昨年も案内を貰ったのだが、特権ID管理に秀でた企業からまたイベントの案内が来た。今回はTOPの来日ではなく、国内の取引先・関係先(*1)と一緒になって展示なども豊富になったイベントである。TOPは今米国で大手セキュリティ企業との合併話が出ていて、来日できなかったという。
昨年この企業からは、個人のIDよりマシンIDの方が40倍以上多いことを教えてもらった(*2)。アジェンダを見ていると、AIの話題が多いので出かけることにした。冒頭のプレゼンで、
・マシンIDはさらに増え、今は個人IDの80倍ほどになっている
・AI(正確にはAI Agent)にもIDがあって、これも爆増している
と言われて、ちょっと驚いた。しかしある大手企業のCAIOが「AI Agentを使い始めると、知らないうちに増えちゃうんだよね。ある人は77Agents使っていたよ」と言っていたのを思い出して納得した。
ID管理は一元化しないと、大きなリスクになるという。いろいろな人が複数のアクセス権を使おうとするので、(個人IDでさえ)管理の穴を突かれて「特権」を奪われることがある。ましてや部署毎に導入するIoT機器・アプリケーション・デバイス等(のマシンID)は、一元管理が難しい。加えて、マシンID同士の情報交換は(人間を介さないので)超高速で、大量に流れてしまう。
さらにそれがAI-IDとなると、手の打ちようがないことも多い。どんなリスクがあるかというと、ソーラーウインズ事件(*3)に似たことが起きると、プレゼンテータが言う。「AI Agent」が単体で仕事をすることは少なく、オーケストレータのような束ねるAIが他のAIを使役して、全体としてミッションを果たす。この中に細工をされたAIがいるとそれが感染していって、ついにはシステム全体が乗っ取られることになる。
このあとは「だからた当社のID管理をご利用ください」となるのだが、なぜそれが必要なのかはよく理解できるイベントであった。増殖するAI-IDですか・・・。
*1:ビッグテック、大手コンサル、通信会社、SIerなどセキュリティ専業企業以外にも多彩
*3:同社のプラットフォームが攻撃され、そのサービスを使っていた多数の企業から情報が抜かれるなどした
