---
title: AIエージェントは脆弱性の新たな温床か？ 『過剰権限』の脅威と認可アーキテクチャによる防御
tags: 
author: [Daizen Ikehara](https://docswell.com/user/Neri78)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/GE5MZR1PE4.jpg?width=480
description: 2026年5月14-15日に開催されたクラウドネイティブ会議で発表した際の資料です。 https://kaigi.cloudnativedays.jp/sessions/3066/?from=timetable&amp;day=day1
published: May 15, 26
canonical: https://docswell.com/s/Neri78/5DMGXR-2026-05-14-ai-agent-authorization
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/GE5MZR1PE4.jpg)

AIエージェントは脆弱性の新たな温床か？
「過剰権限」の脅威と認可アーキテクチャによる防御
池原⼤然
プリンシパルデベロッパーアドボケイト
Okta Japan株式会社
© Okta, Inc. and/or its afﬁliates.
© Okta,
All rights
Inc. and/or
reserved.
its afﬁliates. All rights reserved.


# Page. 2

![Page Image](https://bcdn.docswell.com/page/9729RD1ZJR.jpg)

セーフハーバー
このプレゼンテーションは、1995年私募証券訴訟改⾰法(Private Securities Litigation Reform Act of 1995)の「セーフハーバー」条項が規定する「将来の⾒通し
に関する記述」を含んでおり、これには当社の財務⾒通し、事業戦略および計画、市場動向、市場規模、機会および位置づけに関する記述が含まれますがこれらに
限定されません。これらの将来の⾒通しに関する記述は、現在の予想、⾒積、予測および⾒通しに基づいています。「期待する」、「予想する」、「はず」、「信
じる」、「希 望する」、「⽬ 標とする」、「⾒ 積もる」、「⽬ 標」、「推 定する」、「可 能 性」、「予 測する」、「可 能 性がある」、「するつもりである」、
「かもしれない」、「あり得る」、「意図する」、「⾏う予定」、およびこれらの⽤語のバリエーションや類似の表現は、将来の⾒通しに関する記述を識別する
ことを⽬的としていますが、すべての将来の⾒通しに関する記述にこれらの識別語が含まれているわけではありません。将来の⾒通しに関する記述は、当社のコン
トロールを超えたリスクや不確実性の影響を受けます。例えば、マクロ経済の状況は過去にも、また将来的にも当社ソリューションに対する需要を減少させる可能
性があること、当社および当社の第三者サービス‧プロバイダーは過去にも、また将来的にもサイバーセキュリティ‧インシデントに遭遇する可能性があること、
収益の成⻑や収益性を管理または維持できない可能性があること、当社の財源が、市場で効果的に競争するには不⼗分である可能性があること、新規顧客の獲得や
既存顧客の維持や追加販売ができない可能性があること、ソリューションの推進または強化のための戦略的パートナーシップを維持できない可能性があること、既
存のマーケティングおよびセールス組織を拡⼤（go-to-market組織のさらなる専⾨化を含む。）する上で、課題に直⾯する可能性があること、顧客数の伸びは最
近減速しており、今後も減速する可能性があること、サービス停⽌を含む当社の技術に関連した中断やパフォーマンスの問題が⽣じる可能性があること、および当
社および当社の第三者サービス‧プロバイダーは、当社が従うべき様々なプライバシーおよびセキュリティ規定を完全に遵守できなかった、または遵守できなかっ
たとみなされたことがあり、同様の事故が将来発⽣する可能性があることなどが挙げられます。当社の業績に影響を与える可能性のある要因に関する詳細は、当社
の最新のおよびその他の⽶国証券取引委員会への提出書類に記載されています。このプレゼンテーションに含まれる将来の⾒通しに関する記述は、このプレゼン
テーションの⽇時点での当社の⾒解を⽰すものであり、当社はこれらの将来の⾒通しに関する記述を更新する義務を負いません。
このプレゼンテーションで⾔及されている、現時点で⼀般に提供されていない、またはまだ取得されていないソリューション、特性、機能、認証、認可、または
証明は、予定通りに、または全く提供もしくは取得されない可能性があります。当社は、かかる事項を提供する義務を負わず、お客様は購⼊の判断を下す上でこれ
らに依拠すべきではありません。
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 3

![Page Image](https://bcdn.docswell.com/page/DJY4D2ZN7M.jpg)

👋 ⾃⼰紹介
池原 ⼤然
デベロッパーアドボケイト
© Okta, Inc. and/or its afﬁliates. All rights reserved.
X (Twitter): @Neri78
Bluesky: neri78.bsky.social
LinkedIn: daizenikehara
GitHub: http://github.com/neri78


# Page. 4

![Page Image](https://bcdn.docswell.com/page/V7NY683VE8.jpg)

© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 5

![Page Image](https://bcdn.docswell.com/page/YJ9PLK9V73.jpg)

© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 6

![Page Image](https://bcdn.docswell.com/page/GJ8DXR94JD.jpg)

AIエージェントと
「ユーザー代理権限」の罠
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 7

![Page Image](https://bcdn.docswell.com/page/LJLM8KWVER.jpg)

AIエージェントは「⾃律的な同僚」
●
推論と実⾏の統合による⾮定型タスクの⾃動化
(Reasoning &amp; Action)
● LLMが⾃ら状況を解釈‧計画（Planning）し
適切なツール（API）を動的に選択‧実⾏
●
システム境界を越えた業務スケーリング
●
●
複数のSaaSや社内システムを
シームレスに跨いで実⾏
ユーザーの「代理」として動く存在
● ユーザーから委譲された⽬的と権限を持ち
その達成⼿段は⾃ら判断‧選択
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 8

![Page Image](https://bcdn.docswell.com/page/47MY629N7W.jpg)

静的な権限委譲の限界
●
ユーザーのトークンを丸投げ
●
●
ユーザーの権限をそのままAIに渡す設計は
AIが「ユーザーになりすました」状態を⽣む
静的スコープの構造的限界
●
drive.readonly 等の静的スコープはタスクの
⽬的や対象を区別できない
●
「経費精算」を頼んだはずが、関係ない
機密ファイルまで読める状態に
●
権限の永続化による被害の連鎖
●
タスク終了後も残るセッショントークンが
エージェントや連携基盤が侵害された際に
攻撃者のアクセス⼿段として悪⽤される
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 9

![Page Image](https://bcdn.docswell.com/page/P7R9PMG4E9.jpg)

OWASPが警告する
「Excessive Agency」と
「Identity &amp; Privilege Abuse」
https://owasp.org/
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 10

![Page Image](https://bcdn.docswell.com/page/PJXQ3VXZ7X.jpg)

大規模言語モデル（ LLM）アプリケーションに関する OWASP Top 10
1
2
3
4
5
プロンプト
インジェクション
機密情報の
開⽰
サプライ
チェーン
データとモデル
ポイズニング
不適切な
出⼒処理
Prompt Injection
Sensitive Information
Disclosure
Supply Chain
Data and Model
Poisoning
Improper Output
Handling
6
7
過剰な
エージェンシー
Excessive Agency
8
システム
プロンプト
の漏洩
ベクトルと
埋め込みの
脆弱性
System Prompt
Leakage
Vector and Embedding
Weaknesses
9
10
誤情報
際限のない
消費
Misinformation
Unbounded
Consumption
https://genai.owasp.org/resource/大規模言語モデル（ llm）アプリケーションに関す /
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 11

![Page Image](https://bcdn.docswell.com/page/3JK9YQWVJD.jpg)

LLM06: 2025 Excessive Agency（過剰なエージェンシー）
LLMの異常出⼒（誤動作‧プロンプトインジェクション等）が、
過⼤な権限‧機能‧⾃律性を介して実害に変換される脆弱性
●
過剰な権限 (Excessive Permissions) の付与
●
●
過剰な機能性 (Excessive Functionality) の露出
●
●
エージェントが、現在のタスクを遂⾏するために必要な範囲を超えた、
広範なデータへのアクセスや変更権限（Read/Write）を保持
エージェントのツールボックスに、本来のユースケースでは不要な破壊的APIや
システム操作ツールがエンドポイントとして含まれている
過度の⾃主性 (Excessive Autonomy) による暴⾛
●
不可逆なトランザクションや状態変更を伴うアクションに対し、
システム側での強制的な検証や⼈間の承認プロセス（Human-in-the-Loop）が⽋落
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 12

![Page Image](https://bcdn.docswell.com/page/LE3W9PWQE5.jpg)

OWASP Top 10 for Agentic Applications for 2026
1
2
3
4
エージェント
ゴール
ハイジャック
ツールの誤⽤と
悪⽤
アイデンティ
ティと特権の
濫⽤
エージェント型
サプライチェー
ンの脆弱性
予期しない
コード実⾏
（RCE）
Tool Misuse &amp;
Exploitation
Identity &amp; Privilege
Abuse
Agentic Supply Chain
Vulnerabilities
Unexpected Code
Execution (RCE)
8
9
10
⼈間と
エージェントの
信頼の悪⽤
ローグ
エージェント
Agent Goal Hijack
6
7
メモリと
コンテキストの
ポイズニング
安全でない
エージェント間
通信
Memory &amp; Context
Poisoning
Insecure Inter-Agent
Communication
連鎖的な
障害
Cascading Failures
Human-Agent Trust
Exploitation
https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
© Okta, Inc. and/or its afﬁliates. All rights reserved.
5
Rogue Agents


# Page. 13

![Page Image](https://bcdn.docswell.com/page/8EDKGLKW7G.jpg)

ASI03: Identity &amp; Privilege Abuse（アイデンティティと特権の悪⽤）
●
特権の無秩序な拡散
●
●
エージェント間の信頼境界の⽋如
●
●
ユーザーから委譲された静的で強⼒なトークンが
サブエージェントや連携ツールへ「スコープ縮⼩」や「再検証」なしに伝播し
システム全体で同⼀の特権が使い回される
エージェント間通信（A2A）やプラグイン連携において
厳密な相互認証（mTLS等）やタスクベースのID検証が⽋如し
無条件の信頼による「なりすまし」や横展開を許容
エージェントに独⽴したIDがない
●
エージェントが「⼈間ユーザーのなりすまし」として動作するため
どのエージェントが何を⾏ったか追跡できず
侵害時の影響範囲の特定や封じ込めが困難に
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 14

![Page Image](https://bcdn.docswell.com/page/V7PK32KXJ8.jpg)

エージェントの動的認可と
⼈間による承認
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 15

![Page Image](https://bcdn.docswell.com/page/2JVV4DV3JQ.jpg)

ロールを基にしたアクセス制御
(Role-Based Access Control, RBAC)と粒度という課題
●
「管理者」「⼀般職」など、グループ/ロールとそれに紐づく権限による認可
●
アプリケーション/APIレベルでの⼤まかな権限を管理できる
●
個別のリソース単位での制御は困難（例: 特定のドキュメントだけ承認可能、など）
app.post(&#039;/expense/approve&#039;,
claimIncludes(&#039;role&#039;, &#039;approver&#039;),
(req, res) =&gt; { ... });
app.post(&#039;/expense/approve&#039;,
claimIncludes(&#039;permissions&#039;, &#039;approve:expenses&#039;),
(req, res) =&gt; { ... });
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 16

![Page Image](https://bcdn.docswell.com/page/5EGL1YLYJL.jpg)

関係性を⽤いたアクセス制御
(Relationship-based Access Control, ReBAC)を用いた動的認可
●
リソースへのアクセス許可が
「関係性」によって動的に決定されるアクセス制御
○
○
○
●
© Okta, Inc. and/or its afﬁliates. All rights reserved.
Q. ユーザー（あるいはエージェント）は
アクセスを可能にするほど
指定されたオブジェクトやアクションと
⼗分な関係があるか？
関係性が動的にアップデートされることを許容
認可の判断となる関係性のデータは
認可システムに保存
代表例: Googleの様々な製品における認可エンジン
「Zanzibar」
○
https://research.google/pubs/zanzibar-googles
-consistent-global-authorization-system/


# Page. 17

![Page Image](https://bcdn.docswell.com/page/4JQYDMY67P.jpg)

https://zanzibar.academy/
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 18

![Page Image](https://bcdn.docswell.com/page/K74WZVWME1.jpg)

セキュアなRAG: 認可された情報のみをAIに送信
質問内容に関連する
ドキュメント
ReBACを⽤いて「個々」の
ドキュメントに対する
アクセス権限を動的に確認
質問
関連情報の検索
(Retrieval)
回答
コンテキストの拡張
(Augmentation)
© Okta, Inc. and/or its afﬁliates. All rights reserved.
回答の⽣成
(Generation)


# Page. 19

![Page Image](https://bcdn.docswell.com/page/LJ1YR3YYEG.jpg)

アクションの動的認可
//関係グラフをチェック
check(
user: &#039;agent:alice&#039;,
relation: &#039;can_read&#039;,
object: &#039;doc:secret&#039;
});
Action: read ‘doc:secret’
AI
エージェント
check: OK
ReBAC
認可
エンジン
check: NG
認可された Actionの結果 (ドキュメントが渡される）
© Okta, Inc. and/or its afﬁliates. All rights reserved.
API / DB


# Page. 20

![Page Image](https://bcdn.docswell.com/page/GJWG1PG172.jpg)

⼈間による「適切な場⾯」での承認
(Human-in-the-loop)
Actionの結果 (返⾦対応の結果を通知)
Action: Refund: 500,000円
承認機能
AI
エージェント
approved
rejected
ユーザーへの通知と
承認/否認
© Okta, Inc. and/or its afﬁliates. All rights reserved.
API / DB
Refund
⼈間が最後の砦になる
ただし
毎回承認することは理に叶っているか？
（対応策: リスクベースの判定機能を⼊れ込む）


# Page. 21

![Page Image](https://bcdn.docswell.com/page/4EZLPKLX73.jpg)

まとめ
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 22

![Page Image](https://bcdn.docswell.com/page/Y76WMQWP7V.jpg)

まとめ
● AIエージェントは⾃律的な同僚だが
その過剰な権限は破壊的な被害につながる
● 静的な権限ではなく、関係性に基づく動的な認可で
アクションごとに最⼩権限を確保する
● それでも判断しきれない⾼リスク操作には
⼈間による承認を最後の砦として組み込む
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 23

![Page Image](https://bcdn.docswell.com/page/G75MZRMP74.jpg)

ReBACの実装例: OpenFGAとAuth0 FGA
openfga.dev
© Okta, Inc. and/or its afﬁliates. All rights reserved.
fga.dev


# Page. 24

![Page Image](https://bcdn.docswell.com/page/9J29RD9ZER.jpg)

Auth0 for AI Agents
a0.to/ai-event
© Okta, Inc. and/or its afﬁliates. All rights reserved.


# Page. 25

![Page Image](https://bcdn.docswell.com/page/DEY4D24NJM.jpg)