エージェント・セキュリティの最新技術スタック
- •CrowdStrikeとPalo Alto Networksは、エージェントのアイデンティティを保護するために主要な買収を完了した。
- •エージェント・セキュリティのスタックは、トランスポート、アイデンティティ/委任、ポリシー、ランタイム・ガバナンスの4層で構成される。
- •プロトコル非依存のセキュリティアーキテクチャは、資格情報の発行段階でポリシーを評価し、エージェント連鎖全体で整合性を維持する。
自律型エージェントが超人的な速度で機密システムへアクセスするようになるにつれ、エージェント・セキュリティが優先課題となっている。業界の主要な動きとして、CrowdStrikeが2026年1月にアイデンティティ・セキュリティ企業のSGNLを約7億4000万ドルで買収し、Palo Alto Networksが2026年2月11日にCyberArkを250億ドルで買収した。セキュリティ専門家は現在、エージェントのアイデンティティを4つの層にまたがる多面的な課題と捉えている。
トランスポート層はシステムの玄関口として機能し、エージェントのサーバー接続を管理する。Model Context Protocol(MCP)のようなプロトコルが中心的な役割を果たしており、2025年のアップデートではRFC 8707のリソース指標が必須化され、動的クライアント登録に代わるクライアントIDメタデータドキュメントが導入された。トランスポート層は接続性とトークンの有効性を処理するものの、特定のユーザー権限やエージェントの意図を可視化することはできない。
アイデンティティおよび委任層は、エージェントの身元と、それが代行する主体を特定することに重点を置く。RFC 8693のトークン交換や、エージェント向けトランザクショントークンのような提案がアクターと主体の役割を定義する。SPIFFEやSPIREといったワークロード・アイデンティティツールは、過剰な権限付与のリスクがある静的なAPIキーから脱却し、エージェントの実行環境を暗号学的に証明する。Keycardのようなソリューションは、OIDCプロバイダーからフェデレーションを行い、資格情報の発行時にポリシーを評価することで、これらのアイデンティティの統合を試みている。
ポリシー層は、アイデンティティ検証とは別に、リソースに対する特定の操作の決定ポイントとして機能する。Cedar、Open Policy Agent、OpenFGAなどのツールにより、開発者はアクセスルールを定義できる。従来のPDP/PEP(ポリシー決定ポイント/ポリシー適用ポイント)パターンでは既存の資格情報に基づいてアクセスが評価されるが、これはポリシーを資格情報の発行プロセスから切り離してしまう。
ランタイムおよびガバナンス層は、行動監視、非人間アイデンティティのインベントリ管理、監査ログを扱う。この層のガードレールは、プロンプトインジェクションや行動の異常を検知できる一方、インベントリツールは既存のAPIキーやサービスアカウントを管理する。この層は資格情報の発行後やコンテンツの振る舞いに対して機能するため、エージェントが最初にアクセス権を得るべきかどうかの判断には関与しない。
これらの層をナビゲートするには、プロトコルと製品を区別する必要がある。多くのセキュリティツールはMCPなどの特定のトランスポートプロトコルに結合されており、仕様変更に対して脆弱である。セキュリティロジックをトランスポートから分離したプロトコル非依存のアーキテクチャは、資格情報の発行段階でアイデンティティとポリシーを統合し、複雑なエージェントの連鎖全体で一貫した認可を保証することで、より高い回復力を提供する。