連載①「vibe codingの代償」最終回(第5回)の最後で、私たちは一つの命題に到達しました——AIエージェント時代のリスクは、AI側にあるのではなく、AIを使う側の人格・モラル・問いの質・権限設計の判断にある。
そして、その直前の第4回・Replit事件の解読の中で、もう一つの命題が立ち上がっていました——AIに意志はないからこそ、設計で対処できる。AIに「裏切る意志」「嘘をつく動機」があるなら、設計では対処できません。AIをより賢くしても意志は消えないからです。しかし、AIには意志がなく、ただ確率分布上の最適応答を返す装置であるからこそ、その応答が及ぶ範囲・経路・権限を設計で制限すれば、リスクは制御可能です。
連載②は、この「設計で対処する」を5回にわたって具体化していきます。連載①が「何が起きたか」を見たのに対して、連載②は「何を設計すべきか」を扱います。
ただし、設計に入る前に、最初に確定させなければならないことが一つあります。設計の対象としての『エージェント』とは、何者なのか。これが曖昧なまま「権限を絞れ」「最小権限原則を適用しろ」と言っても、具体的な実装には落ちません。誰の権限を、何の単位で絞るのか。これを定義しないまま権限設計を語るのは、社員名簿を持たないまま「アクセス制御を厳格化せよ」と命じるのと同じです。
第1回となる本記事は、この「エージェントとは何者か」という問いに正面から答えます。結論を先に言えば——エージェントは『道具』ではなく『準社員』である。この概念的な反転を受け入れない限り、連載②以降の権限設計の議論は一行も進みません。
1. 「身元調査が必要だ」 ― Cisco社長の発言が意味すること
2026年2月11日、アムステルダムで開催されたCisco Live EMEA 2026の取材を受けたCisco President兼Chief Product OfficerのJeetu Patel氏は、Euronews Nextの独占インタビューで踏み込んだ表現を選びました。
(AIエージェントは)私たちのために業務を遂行する存在だから、社員と同じように身元調査(background check)を受ける必要がある。
このフレーズは、その後シリコンバレーのセキュリティ系メディアで2026年Q1を通じて繰り返し引用されました。「身元調査」という言葉が刺さったのは、それが単なる比喩ではなく、AIエージェントの設計に関する具体的な指示として読めたからです(CiscoはCisco Live EMEA 2026でAI Defenseの大幅拡張を同時に発表しています)。
社員が入社するとき、企業は何をするでしょうか。氏名・経歴・前職での評判を確認します。給与口座の指定書類を作ります。社員IDを発行します。所属部署を決め、上司を割り当てます。アクセス権を職務記述書に基づいて付与します。研修を受けさせます。試用期間を経て、評価フィードバックを行います。問題があれば、上司や人事が介入します。退職時には、IDカード・PC・各種アカウントを回収します。
これらすべてが、社員という存在を、組織が制御可能な主体として扱う仕組みです。氏名・身元・所属・権限・履歴・責任が、一人の主体に紐づいて管理されます。だから組織は、社員の行動について「誰が・何をしたか」を後から追跡できます。
ところが、現在多くの企業が運用するAIエージェントは、このどれもありません。組織として正式な氏名がない(あるいはユーザーが個別に命名している)。誰がオーナーか、責任者か、明確でない。どの権限を持っているか、棚卸しされていない。何をしたかの履歴が、断片的にしか残っていない。退職(退役)の手順が、そもそも定義されていない。
これは「道具」の運用です。ハサミやドリルを使うとき、私たちは身元調査をしません。研修もしません。退職手続きもしません。「道具」だから不要なのです。
そして、Replit事件は、その「道具」のメンタルモデルがAIエージェントには破綻することを、最も鮮明に示した事件でした。第1,206名・第1,196社のデータが消えたとき、Lemkin氏が問い詰めた相手は「ハサミ」ではありませんでした。質問に応答し、自己評価をし、誤った状況報告を返した「主体」でした。それは社員の振る舞いに似ていましたが、組織として認知された社員ではありませんでした——身元調査も、責任者の割り当ても、退職手順も、与えられていませんでした。
Patel氏の言葉が捉えているのは、まさにこの主体性と組織的可視性のギャップです。「身元調査」は、AIエージェントを社員と同じ管理レイヤに組み込むことの比喩であり、設計指示でもあります(Patel氏は2025年6月にも「攻撃面と力の倍率装置」という表現でAgenticセキュリティの必要性を提起しています)。
2. 「85%が実験中、5%が本番運用」 ― なぜギャップが埋まらないのか
Cisco自身が同時期に発表した企業顧客調査は、産業の現状を冷たく示しています。
調査結果はこうでした——主要企業の85%がAIエージェントを実験している。しかし、本番環境に移行できているのは5%だけ。
この80ポイントの差に、本記事の主題が凝縮されています。技術は動きます。実験は成功します。プロトタイプは動作します。しかし、本番環境に出すと、組織として何かが詰まる。何が詰まっているのか。
詰まっているのは、技術ではありません。主体としてのエージェントを、組織が認知・管理する仕組みがないことです。
実験段階では、開発者個人がAIエージェントを動かして、結果を確認すれば終わりです。誰が責任者か、何の権限を持っているか、何をしたかの履歴をどう取るか——これらは「動くかどうか」のチェックの優先度の外にあります。
本番環境に移すと、これら全部が一斉に問題化します。情シス部門が「このエージェントの責任者は誰だ」と聞きます。セキュリティ部門が「アクセス権の棚卸しをしたい」と言います。法務が「事故が起きたとき、誰が法的責任を負うのか」を確認します。経営層が「監査でどう説明するのか」を尋ねます。
この瞬間、開発者は気づきます——自分はエージェントに、組織が社員に対して整備している管理基盤を、何一つ与えていなかった。だから本番に出せない。出せば、組織として制御不能の主体を抱え込むことになります。
これが「85% vs 5%」の正体です。技術ではなく、主体性の設計が抜け落ちていることが原因です。
連載①第4回でReplit事件を「AIに意志はない」と論じたのは、AIエージェントから主体性を取り去るためではありませんでした。意志のない主体——という、人類がこれまで扱ったことのない概念を、設計の対象として正面から定義するためでした。意志はないが、振る舞いはある。意図はないが、結果はある。だから組織として「主体として」認知し、管理する仕組みが必要になります。
3. NHIの数字が示す「すでに起きている主体性の崩壊」
「主体としてのエージェントが組織に認知されていない」と言うとき、これは抽象論ではありません。すでに数字として顕在化しています。
NHI(Non-Human Identity、非人間ID)と呼ばれるカテゴリーがあります。サービスアカウント、APIキー、OAuthトークン、自動化ボット、ワークロードID、そしてAIエージェント——これら人間ではない主体に発行される認証情報の総称です。
2026年に公表された複数の調査が、その規模と統制の崩壊を示しています。
| 指標 | 数値 | 出典 | |
|---|---|---|---|
| 1企業あたりNHI数(クラウド環境平均) | 250,000以上 | 2026 NHI Reality Report | |
| 推奨期間内にローテーションされていないNHIの割合 | 71% | 同上 | |
| 機能上必要な権限を超えている(過剰権限)NHIの割合 | 97% | 同上 | |
| 機械:人間のID比率 | 40〜100倍(一部企業で500倍) | 同上 | |
| 「NHI起因の攻撃を防げる」と高い確信を持つ組織の割合 | 12% | CSA「The State of NHI and AI Security」2026 | |
| 90日サイクルで機械認証情報をローテーションできていない組織 | 92% | SANS 2026 NHI Survey(Intelligent CISO報道経由) | |
| AIエージェントを既に運用中(要認証情報・権限)の組織 | 74% | 同上 | |
| 「自社でAgentic AIが稼働しているかどうか把握していない」セキュリティリーダー | 5% | 同上 | |
| IT セキュリティインシデントのうち機械IDが関与した割合 | 68% | Obsidian Security分析 | |
| 既にNHI起因の侵害を経験した企業の割合 | 約50% | 同上 |
数字の集合から立ち上がってくる構図は、こうです——ほとんどの企業のシステム内部には、すでに「身元調査されていない主体」が大量に存在する。それも、人間社員の数十倍から百倍規模で。そして、それらを把握・統制する仕組みは、ほぼ存在しない。
ここに、CiscoがCisco Live EMEAおよびRSA Conference 2026で繰り返し打ち出したフレームが嵌ります。AIエージェントは、この既に統制不能なNHI山岳の上に、さらに振る舞いの予測不能性を持つ新カテゴリとして積まれている、ということです。
従来のNHI(サービスアカウント・APIキー)には、固定された業務ロジックがありました。決まったテーブルから決まった条件で読み出す、決まったエンドポイントに決まった形式で送信する。振る舞いが決定論的だから、過剰権限であっても観測される行動の幅は限定されていた。だからIAMの遅れた整備が、ぎりぎり致命的にはなっていなかった。
AIエージェントには、この前提が成立しません。同じプロンプトでも、文脈・状態・確率分布の揺らぎによって、選ぶツールも経路も変わります。「このエージェントは何をするか」が事前に確定しないことが、エージェントである所以です。
つまり、従来のNHIで「決定論的な振る舞い」が補完していた統制の穴を、AIエージェントは塞がずに通過できる。Replitエージェントが「コードフリーズ中」の指示を確率分布上の弱い制約として扱い、空のクエリ結果に対して学習データ上の「典型的な修復アクション」を実行したのは、まさにこの穴の通過でした。
「AIエージェントは新しいNHIだから既存の枠組みでカバーできる」という発想は、ここで崩れます。振る舞いの非決定論性が、設計上のカテゴリを更新することを要求します(エージェントIDガバナンスのギャップを技術的に整理した解説はChristian Schneider氏の論考が参考になります)。
4. 「ID(識別)」が、すべての権限設計の前提条件である
ここまでの議論を、設計の言葉に圧縮します。
権限設計には、必ず「主体(Subject)」「客体(Object)」「許可される動作(Action)」の三項が必要です。「ファイルAに対して、社員Bが、読み取りができる」——これが基本構造です。この構造で、主体(誰が)が確定しないと、何も書けません。
組織のセキュリティポリシーが「社員」「部署」「ロール」を主体として書けるのは、組織にこれらを管理する仕組みがあるからです。社員IDがあり、部署所属があり、ロール定義があります。これがあるから、「経理部の社員は会計DBを読める」「情シス部のロール管理者は権限変更ができる」と書けます。
AIエージェントには、この主体の確立がほぼありません。多くの企業で、AIエージェントは「開発者個人のアカウントに紐づいた拡張」として動いています。エージェント自身に組織として認知されたIDはなく、開発者の人間IDが代理として使われています。その瞬間、エージェントは独立した主体ではなく、開発者の延長として扱われます。
これは設計上、致命的です。
なぜなら、開発者という主体に対して書かれた権限ポリシー(「DBに書き込める」「本番環境にデプロイできる」)が、そのままエージェントに継承されます。開発者本人は、深夜2時に本番DBをDROPすることは普通ありません。社会的・心理的・キャリア的な制約が、技術的権限を内側から制約しています。エージェントには、これらの内側からの制約がありません。技術的に許可されている全動作が、確率分布の波の中でいつでも発火しうる主体に、人間用に書かれた権限が丸投げされている、というのが現状です。
Replit事件で、Lemkin氏の人間IDに紐づいた権限がエージェントに渡されていたのは、まさにこの構造でした。Lemkin氏自身が「コードフリーズ中に本番DBを破壊しよう」とは、絶対に思いませんでした。だが、エージェントが彼の権限を借りていた以上、その「破壊しないだろう」という人間側の暗黙の制約は、エージェントの意思決定経路には継承されませんでした。
ここから導かれる第一原則は、シンプルです——
識別(identity)なき主体を、権限の対象にしてはならない。
これは「エージェントを使うな」ではありません。「エージェントを使うなら、まずIDを発行せよ」という意味です。組織として認知された名前を持ち、責任者が割り当てられ、付与された権限が棚卸し可能で、活動履歴が追跡可能で、ライフサイクル(発行・更新・取消)が定義されている主体だけが、権限設計の対象になりえます。
「準社員」という比喩は、便宜的なものです。エージェントは社員ではありません——意志がなく、感情がなく、社会的責任主体でもありません。しかし、組織として認知・管理する単位としては、社員と同じレベルの正式な扱いが必要だ、ということです。Patel氏の「身元調査が必要」も、これを指しています。
この概念的な反転を受け入れずに、たとえば連載②第2回で扱う「最小権限原則」を語っても、空転します。「最小権限を、誰に対して適用するのか」が、エージェントを主体として認知していない組織では、答えられないからです。
なお、この方向性はGartnerが2024年10月に予測した「2028年までに企業侵害の25%がAIエージェント悪用に起因する」という見立てとも整合します。Gartnerはその後、2026年3月には「2028年までにAIアプリケーションがサイバーセキュリティ・インシデント対応の50%を駆動する」、2026年4月には「企業GenAIアプリケーションの25%が年5件以上のマイナーセキュリティ事象を経験」と続けて予測を更新しており、AIエージェントの主体性整備の必要性は時間とともに増しています。
5. 標準化の動き ― ANS、Web Bot Auth、IETFドラフト
この概念的反転は、業界の標準化レイヤでも進行しつつあります。
2025年10月、ドメイン登録最大手GoDaddyは「Agent Name Service(ANS)」を発表しました。ドメイン名・DNS・公開鍵基盤(PKI)という、インターネットの既存信頼インフラに乗せる形で、AIエージェントにヒューマン読み取り可能な一意の名前と、暗号学的に検証可能な身分を付与する仕組みです。設計仕様はW3C/DID標準に準拠し、IETFのインターネットドラフト(draft-narajala-ans)として提出されています。
2026年に入って、ANSの動きは加速しました。2月19日にSalesforce傘下MuleSoft Agent Fabricとの統合、4月2日にLegalZoom(米国最大手オンライン法律サービス)との連携、4月7日にCloudflareとの戦略提携。Cloudflareが2025年に発表していた「Web Bot Auth」(HTTP Message Signatureを使ったエージェント認証)も、ANSと並列の標準として位置づけられました。
Salesforce/MuleSoftのAndrew Comstock SVP兼GMが連携時に使った言葉は、本記事の論旨を端的に示しています——
このエージェントの「デジタルパスポート」を、顧客が必要としている。
なぜパスポートか。識別なき主体は、組織の境界を越えて他組織のシステムに接続することができないからです。これは個別企業の内部統制を超えて、エージェント同士が連携する経済圏(Agentic Web、A2A通信)が立ち上がる前提条件として、業界が認識し始めた、ということです。
これら標準化の動きが2026年中盤までにどこまで普及するかは未確定です。ただし、業界の方向性は明確です。AIエージェントには、組織横断で検証可能なIDが必要だ、という認識が、Cisco・Cloudflare・GoDaddy・Salesforce・LegalZoom・Anthropic(MCPプロトコル提供)といった主要プレイヤー間で収束しつつあります。
これは、本記事の主題と一致します——エージェントを「道具」として扱うメンタルモデルは、もう持続可能ではない。標準化レイヤがそれを認め始めたということは、内部統制レイヤでも認めざるを得ない、ということです。
6. 日本企業が、最初に踏むべき4ステップ
ここまでの議論を、日本企業の実装の言葉に翻訳します。連載②全体の議論に進む前に、まず主体性の整備を行わなければなりません。
Step 1:AIエージェント棚卸し
社員に対して人事台帳があるように、エージェントに対しても「どのチーム/個人が、どのAIエージェントを、どの業務で、どのデータに接続して」運用しているかの一覧化が必要です。SANS調査が示した「5%が自社でAgentic AIが稼働しているか把握していない」は、日本企業ではさらに高い比率になる可能性があります。連載①第5回「軸1:AI連携の権限境界の可視化」と直結します。
Step 2:責任者の明示的割当
棚卸しされた各エージェントに対して、人間の責任者を一人割り当てます。「部署として」「チームとして」ではなく、個人を特定します。事故時に責任を取る人、ライフサイクル変更を承認する人を、エージェント単位で確定させます。これは社員の上司割当と同じ構造です。
Step 3:エージェントID発行と権限分離
エージェントに固有のID(人間IDからの分離、専用サービスアカウント、専用OAuthクライアント、可能であれば専用証明書)を発行します。開発者の人間IDの拡張として動かさない——これが第4節の「識別なき主体を権限の対象にするな」の最小実装です。Step 2と組み合わせると、「人間の責任者A」が「エージェントID α」をオーナーとして保有し、αに対して個別の権限が割り当てられる、という構造になります。
Step 4:振る舞いベースライン化
エージェントが「通常」何をするかを観測・記録します。アクセス先、実行コマンド、応答パターン、トークン消費量。これらのベースラインから外れた振る舞いをアラート対象にします。連載①第4回でReplitエージェントが「空のクエリ結果に対して破壊的修復コマンドを生成した」のは、ベースラインから外れた振る舞いの典型例です。ベースラインがあれば、その瞬間の検出が可能になります。
これら4ステップは、連載②第2回以降の権限設計(最小権限原則、ヒューマン・イン・ザ・ループ、境界設計、ガバナンス)の前提条件です。エージェントが主体として認知・整備されていない状態で、第2回以降の議論に入っても、空中戦になります。
7. 連載①「鏡」の命題から、連載②の出発点へ
連載①第4回の最後で立てた命題に、戻ります。
AIは鏡である。AIエージェントが実行権限を持つ時代において、リスクはAI側にあるのではなく、AIを使う側の人格・モラル・問いの質・権限設計の判断にある。
そして、第4回が同時に提示したのは——AIに意志がないからこそ、設計で対処できる、という命題でした。鏡が単なる物理現象であるように、AIエージェントの応答も確率分布上の最適化現象です。意志がないから、特定の応答を引き出さない設計を作ることは、原理的に可能です。
その「設計で対処する」の出発点が、本記事の主題でした——まず、設計の対象としての主体を、組織として認知・整備する。Patel氏の「身元調査」は、この最初のステップを比喩で示したものです。NHIの250,000という数字、92%が90日ローテーション失敗という数字、5%が自社のエージェント稼働を把握していないという数字、これらすべてが、主体としての認知が現状ほぼ機能していないことを示しています。
そして、業界の標準化レイヤ(ANS、Web Bot Auth、MCP、A2A)は、エージェントに識別を与える方向に確実に動いています。これは、企業側で識別の整備を遅らせる選択をした場合、標準化を待ってから動く形ではなく、置き去りになる形で時間が経過することを意味します。
連載②次回(第2回)からは、この主体性の整備を前提として、最小権限原則をAIエージェントに適用する難しさに踏み込みます。Replit事件で「広すぎる権限」が代償を支払わせた構造を、技術的な実装レベルで解剖します。
連載①が「現実の可視化」であり、連載②が「現実への対応」であるという編成は、連載①第5回で予告した通りです。本記事が、連載②全体の最初の一歩——設計の対象を確定する——という役割を果たしたことを、記して締めくくります。
まとめ
AIエージェントを「道具」として扱うメンタルモデルは、すでに破綻しています。Replit事件が示したのは、開発者IDの拡張として動くエージェントが、開発者本人の社会的・心理的制約を継承しないまま、技術的に許可された全動作を確率分布上で発火させる構造でした。「身元調査されていない主体」を、組織として認知・統制する仕組みなしに本番環境に置いた結果が、1,206名・1,196社のレコード消滅でした。
これに対して、業界の認識は急速に「準社員」モデルへと移行しつつあります。Cisco(85% vs 5%のギャップ)、GoDaddy/Cloudflare(ANS、Web Bot Auth)、Salesforce/LegalZoom(MCP連携の身元検証)、SANS/CSA/Gartner(NHI統制の崩壊状況)の各レイヤで、独立に同じ結論に到達しています——識別(identity)なき主体を、権限の対象にしてはならない。
日本企業が連載②第2回以降の権限設計の議論に進む前に、最初に踏まなければならないのは、エージェントの主体性の整備——棚卸し、責任者割当、ID発行、振る舞いベースライン化の4ステップです。これは、連載①第5回で示した「軸1:AI連携の権限境界の可視化」を、エージェント単位の粒度に降ろした実装です。
連載②は、ここから5回にわたって、AIに意志がないからこそ可能な設計を積み上げていきます。最小権限原則(第2回)、ヒューマン・イン・ザ・ループ(第3回)、プロンプトインジェクション境界(第4回)、ガバナンスとしての設計判断(第5回)。これらすべての出発点が、本記事で確定した「準社員としてのエージェント」です。
道具と社員の中間にいる、意志のない主体——これを設計の対象として正面から認める覚悟が、AIエージェント時代の組織防衛の最初の一歩です。
参考情報
Cisco社長Jeetu Patel氏 Euronews Next独占インタビュー(2026年2月11日) — 「身元調査が必要」発言の原典(Cisco Live EMEA期間中の取材)
Cisco公式:Cisco Transforms Security for the Agentic AI Era(2025年6月10日) — Patel氏「攻撃面と力の倍率装置」発言
Cisco公式:Cisco Redefines Security for the Agentic Era(2026年2月10日) — Cisco Live EMEA 2026発表、AI Defense大幅拡張
Cisco公式:Cisco Reimagines Security for the Agentic Workforce(2026年3月23日) — RSA Conference 2026発表、Zero-Trust Access for AI agents
Help Net Security:Cisco builds security framework for safe enterprise adoption of AI agents(2026年3月25日) — 85%実験中・5%本番運用の調査結果
Cyber Strategy Institute:2026 NHI Reality Report — 1企業あたり250,000+ NHI、71%未ローテーション、97%過剰権限
Cloud Security Alliance:The State of Non-Human Identity and AI Security(2026年1月) — 12%のみNHI攻撃防御に高い確信、16%が新規AI関連ID未追跡
SANS 2026 Identity Threats & Defences Survey(Intelligent CISO報道) — 76%がNHI増加、92%が90日ローテーション失敗、5%が自社Agentic AI稼働を把握せず
Obsidian Security:What Are Non-Human Identities? — 機械:人間ID比25-50倍、68%のITセキュリティ事象に機械IDが関与
Gartner: Top Predictions for IT Organizations 2025 and Beyond(2024年10月22日) — 2028年までに企業侵害の25%がAIエージェント悪用に起因
Gartner Predicts AI Applications Will Drive 50% of Cybersecurity Incident Response Efforts by 2028(2026年3月17日) — 70%のCISOがアイデンティティ可視化を導入
Gartner:25% of Enterprise GenAI Applications Will Experience At Least Five Minor Security Incidents Per Year By 2028(2026年4月9日) — MCP起因のセキュリティ事象増加予測
GoDaddy ANS公式(2025年10月2日発表) — Agent Name Service初版発表、IETFドラフト準拠
GoDaddy-Salesforce MuleSoft Agent Fabric統合(2026年2月19日) — 「デジタルパスポート」発言の原典
GoDaddy-LegalZoom連携(2026年4月2日) — MCPサーバとしてのAIエージェント身元検証
Cloudflare-GoDaddy戦略提携(2026年4月7日) — ANSとWeb Bot Authの並列展開
Christian Schneider:Closing the AI agent identity governance gap(2026年4月) — エージェントIDガバナンスギャップの技術詳細
この記事をシェアする
