アイデンティティ管理サービスを提供するOkta Japan株式会社は、組織内の「シャドーAIエージェント」を検出し、リスクを可視化する新機能「Agent Discovery」を発表した。
「Agent Discovery」は、同社のAIセキュリティソリューション「Okta for AI Agents」の一部として提供されるリスク可視化機能だ。
アクセス権限の認可を行うための仕組みである「OAuth(オー・オース)」の同意プロセスを監視し、非公認のプラットフォームや未検証のエージェントビルダー上で作成されたAIエージェントを特定する。
シャドーAIエージェントの接続を発生源の時点で表面化させることで、それらがバックエンドのAPI連携や複雑なアプリ間接続に発展する前に把握することができる。
また、Google Chromeなどのブラウザと連携することで、リアルタイムの信号をキャプチャし、「どのAIツール(クライアントアプリ)」が「どの社内データ(リソースアプリ)」にアクセスしようとしているかの関係性をマッピングする。
そして、IT部門が把握していない未知のエージェントが重要なデータへのアクセス権限を取得しようとした際、即座にアラートを発信。そこから、エージェントに付与された特定の権限やスコープを明らかにし、セキュリティ審査を回避している未承認アプリを特定する。
なお、同機能の目的は、単にシャドーAIを排除することだけではない。発見された未承認エージェントに対し、社内の「人間の責任者」を割り当て、適切なセキュリティポリシーを適用することで、リスクのある「野良エージェント」を「管理された正規の資産」へと転換することにある。
これにより、企業が従業員によるイノベーションを阻害することなく、アイデンティティ管理(ID管理)の統制下で安全にAI活用を推進できる体制構築を支援する。
Oktaは今後、同機能を拡張し、管理されたAIプラットフォームや大規模言語モデル(LLM)上のリスク検知にも対応させるとしている。