AIエージェントは脆弱性の新たな温床か? 『過剰権限』の脅威と認可アーキテクチャによる防御

-- Views

May 15, 26

スライド概要

2026年5月14-15日に開催されたクラウドネイティブ会議で発表した際の資料です。
https://kaigi.cloudnativedays.jp/sessions/3066/?from=timetable&day=day1

profile-image
スライド一覧

Developer Advocate for Auth0

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

(ダウンロード不可)

関連スライド

slide-thumbnail

Phaserで始めるゲーム開発入門
phaser ゲーム
user-img Daizen Ikehara 179.8K
slide-thumbnail

ReBAC入門 「関係性」によるアクセス制御とは?
fga openfga authorization authz
user-img Daizen Ikehara 54.5K
slide-thumbnail

「関係性」によるアクセス制御の可能性 Relationship-Based Access Controlとは?
rebac fga auth0 cloud native authorization
user-img Daizen Ikehara 12.9K
slide-thumbnail

ServerlessDays 2025 Tokyo: AIに秘密を漏らさない!」RAG時代のアクセス制御:ReBACで実現するデータ保護
auth0 ai rag rebac
user-img Daizen Ikehara 12.7K
slide-thumbnail

WebRTCのAPIでビデオアプリケーションをつくってみるレクチャー&ハンズオン
twilio video webrtc api
user-img Daizen Ikehara 12.2K
slide-thumbnail

Twilio Programmable Messagingを用いたSMS送信入門
twilio messaging sms api
user-img Daizen Ikehara 11.7K
各ページのテキスト
1.

AIエージェントは脆弱性の新たな温床か? 「過剰権限」の脅威と認可アーキテクチャによる防御 池原⼤然 プリンシパルデベロッパーアドボケイト Okta Japan株式会社 © Okta, Inc. and/or its affiliates. © Okta, All rights Inc. and/or reserved. its affiliates. All rights reserved.

2.

セーフハーバー このプレゼンテーションは、1995年私募証券訴訟改⾰法(Private Securities Litigation Reform Act of 1995)の「セーフハーバー」条項が規定する「将来の⾒通し に関する記述」を含んでおり、これには当社の財務⾒通し、事業戦略および計画、市場動向、市場規模、機会および位置づけに関する記述が含まれますがこれらに 限定されません。これらの将来の⾒通しに関する記述は、現在の予想、⾒積、予測および⾒通しに基づいています。「期待する」、「予想する」、「はず」、「信 じる」、「希 望する」、「⽬ 標とする」、「⾒ 積もる」、「⽬ 標」、「推 定する」、「可 能 性」、「予 測する」、「可 能 性がある」、「するつもりである」、 「かもしれない」、「あり得る」、「意図する」、「⾏う予定」、およびこれらの⽤語のバリエーションや類似の表現は、将来の⾒通しに関する記述を識別する ことを⽬的としていますが、すべての将来の⾒通しに関する記述にこれらの識別語が含まれているわけではありません。将来の⾒通しに関する記述は、当社のコン トロールを超えたリスクや不確実性の影響を受けます。例えば、マクロ経済の状況は過去にも、また将来的にも当社ソリューションに対する需要を減少させる可能 性があること、当社および当社の第三者サービス‧プロバイダーは過去にも、また将来的にもサイバーセキュリティ‧インシデントに遭遇する可能性があること、 収益の成⻑や収益性を管理または維持できない可能性があること、当社の財源が、市場で効果的に競争するには不⼗分である可能性があること、新規顧客の獲得や 既存顧客の維持や追加販売ができない可能性があること、ソリューションの推進または強化のための戦略的パートナーシップを維持できない可能性があること、既 存のマーケティングおよびセールス組織を拡⼤(go-to-market組織のさらなる専⾨化を含む。)する上で、課題に直⾯する可能性があること、顧客数の伸びは最 近減速しており、今後も減速する可能性があること、サービス停⽌を含む当社の技術に関連した中断やパフォーマンスの問題が⽣じる可能性があること、および当 社および当社の第三者サービス‧プロバイダーは、当社が従うべき様々なプライバシーおよびセキュリティ規定を完全に遵守できなかった、または遵守できなかっ たとみなされたことがあり、同様の事故が将来発⽣する可能性があることなどが挙げられます。当社の業績に影響を与える可能性のある要因に関する詳細は、当社 の最新のおよびその他の⽶国証券取引委員会への提出書類に記載されています。このプレゼンテーションに含まれる将来の⾒通しに関する記述は、このプレゼン テーションの⽇時点での当社の⾒解を⽰すものであり、当社はこれらの将来の⾒通しに関する記述を更新する義務を負いません。 このプレゼンテーションで⾔及されている、現時点で⼀般に提供されていない、またはまだ取得されていないソリューション、特性、機能、認証、認可、または 証明は、予定通りに、または全く提供もしくは取得されない可能性があります。当社は、かかる事項を提供する義務を負わず、お客様は購⼊の判断を下す上でこれ らに依拠すべきではありません。 © Okta, Inc. and/or its affiliates. All rights reserved.

3.

👋 ⾃⼰紹介 池原 ⼤然 デベロッパーアドボケイト © Okta, Inc. and/or its affiliates. All rights reserved. X (Twitter): @Neri78 Bluesky: neri78.bsky.social LinkedIn: daizenikehara GitHub: http://github.com/neri78

4.

© Okta, Inc. and/or its affiliates. All rights reserved.

5.

© Okta, Inc. and/or its affiliates. All rights reserved.

6.

AIエージェントと 「ユーザー代理権限」の罠 © Okta, Inc. and/or its affiliates. All rights reserved.

7.

AIエージェントは「⾃律的な同僚」 ● 推論と実⾏の統合による⾮定型タスクの⾃動化 (Reasoning & Action) ● LLMが⾃ら状況を解釈‧計画(Planning)し 適切なツール(API)を動的に選択‧実⾏ ● システム境界を越えた業務スケーリング ● ● 複数のSaaSや社内システムを シームレスに跨いで実⾏ ユーザーの「代理」として動く存在 ● ユーザーから委譲された⽬的と権限を持ち その達成⼿段は⾃ら判断‧選択 © Okta, Inc. and/or its affiliates. All rights reserved.

8.

静的な権限委譲の限界 ● ユーザーのトークンを丸投げ ● ● ユーザーの権限をそのままAIに渡す設計は AIが「ユーザーになりすました」状態を⽣む 静的スコープの構造的限界 ● drive.readonly 等の静的スコープはタスクの ⽬的や対象を区別できない ● 「経費精算」を頼んだはずが、関係ない 機密ファイルまで読める状態に ● 権限の永続化による被害の連鎖 ● タスク終了後も残るセッショントークンが エージェントや連携基盤が侵害された際に 攻撃者のアクセス⼿段として悪⽤される © Okta, Inc. and/or its affiliates. All rights reserved.

9.

OWASPが警告する 「Excessive Agency」と 「Identity & Privilege Abuse」 https://owasp.org/ © Okta, Inc. and/or its affiliates. All rights reserved.

10.

大規模言語モデル( LLM)アプリケーションに関する OWASP Top 10 1 2 3 4 5 プロンプト インジェクション 機密情報の 開⽰ サプライ チェーン データとモデル ポイズニング 不適切な 出⼒処理 Prompt Injection Sensitive Information Disclosure Supply Chain Data and Model Poisoning Improper Output Handling 6 7 過剰な エージェンシー Excessive Agency 8 システム プロンプト の漏洩 ベクトルと 埋め込みの 脆弱性 System Prompt Leakage Vector and Embedding Weaknesses 9 10 誤情報 際限のない 消費 Misinformation Unbounded Consumption https://genai.owasp.org/resource/大規模言語モデル( llm)アプリケーションに関す / © Okta, Inc. and/or its affiliates. All rights reserved.

11.

LLM06: 2025 Excessive Agency(過剰なエージェンシー) LLMの異常出⼒(誤動作‧プロンプトインジェクション等)が、 過⼤な権限‧機能‧⾃律性を介して実害に変換される脆弱性 ● 過剰な権限 (Excessive Permissions) の付与 ● ● 過剰な機能性 (Excessive Functionality) の露出 ● ● エージェントが、現在のタスクを遂⾏するために必要な範囲を超えた、 広範なデータへのアクセスや変更権限(Read/Write)を保持 エージェントのツールボックスに、本来のユースケースでは不要な破壊的APIや システム操作ツールがエンドポイントとして含まれている 過度の⾃主性 (Excessive Autonomy) による暴⾛ ● 不可逆なトランザクションや状態変更を伴うアクションに対し、 システム側での強制的な検証や⼈間の承認プロセス(Human-in-the-Loop)が⽋落 © Okta, Inc. and/or its affiliates. All rights reserved.

12.

OWASP Top 10 for Agentic Applications for 2026 1 2 3 4 エージェント ゴール ハイジャック ツールの誤⽤と 悪⽤ アイデンティ ティと特権の 濫⽤ エージェント型 サプライチェー ンの脆弱性 予期しない コード実⾏ (RCE) Tool Misuse & Exploitation Identity & Privilege Abuse Agentic Supply Chain Vulnerabilities Unexpected Code Execution (RCE) 8 9 10 ⼈間と エージェントの 信頼の悪⽤ ローグ エージェント Agent Goal Hijack 6 7 メモリと コンテキストの ポイズニング 安全でない エージェント間 通信 Memory & Context Poisoning Insecure Inter-Agent Communication 連鎖的な 障害 Cascading Failures Human-Agent Trust Exploitation https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/ © Okta, Inc. and/or its affiliates. All rights reserved. 5 Rogue Agents

13.

ASI03: Identity & Privilege Abuse(アイデンティティと特権の悪⽤) ● 特権の無秩序な拡散 ● ● エージェント間の信頼境界の⽋如 ● ● ユーザーから委譲された静的で強⼒なトークンが サブエージェントや連携ツールへ「スコープ縮⼩」や「再検証」なしに伝播し システム全体で同⼀の特権が使い回される エージェント間通信(A2A)やプラグイン連携において 厳密な相互認証(mTLS等)やタスクベースのID検証が⽋如し 無条件の信頼による「なりすまし」や横展開を許容 エージェントに独⽴したIDがない ● エージェントが「⼈間ユーザーのなりすまし」として動作するため どのエージェントが何を⾏ったか追跡できず 侵害時の影響範囲の特定や封じ込めが困難に © Okta, Inc. and/or its affiliates. All rights reserved.

14.

エージェントの動的認可と ⼈間による承認 © Okta, Inc. and/or its affiliates. All rights reserved.

15.
[beta] 
ロールを基にしたアクセス制御
(Role-Based Access Control, RBAC)と粒度という課題
●

「管理者」「⼀般職」など、グループ/ロールとそれに紐づく権限による認可

●

アプリケーション/APIレベルでの⼤まかな権限を管理できる

●

個別のリソース単位での制御は困難(例: 特定のドキュメントだけ承認可能、など)
app.post('/expense/approve',
claimIncludes('role', 'approver'),
(req, res) => { ... });

app.post('/expense/approve',
claimIncludes('permissions', 'approve:expenses'),
(req, res) => { ... });

© Okta, Inc. and/or its affiliates. All rights reserved.
16.

関係性を⽤いたアクセス制御 (Relationship-based Access Control, ReBAC)を用いた動的認可 ● リソースへのアクセス許可が 「関係性」によって動的に決定されるアクセス制御 ○ ○ ○ ● © Okta, Inc. and/or its affiliates. All rights reserved. Q. ユーザー(あるいはエージェント)は アクセスを可能にするほど 指定されたオブジェクトやアクションと ⼗分な関係があるか? 関係性が動的にアップデートされることを許容 認可の判断となる関係性のデータは 認可システムに保存 代表例: Googleの様々な製品における認可エンジン 「Zanzibar」 ○ https://research.google/pubs/zanzibar-googles -consistent-global-authorization-system/

17.

https://zanzibar.academy/ © Okta, Inc. and/or its affiliates. All rights reserved.

18.

セキュアなRAG: 認可された情報のみをAIに送信 質問内容に関連する ドキュメント ReBACを⽤いて「個々」の ドキュメントに対する アクセス権限を動的に確認 質問 関連情報の検索 (Retrieval) 回答 コンテキストの拡張 (Augmentation) © Okta, Inc. and/or its affiliates. All rights reserved. 回答の⽣成 (Generation)

19.

アクションの動的認可 //関係グラフをチェック check( user: 'agent:alice', relation: 'can_read', object: 'doc:secret' }); Action: read ‘doc:secret’ AI エージェント check: OK ReBAC 認可 エンジン check: NG 認可された Actionの結果 (ドキュメントが渡される) © Okta, Inc. and/or its affiliates. All rights reserved. API / DB

20.

⼈間による「適切な場⾯」での承認 (Human-in-the-loop) Actionの結果 (返⾦対応の結果を通知) Action: Refund: 500,000円 承認機能 AI エージェント approved rejected ユーザーへの通知と 承認/否認 © Okta, Inc. and/or its affiliates. All rights reserved. API / DB Refund ⼈間が最後の砦になる ただし 毎回承認することは理に叶っているか? (対応策: リスクベースの判定機能を⼊れ込む)

21.

まとめ © Okta, Inc. and/or its affiliates. All rights reserved.

22.

まとめ ● AIエージェントは⾃律的な同僚だが その過剰な権限は破壊的な被害につながる ● 静的な権限ではなく、関係性に基づく動的な認可で アクションごとに最⼩権限を確保する ● それでも判断しきれない⾼リスク操作には ⼈間による承認を最後の砦として組み込む © Okta, Inc. and/or its affiliates. All rights reserved.

23.

ReBACの実装例: OpenFGAとAuth0 FGA openfga.dev © Okta, Inc. and/or its affiliates. All rights reserved. fga.dev

24.

Auth0 for AI Agents a0.to/ai-event © Okta, Inc. and/or its affiliates. All rights reserved.

25.