AIエージェントは「誰か」のフリをして動く。メールを送り、データベースを読み書きし、外部APIを呼び出す——しかし既存のIAM(Identity and Access Management)システムは、これらのアクションを「人間が実行した」と記録することが多い。AIエージェントのアイデンティティが人間のIDに紐付けられたまま管理されている——これが現在のエンタープライズが直面するアイデンティティ危機の核心だ。
NHI(Non-Human Identity)は既存のIAMフレームワークで対応できない特性を持つ(出典:Gartner, 2025)
Non-Human Identity(NHI)とは何か
NHIとは、AIエージェント・ボット・サービスアカウント・APIキー・マシンID等、人間以外が保有するアイデンティティの総称だ。AIエージェントの増殖により、エンタープライズのID管理における最大のボリュームゾーンはすでに人間からNHIに移行している。
問題の深刻さは「数」だけではない。NHIは常時稼働し、大量のシステムを横断し、停止しない。人間ならば「帰宅する」「休暇を取る」というブレークポイントが存在するが、エージェントには休みがない。一つの脆弱なエージェントIDが、24時間365日にわたって攻撃対象になり続ける。
- APIキーのハードコーディング:開発者がエージェントのソースコードにAPIキーを直接記述。GitHubにプッシュした瞬間に外部に漏洩
- 退職者IDの継承:退職した従業員のサービスアカウントをエージェントが継続使用。本人のID権限でエージェントが動作し続ける
- 過剰権限の放置:「とりあえず管理者権限」で設定したエージェントIDが長期間放置され、侵害時の被害範囲が最大化
- トークンの無期限発行:有効期限のないアクセストークンがエージェントに発行され、廃棄されたエージェントのトークンが不正利用される
AIエージェントIAMの5原則
Gartnerが定義するAIエージェントのアイデンティティ管理は、以下の5原則に基づく。これらは、人間向けIAMの原則を「エージェントの特性」に合わせて再解釈したものだ。
5原則はゼロトラストアーキテクチャの「決して信頼せず、常に検証する」をNHIに適用したもの
JITアクセスの実装パターン
JIT(Just-In-Time)アクセスは、AIエージェントIAMの中で最も効果の高い施策だが、実装には専用の仕組みが必要だ。以下の3パターンが実務で使われている。
| パターン | 概要 | 適用場面 | 実装複雑度 |
|---|---|---|---|
| Token Expiry | アクセストークンに短い有効期限を設定(15分〜1時間)。タスク完了後は再取得が必要 | API呼び出し・外部サービス連携 | 低(既存OAuthで対応可) |
| Dynamic Role Assignment | タスク開始時にオーケストレーターが権限を動的付与。タスク終了時に自動剥奪 | 社内システムへの書き込み操作 | 中(オーケストレーター設計要) |
| Vault-based Secrets | HashiCorp Vault等の秘密情報管理ツールからエージェントが都度認証情報を取得。ハードコーディングを根絶 | DBアクセス・機密API連携 | 高(Vault導入・運用コスト) |
主要NHI管理ツールの比較
2026年時点で、NHI専用の管理ツールカテゴリが確立しつつある。既存のIAMベンダーも対応を強化しているが、エージェント特有の要件(動的権限・大量のIDライフサイクル管理)に特化したツールが市場をリードしている。
| ベンダー | ポジション | AIエージェント対応の強み |
|---|---|---|
| CyberArk | PAM(特権ID管理)最大手 | AI Secrets Manager、エージェント向けVault統合、JITプロビジョニング |
| Okta | クラウドIAMリーダー | Non-Human Identity API、エージェント認証フロー、ライフサイクル自動化 |
| Microsoft Entra | M365統合IAM | Copilot向けWorkload Identity、Managed Identity、条件付きアクセス |
| HashiCorp Vault | シークレット管理専門 | 動的シークレット生成、エージェント向けAPIシークレット管理 |
| Aembit | NHI専業スタートアップ | ワークロード間の認証特化、ゼロスタンディングアクセス実装 |
エージェントIDの「オフボーディング」が見落とされる理由
人間の退職時にはHRプロセスがトリガーとなりIAMの無効化が自動実行される組織は多い。しかしエージェントの「退役」には同様のトリガーが存在しない。プロジェクトが終わり、担当者が異動し、エージェントは誰にも気づかれないまま稼働し続ける。
Gartnerの調査によれば、エンタープライズで稼働中のNHIの平均40%以上は「誰も管理していない」状態にあるとされる。これらのゾンビIDは攻撃者にとって絶好の侵入経路だ。
マルチエージェント環境でのID設計
Lv.2で学んだマルチエージェントアーキテクチャでは、エージェントが別のエージェントを呼び出す「エージェント間認証」が新たな課題となる。人間とシステム間のIAMに加えて、エージェント対エージェント(A2A)の認証チェーンを設計する必要がある。
推奨されるA2A認証パターンは「委任トークン(Delegation Token)」モデルだ。オーケストレーターエージェントが発行するタスク固有のトークンを、サブエージェントが受け取り提示することで認証される。このトークンはタスクスコープを持ち、タスク完了後に自動失効する。MCPやA2Aプロトコルの普及によりこのパターンの標準化が進んでいる。