティを、適切に管理された資産へと変えることが可能になります。

Agent Discoveryの詳細についてはこちらを、Okta for AI Agentsが組織におけるエージェントのライフサイクル全般の管理をどのように支援するかについては、こちらをご覧ください。

注1：Gartner Identifies Critical GenAI Blind Spots That CIOs Must Urgently Address, Gartner, November 19, 2025.

Oktaについて

Oktaは、The World’s Identity Company™です。AI、マシン、人間のアイデンティティを保護し、すべての人があらゆるテクノロジーを安全に利用できるようにします。当社のカスタマーおよびワークフォース向けソリューションは、セキュリティ、効率性、イノベーションを推進しながら、企業や開発者が自社のAIエージェント、ユーザー、従業員、パートナーを保護します。世界のトップブランドが、認証や認可をはじめとするアイデンティティ管理において、なぜOktaを信頼しているのかについては以下をご覧ください。

https://www.okta.com/jp/