ITセキュリティ女子のブログ

  • 認証
  • ID管理
2025.08.06

AI時代に必要となるアイデンティティ

AI時代に求められるアイデンティティ

みなさんこんにちは。後藤まりです。

生成AIの登場により、私たちの業務の中でもAIを活用する機会が増えてきました。
それに伴い、ITシステムに求められるセキュリティ対策も大きく変わりつつあります。本日はその中でも見落とされがちですが、近い将来向き合うことになるであろうID管理の課題についてみていきたいと思います。

目次
  1. あるAIとのやり取り
  2. AIドリブンはデータドリブン
  3. データレイヤでのゼロトラスト
  4. まとめ

あるAIとのやり取り

社内向けに、生成AIチャットの導入を検討されている企業様は多いと思います。
特に、社内のデータを活用しながらAIに業務をサポートさせたいと考えるケースも多いのではないでしょうか。

そんなときに、AIとの間で以下のようなやり取りが発生することが想像されます。

ユーザー:「〇〇」について教えてください。
AI:申し訳ありません。こちらの回答には機密情報が含まれているため、表示できません。

AI1

例えば、質問をする利用者が、一般社員のAさんと役職者のBさんで違う権限を持っている場合、Aさんには回答を表示させないが、Bさんには回答を表示させたい、というケースもあるのではないでしょうか。

しかし機密情報に対して一律で禁止してしまうと、本来権限のあるBさんにも、同様に回答が表示されない状況になってしまいます。こうなるとAIへの問い合わせで本来効率化させたかった業務が非効率になるケースも考えられます。

また回答を得るために試行錯誤して意図せずAIへの攻撃行為につながるようなやり取りをしてしまうかもしれません。

AI2

AIドリブンはデータドリブン

AIを活用して社内のデータを活用するということは、効率化されたデータドリブンを行っていくようなものです。
そして、そのAI活用の先には、このような社内のあらゆるデータを活用するためのアクセス基盤が求められると考えられます。

AIが自律的にデータを処理するためには、AIに対し、利用者の権限に応じた制御を適用していくような仕組みが必要になるのではないでしょうか。

このようなデータ制御を実現するために考えるべきポイントは以下の3つです。

  • 1.アイデンティティ:利用者と利用者に紐づく属性やロール
  • 2.データ:データの分類とラベリング
  • 3.アクセスコントロール:分類されたデータに合わせたアクセス制御の実装(ルールの検討)

それぞれについて解説していきます。

1.アイデンティティ

利用者および利用者の権限に紐づく情報(属性やグループなど)を常に正しい状態に保つことが求められます。
また、利用者だけでなくデータを処理するアプリケーションやシステムなどを正しく識別することも重要です。
そのためにはID管理および認証の自動化・一元化を目指す必要があり、その基盤となる「アクセス基盤」が求められます。

2.データ

AIが社内データを使う場合、そのデータがどんな種類なのかをあらかじめ分類し、ラベルを付けておくことが重要です。これにより、データの内容に応じて適切なアクセスルールを設定できます。

例えば、売り上げデータを収集した場合、そのデータは経理部門と営業の役職者のみがアクセスできるといったような条件を設定します。
またデバイスやマシンなどから継続的にデータを取り込んで処理する場合、データが取り込まれる前に、「そのデバイスが本当に信頼できるものなのか」を認証する必要があります。正確なデータ入力を行うために、悪意のあるマシンから不正なデータが送り込まれないようにしなければなりません。

3.アクセスコントロール

AIが返してくる情報にも、「誰にどこまで見せるのか」というルールを適用する必要があります。
シングルサインオンやMFA(多要素認証)によって、「この人は確かに本人だ」と確認したうえで、認証連携(フェデレーション)によって、利用者の情報をAIや周辺のシステムに正しく伝え、その人に合った情報を返すという流れが必要になります。

例えば、前述の売り上げデータを例にした場合、AIが「追加の確認が必要だ」と判断したら「この人は経理部門の役職者か?」「追加の認証が必要か?」 という確認を行います。その際、認証情報や利用者の属性情報を連携させながら、アクセスルールと照らし合わせて 「このデータを表示してもよい」または「表示しない」 と判断します。

こうした仕組みが、これからのAI活用には求められるようになります。


AI3

データレイヤでのゼロトラスト

改めて整理してみると、ゼロトラストのような考え方に近いのかもしれません。
従来のゼロトラストが「システムへのアクセスの多様化」に合わせて考えられたものに対し、AI時代では、さらに上の「データのレイヤに対するアクセスへの多様化」を考慮する必要があります。


AI4

まとめ

AI時代はデータへのアクセス主体がこれまでよりも複雑になります。具体的には人だけではなく、AIもデータを利用することになります。

この時、AIが返すデータを正しく制御できていないと思わぬ情報漏洩につながる可能性があります。
AIが過不足なく正しくデータを返せるようになるためにはアイデンティティ、データ、アクセスコントロールの管理が重要になります。

そのためには、
 ・「誰が、どのような役割・属性を持つのか」というアイデンティティの管理
 ・「どのデータが、どのような位置づけのものか」というデータの整理
 ・そしてそれに対して「どのようなアクセスが必要か」というルールの設計
を整理して管理する必要があります。

AIが完全に自律的にデータを扱うのはまだ先の話かもしれません。しかし、これからのAIを考えるための土台として、改めてユーザの権限とデータ管理の適正化について、今のうちから目を向けていただければと思います。

※記載されている会社名、製品名は、各社の商標または登録商標です。


  • 執筆者情報

後藤 まり

株式会社アシストに入社以来、セキュリティ対策製品を担当。

技術者として現場で培った知見を活かし、日々プロモーション活動に奮闘中。
自身が「IT初心者」だった経験から、専門用語や技術についてわかりやすく
説明することを心がけている。

関連している記事

  • エンドポイントセキュリティ
  • ID管理
  • 認証
2025.07.25

PCの管理者権限、付与してなくても困らない!?情シスを救うEPMという選択肢

PCがサイバー攻撃で狙われる理由から、管理者権限や同一パスワード運用がもたらすリスク、そしてそれらの課題を解決する手段として注目される「EPM(エンドポイント特権管理)」について解説します。

  • 認証
  • ID管理
  • 脆弱性管理
  • サイバー攻撃
2025.03.04

CNAPPとは?クラウドセキュリティの新たなアプローチ

最新のクラウドセキュリティ対策として注目される「CNAPP(Cloud Native Application Protection Platform)」に焦点を当て、その必要性や導入ポイントについて解説します。

  • 認証
  • ID管理
2025.02.25

生成AIの利用をもっとセキュアに!Oktaで実現するスマートな認証

Webサービス利用増加によって生じる認証情報管理の課題とその解決策、そして最近注目されている「生成AI」をセキュアに使う方法をご紹介します。

プロフィール


後藤まり
セキュリティ製品を担当。親しみやすく、皆に可愛がられる妹的存在。


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る