シャドーAIエージェントを検出 Oktaが新機能「Agent Discovery」を発表：セキュリティソリューション

Oktaは新機能「Agent Discovery」を発表した。組織内のシャドーAIエージェントを検出し、権限やリスクを可視化することで、未承認のツールを管理下の資産に転換し、アイデンティティー統制を強化する。

[ITmedia エンタープライズ編集部]

　Oktaは2026年2月13日、アイデンティティーセキュリティポスチャー管理（ISPM）の新機能「Agent Discovery」を発表した。組織内に存在するシャドーAIエージェントを検出し、既知・未知のAIエージェントに潜むアイデンティティーリスクや設定不備を明らかにする。悪用時の影響範囲の特定も可能にする。

シャドーAIエージェントからどう組織を守る？

　同機能は「Okta for AI Agents」の一部として提供され、検出したエージェントに人間の責任者を割り当て、標準的なセキュリティポリシーを適用することで統制対象に転換できる。「Okta Platform」の機能を活用し、発見から導入、保護まで一連の管理を支援する。

　同社のハリシュ・ペリ氏（AIセキュリティ担当SVP兼ゼネラルマネージャ）は、アイデンティティーがエージェント主体の企業における統制基盤であると説明する。AIエージェントはアプリケーション層で稼働し、広範かつ長期の権限を持つ非人間アイデンティティー（NHI）を使用する。全エージェントと権限の把握により、大規模環境でも可視性と統制を確保できるとした。

　背景にはシャドーITの拡大に続くシャドーAIの問題がある。Gartnerの報告によると、69％の組織が禁止された生成AIの利用を疑うか証拠を把握している。2030年までに40％超の企業が未承認AIに起因するセキュリティやコンプライアンス侵害を経験すると予測されている。エージェント作成基盤の普及により、従業員がIT部門の監視外で未検証ツールを利用する事例が増加している。OAuth認可を通じ、データが組織境界外へ流出する懸念も指摘される。

　Agent DiscoveryはOAuth同意を検知し、非公認基盤や未検証ビルダーで作成されたエージェントを特定する。接続を発生源で把握し、API連携や複雑なアプリ間接続に発展する前に可視化する。この他、「Google Chrome」などのWebブラウザと連携し、クライアントアプリとリソースアプリの関係をマッピングする。重要データにアクセス権を取得した未知のエージェントを検知した場合は通知する。付与権限やスコープを明示し、審査を経ていないアプリの存在も明らかにする。

　Equals Moneyのジェームズ・シムコックス氏（チーフオペレーション兼プロダクトオフィサー）は、私的エージェントの持ち込みが監視外接続という死角を生むと指摘。継続的探索によって存在や所有者、アクセス範囲を把握する必要があると述べ、本機能を評価した。

　発見されたエージェントはOktaで管理対象のアイデンティティーとして登録できる他、責任者設定やセキュリティポリシーの適用を通じ、統制下に置ける。

　今後は非公認プラットフォームだけでなく、管理下のML（機械学習）を含めたAIプラットフォームや大規模言語モデル（LLM）も対象に探索機能を拡張する予定だ。重要資産（クラウンジュエル）と位置付けるAI環境を含め、リスクの高いアイデンティティーを管理可能な状態に移行させることが可能となる。