AIエージェントが従来のIAMアーキテクチャの根本的な欠陥を明らかにする方法

コアの問題点：人間は常にキーボードの背後にいるわけではない

従来のアイデンティティとアクセス管理（IAM）システムは、単一の前提に基づいて構築されていた—誰かが実際にそこにいて認証を行うということだ。人間がログイン画面に座り、パスワードを入力し、MFAプッシュ通知を受け取り、それを承認する。このワークフローは数十年にわたりセキュリティを定義してきた。

しかし、AIエージェントはこの前提を完全に打ち壊す。

自律型エージェントが営業時間外に高速でAPIリクエストを処理する際、MFAチャレンジに答えるために一時停止することはできない。代理エージェントがカレンダーやメールのタスクをユーザーに代わって処理する場合、そのエージェントは決してそのユーザーの完全な権限セットを継承すべきではない。認証システムは、24時間365日人間の監督なしに動作するプロセスに対して人間の介入を要求できない。ログイン画面、パスワードのプロンプト、人間による検証済みの多要素認証—これらすべてが、エージェントがワークフローの実行を引き継ぐ瞬間にアーキテクチャ上の負債となる。

本当の問題点：従来のIAMは、正当なエージェントリクエストと、正当な資格情報の下で動作する侵害されたリクエストとを区別できない。 正常な認可チャネルを通じてAPI操作にアクセスできないプリンシパルがいる場合、システムはそれを検知する。しかし、そのプリンシパルの資格情報が乗っ取られたり、エージェントの意図がコンテキストの汚染によって悪意に変わった場合、従来のシステムには防御策がない。この技術的なアイデンティティ検証と実際の信頼性の間のギャップが、エージェント的認証の核心的な課題を定義している。

二つの根本的に異なるエージェントモデルと二つの異なるアイデンティティ要件

人間委任エージェント：範囲と最小権限の問題

人間委任エージェントは、委任された権限の下で動作する—あなたはAIアシスタントにカレンダー管理を任せる。だが、ここに危険が潜む：現在のほとんどのシステムは、エージェントにあなたの完全な権限セットを付与するか、手動で制限を定義させるかのどちらかだ。どちらも適切ではない。

エージェントはあなたの全アイデンティティを継承する必要はない。正確にスコープされた権限だけを持つ必要がある。あなたは直感的に理解しているはずだ—請求支払いサービスは、任意の口座に資金を送金すべきではないと。金融指示が誤解されるのを防ぐために本能的に制御している。AIシステムはこのような文脈的推論能力を持たないため、最小権限アクセスはオプションではなく必須だ。

これが技術的にどう機能するか：

システムは二重アイデンティティ検証を実装している。エージェントは同時に二つのアイデンティティの下で動作する：

• あなたのアイデンティティ (委任した人間)（完全な権限を持つ）
• エージェントの制限されたアイデンティティ（明示的なスコープ境界を持つ）

あなたが認可を委任すると、トークン交換が行われる。エージェントはあなたの資格情報を受け取るのではなく、次の内容を含むスコープダウンされたトークンを受け取る：

• agent_id：この特定のエージェントインスタンスのユニーク識別子
• delegated_by：あなたのユーザーID
• scope：権限の境界 (例：「banking:pay-bills」ただし「banking:transfer」は明示的に除外)
• constraints：承認済み支払先リスト、取引金額の上限、期限タイムスタンプなどのポリシー制約

このフローの概要は次の通り：