「誰が動いているのか」——エージェンティック時代のアイデンティティ危機
2026年3月現在、世界のテクノロジー産業は根本的な転換点にある。大規模言語モデル(LLM)は「人間の質問に答える」段階を超え、自律的に判断し、外部システムを操作し、他のエージェントと交渉する「行動するAI」へと進化した。OpenAIの「Operator」、AnthropicのClaude「computer use」、GoogleのProject Mariner、MicrosoftのCopilot Agents——これらはいずれも、AIが人間の代理としてウェブを操作し、業務を遂行する世界の到来を告げている。
この進化がもたらす最大の未解決問題は、驚くほどシンプルだ。「そのエージェントは、誰なのか?」
伝統的なサイバーセキュリティとアイデンティティ管理は、「操作主体は人間である」という暗黙の前提のうえに構築されてきた。OAuth、SAML、OpenID Connectといった認証プロトコルは、ブラウザの前に座る人間がユーザー名とパスワードを入力し、多要素認証を完了するフローを想定している。しかしAIエージェントは、ブラウザを自動操作し、APIを並列に呼び出し、他のエージェントにタスクを委任する。PwC Japanが指摘するように、AIエージェントは「誰が行動しているのか」「誰の意思で実行されたのか」というアイデンティティ管理の根本前提を揺るがす存在だ。
企業環境における非人間アイデンティティ(サービスアカウント、APIキー、ボット、自動化スクリプト)の数は、すでに人間従業員を50:1から96:1の比率で上回っている。a16z cryptoのSean Neville氏(Circle共同創業者、Catena Labs CEO)は2026年1月のレポートで、これらの非人間アイデンティティを「銀行口座を持たない幽霊(unbanked ghosts)」と表現し、「人間がローンを得るために信用スコアを必要とするように、エージェントは取引のために暗号署名された資格証明を必要とするようになる」と断言した。
Strata Identityの調査は、この危機の深刻さを数字で裏付けている。企業の80%がAIエージェントの予期しない行動を報告しているにもかかわらず、AIエージェントを独立したアイデンティティベアリングエンティティとして扱っている組織はわずか22%にすぎない。残りの78%は、エージェントを既存のサービスアカウントや共有APIキーで認証しており、これは監査証跡の欠如、権限の過剰付与、責任の不在を意味する。
KYa——金融規制の思想をAIエージェントに適用する
KYa(Know Your Agent)は、金融業界で数十年にわたり実践されてきたKYC(Know Your Customer)の思想をAIエージェントの領域に拡張する概念だ。KYCが顧客の身元を政府発行の身分証明書と生体認証で確認するのに対し、KYaはAIエージェントの身元を暗号的資格証明、コード証明(attestation)、そして「プリンシパル(委任者)」である人間や組織との紐づけによって確認する。
Sumsub(グローバル認証プラットフォーム企業)は2026年1月29日、KYaの正式な定義を発表した。それによれば、KYaとは「AIエージェントのアイデンティティを確立し、それを責任主体(人間または組織)に紐づけ、すべての自律的行動にわたってポリシー、監督、監査可能性を強制する、リスクベースのアプローチ」である。
SumsubのCTO Vyacheslav Zholudev氏は「AIエージェントはデジタルオペレーションの背骨(backbone)に急速になりつつあるが、今日のシステムの大半はいまだにエージェントを不透明で説明責任のないブラックボックスとして扱っている」と警鐘を鳴らした。同社は「エージェント・トゥ・ヒューマン・バインディング」——すなわちAIエージェントを検証済みの人間アイデンティティに紐づける仕組み——を発表し、金融取引におけるエージェントの行動を人間の責任に帰属させるフレームワークを提示した。
KYCとKYaの対比は、以下の表に整理できる。
| 次元 | KYC(顧客確認) | KYa(エージェント確認) |
|------|----------------|----------------------|
| 対象 | 人間の顧客 | AIエージェント |
| 身元証明 | 政府ID、生体認証 | 暗号的資格証明、コード証明 |
| 説明責任 | 個人/法人 | プリンシパル(委任者)への紐づけ |
| 検証頻度 | 一度きり+定期更新 | 継続的・リアルタイム行動監視 |
| 対象範囲 | 金融取引 | すべての自律的行動 |
| スケール | 数十億人の人間 | 人間の50〜96倍の非人間ID |
この概念は抽象的な理論にとどまらない。Gartnerは「2028年までに企業におけるセキュリティ侵害の25%がAIエージェントの悪用に起因する」と予測しており、KYaの不在は単なるコンプライアンスリスクではなく、実存的なセキュリティ脅威となる。
業界標準の群雄割拠——A2A、MCP、AAIF、そしてIETF
エージェントのアイデンティティと相互運用性をめぐる標準化競争は、2025年後半から一気に加速した。現在、複数のプロトコルとイニシアティブが並走しており、その全体像を俯瞰することが、この領域への投資判断の鍵となる。
Google Agent-to-Agent Protocol(A2A) は2025年4月に発表され、50社以上のテクノロジーパートナーの支持を得た。HTTP、SSE(Server-Sent Events)、JSON-RPCという既存のウェブ標準をベースに、エージェント間の能力発見(Agent Card)、タスク委任、認証をフレームワーク化している。セキュリティ面では、JWT(JSON Web Token)とOIDC(OpenID Connect)を組み込んだ認証機構を標準装備し、エージェントが内部メモリ、ツール、プロプライエタリなロジックを共有することなく相互作用できるプライバシー設計がなされている。
Anthropic Model Context Protocol(MCP) は2024年11月に発表され、2025年6月と11月に大規模な仕様改定が行われた。MCPサーバーをOAuth 2.0のリソースサーバーとして位置づけ、OAuth 2.1準拠の認証フローを採用している。RFC 8707に基づくリソースパラメータバインディング、PKCE(Proof Key for Code Exchange)、リダイレクトURI検証といったセキュリティ機構が組み込まれているが、2025年にはMCP Inspectorにブラウザベースのリモートコード実行脆弱性(CVE-2025-49596)が発見されるなど、実装レベルのセキュリティは依然として発展途上にある。
2025年12月9日、これらのプロトコルの相互運用性を推進する統合組織として、Linux Foundation傘下にAgentic AI Foundation(AAIF)が設立された。創設プロジェクトとして、AnthropicのMCP、BlockのGoose、OpenAIのAGENTS.mdが移管された。プラチナメンバーにはAWS、Anthropic、Block、Bloomberg、Cloudflare、Google、Microsoft、OpenAIが名を連ね、ゴールドメンバー36社以上にはCisco、Datadog、Docker、IBM、JetBrains、Okta、Oracle、Salesforce、SAP、Shopify、Snowflake、JPMorgan Chase、American Expressなどが含まれる。シルバーメンバーを含む参加組織は146を超え、その後さらに97組織が加わった。TechCrunchは「OpenAI、Anthropic、Blockがエージェント時代の標準化に向けたLinux Foundationの取り組みに参画」と報じ、この動きがAI業界の分断を回避する重要なシグナルであると位置づけた。
IETFでも、エージェント認証に特化した複数のドラフトが提出されている。最も注目すべきはAAuth(Agentic Authorization)(draft-rosenberg-oauth-aauth-00)で、OAuth 2.1を拡張し、AIエージェントがアクセストークンを取得するためのプロトコルを定義している。このドラフトは、LLMの「ハルシネーション」に起因する偽装攻撃(impersonation attack)と、過剰な権限を持つ「神のようなトークン(god-like token)」のアンチパターンを明示的に脅威モデルに組み込んでいる点が画期的だ。
さらに、OWASPのメンバーらが提唱したAgent Name Service(ANS)は、DNSにインスパイアされたエージェント発見メカニズムであり、PKI証明書による検証可能なアイデンティティを提供する。GoDaddyはすでにANSレジストリの構築に着手しており、エージェンティックAIマーケットプレイスにおけるDNS的なインフラ提供を目指している。
NISTの始動——連邦標準がKYaの制度化を加速する
2026年2月17日、米国商務省標準技術研究所(NIST)はAIエージェント標準化イニシアティブを正式に発足させた。NIST内のCenter for AI Standards and Innovation(CAISI)が主導するこのイニシアティブは、三つの柱で構成される。第一に産業界主導のエージェント標準策定、第二にコミュニティ主導のオープンソースプロトコル開発、第三にAIエージェントセキュリティとアイデンティティの研究だ。
同時に発表されたNational Cybersecurity Center of Excellence(NCCoE)のコンセプトペーパー「Accelerating the Adoption of Software and AI Agent Identity and Authorization」は、OAuth、OpenID Connect、SCIM(System for Cross-domain Identity Management)、SPIFFE/SPIRE(Secure Production Identity Framework for Everyone)、NGAC(Next-Generation Access Control)といった既存のアイデンティティ標準をAIエージェントの文脈に適応させるための技術的指針を示している。
AIエージェントセキュリティに関するRFI(情報提供依頼)の公開コメント期限は2026年3月9日に設定され、コンセプトペーパーへの応答期限は4月2日だ。4月からはリスニングセッションが開始される。NISTの動きは、KYaが「業界のベストプラクティス」から「連邦標準」へと格上げされる分水嶺となる可能性が高い。
OpenID FoundationとStanford——学術界が描くエージェントアイデンティティの理論的基盤
2025年10月、OpenID Foundationは画期的なホワイトペーパー「Identity Management for Agentic AI」を発表した。スタンフォード大学のLoyal Agents Initiativeおよびai Identity Management Community Groupとの協働で執筆されたこのペーパーは、現行の認証プロトコルがエージェント時代にいかに不適合であるかを体系的に分析している。
核心的な発見は二つある。第一に、OAuthとOIDCは個別のユーザー認証を想定して設計されており、グループコンテキストにおける共有エージェントをサポートする一般的なプロトコルが存在しないこと。第二に、ブラウザやコンピュータを直接操作するエージェントは、従来のAPIベースの認可メカニズムをすべてバイパスしてしまうことだ。後者は特に深刻で、AnthropicのClaude computer useやOpenAIのOperatorのように、ブラウザ上でマウスとキーボードを直接操作するエージェントに対しては、既存のOAuth/SAMLフローは事実上無力である。
学術界からは、分散型アイデンティティ(DID: Decentralized Identifier)と検証可能な資格証明(VC: Verifiable Credential)を用いたゼロトラストアイデンティティフレームワークの提案(arXiv:2505.19301)や、エージェントの信頼性をクラウドネイティブ環境で確保するためのアーキテクチャ(arXiv:2512.05951)など、複数の重要な論文が発表されている。
これらの学術的基盤は、エージェント認証が既存のIAM(Identity and Access Management)の「拡張」では対応できず、根本的に新しいパラダイムが必要であることを示唆している。ISACAは「伝統的なIAMはエージェンティックAIに対して機能しない」と明言し、確定的なデジタル時代のために設計されたフレームワークが、非確定的なAIエージェントの行動には適合しないと結論づけた。
エージェントIDプラットフォーム——市場を形成するプレイヤーたち
KYa/エージェントID市場は、2025年後半から急速にプレイヤーが集結している。
Microsoft Entra Agent ID は2025年5月に発表され、Ignite 2025でパブリックプレビューが拡大された。Microsoft EntraのIDプラットフォームをAIエージェントにまで拡張し、エージェントを「ファーストクラスのアイデンティティベアリングエンティティ」として扱う。条件付きアクセス、ゼロトラスト原則、大規模なアイデンティティガバナンスをエージェントに適用できるようにする設計は、既存のAzure AD/Entra IDユーザーベースからの自然な拡張として採用が進みやすい。
CyberArk は2025年12月、AIエージェント専用のアイデンティティセキュリティソリューションをGA(一般提供)した。業界初を謳うこのソリューションは、エージェントの特権制御に特化している。CyberArk VP Shay Saffer氏は「AIエージェントのセキュリティは孤立して存在するものではない。アイデンティティ、アクセス、特権を基盤的な制御とするより広範なセキュリティプラットフォームの一部となる」と述べている。
Okta は2026年4月30日にGA予定の「Auth for GenAI / Okta for AI Agents」を発表した。セキュアなエージェンティックエンタープライズのための設計図(blueprint)を提供し、エージェントの認証・認可フローをOktaの既存プラットフォームに統合する。
Persona はFounders FundとRibbit Capitalが主導した2025年5月のシリーズDで2億ドルを調達し、評価額20億ドルに到達した。同社のアイデンティティ検証プラットフォームを「エージェンティックAI世界」に適応させることを明示的に戦略として掲げている。
Veza はNEA主導のシリーズDで1億800万ドルを調達した後、2025年にServiceNowに約10億ドルで買収された。ServiceNowは2025年だけでセキュリティ関連の買収に116億ドルを投じており、そのうちVezaの買収はエージェンティックAIのアイデンティティセキュリティを自社プラットフォームに組み込む戦略的動きとして位置づけられている。
Strata Identity はGartnerがサンプルベンダーとして認定した「エージェンティックアイデンティティ」の先駆企業であり、ARIA(Agent Relationship-based Identity & Authorization)——すべての委任をグラフ上の暗号的に検証可能な関係として記録するフレームワーク——を提唱している。
ブロックチェーン領域からも参入が続く。2026年1月29日にEthereumメインネットに展開されたERC-8004 は、Trustless Agents——オンチェーンレジストリによるアイデンティティ、レピュテーション、検証のフレームワーク——を定義するEthereum標準だ。t54 Labs はRipple、Franklin Templeton、Anagramの支援を受けた500万ドルのシードラウンドで、「エージェンティックファイナンスのためのトラストレイヤー」をXRPL、Solana、Baseの各チェーン上に構築している。
投資とガバナンスのギャップ——88%のインシデントと22%の備え
投資資金の流れは、この領域の緊急性を如実に物語る。AIセキュリティスタートアップのエコシステムは過去24か月で175社に85億ドルが投じられ、そのうちIAM(アイデンティティ・アクセス管理)領域だけで6社に9億9,000万ドルが集中している。AIエージェント市場全体は2025年の78億4,000万ドルから2030年の526億2,000万ドルへと、年平均成長率46.3%で拡大が予測されている。
しかし、投資と実態の間には深刻なギャップがある。組織の88%がAIエージェントに関するセキュリティインシデントの疑い、または確認を報告している一方で、エージェントを独立したアイデンティティベアリングエンティティとして扱っているのはわずか22%だ。さらに驚くべきことに、調査対象30のエージェントプロジェクトの93%(28プロジェクト)が環境変数のAPIキーのみに依存しており、45.6%がエージェント間認証に共有APIキーを使用している。
Lightspeed Venture Partnersが200人のCISO(年商5億ドル以上の企業)を対象に実施した調査は、AIとサイバーセキュリティの交差点が2026年のセキュリティ投資の最優先事項であることを確認している。同社のCyber60 2025-2026リストでは、BlinkOps(エージェンティックセキュリティ自動化)、ConductorOne(マルチエージェントアイデンティティセキュリティ)、Zafran(エージェンティック脆弱性修復)がハイライトされている。
Greylock Partnersもエージェンティックシステムに積極的で、Adept、Axiamatic、Netic AI(自律タスク完了)、Abnormal、Cogent、7AI(AI駆動の脅威検出)といったポートフォリオベットを展開している。
EU AI法——第50条がKYaを法的義務に変える
EU AI法は2024年から段階的に施行されており、禁止AIプラクティスは2025年2月2日、汎用AIモデル義務は2025年8月2日からすでに適用されている。そして2026年8月2日に全面適用される第50条(透明性義務)が、KYaを法的義務へと転換する決定的な条項となる。
第50条は以下を要求する。第一に、AIインタラクションの開示——ユーザーがAIと対話していることの明示。第二に、合成コンテンツのラベリング——AIが生成したコンテンツの識別。第三に、ディープフェイクの識別義務。そしてこれらの要求を充足するために、すべてのAIアクションは認証済みの権限を持つユーザーにIAM(アイデンティティ・アクセス管理)を通じて紐づけられなければならない。
さらに、組織はモデルの出力をソースマテリアル、モデルバージョン、適用ポリシーに紐づける署名付きログを維持することが求められる。これはエージェントの行動の完全なトレーサビリティを意味し、KYaフレームワークなしには達成が極めて困難な要件だ。
日本においても動きは始まっている。PwC Japanは「AIエージェント時代のアイデンティティ:『行動するAI』が生み出す新たなリスクと対応」を発表し、AIエージェントがアイデンティティ管理の前提を根本から覆すことを指摘した。情報処理推進機構(IPA)は2026年のセキュリティ・キャンプにAIレッドチーミングクラスを新設し、LLMおよびマルチエージェントシステムの脅威を教育カリキュラムに組み込んでいる。LAC(ラック)は、RSA Conference 2025のレポートで「AIエージェント時代の到来と対策」を主要テーマとして取り上げた。
RSA ConferenceとDavos——グローバルな議論の収斂
RSA Conference 2025(サンフランシスコ、2025年5月)は過去最大の約44,000人の参加者と650以上の出展者を集め、エージェンティックAI、ガバナンス、アイデンティティが支配的テーマとなった。そして2026年3月23日から26日に開催されるRSAC 2026でも、エージェンティックAIはプログラミングスポットライトの中核に据えられ、29のトラックと2つのキーノートステージで議論が展開される。
2026年1月のダボス会議(世界経済フォーラム)では、議論のトーンが大きく変化した。もはやAIエージェントの「可能性」ではなく、マルチエージェントシステムの「ランタイムガバナンス」が焦点となった。AI倫理プラットフォームのCredo AIはダボス2026で「信頼できるAIが成長エンジンとなる年」とメッセージを発信し、WEF(世界経済フォーラム)は二層ガバナンスモデル——共有されるグローバルな「憲法的コア」と、法管轄権ごとの「ローカルオーバーレイ」——を提案した。WEFの2025年報告書では、経営層の82%が1〜3年以内にエージェントを採用する計画であることが明らかになっている。
VC Cafeは2026年の予測として「2025年がチャットボットの年だったなら、2026年は『エージェント従業員』の年だ。勝つプロダクトはアイデンティティ、パーミッション、そしてアクションレイヤーを所有するものだ」と宣言している。
エージェンティックウェブの地政学——信頼のインフラを誰が握るか
エージェンティックウェブ——AIエージェントが人間の代理としてインターネットを自律的に巡回する未来のウェブ——の実現において、アイデンティティと信頼のインフラは、かつてのDNS、SSL証明書、ドメインレジストラに匹敵する基盤的な役割を果たす。
OWASPが提唱したAgent Name Service(ANS)は、まさにこの文脈において「エージェントのためのDNS」を構想している。エージェントを一意に識別し、PKI証明書で身元を検証し、能力と権限をディスカバリーできるグローバルなレジストリだ。GoDaddyがANSレジストリの構築に着手しているのは偶然ではない——ドメインレジストラとしてインターネットの信頼インフラを数十年運営してきたGoDaddyにとって、エージェントネームレジストリは自然な延長線上にある。
この「信頼のインフラ」を誰が握るかは、地政学的にも極めて重大な問いだ。AAIFにGoogleとMicrosoftが参画し、NISTが連邦標準化を推進し、EUがAI法で法的要件を課す。中国は独自のAIガバナンス枠組みを構築している。日本はRSA Conferenceの分析やIPAのセキュリティ教育を通じて、国際標準への適応を進めている。
エージェント認証の標準を策定する主体が、事実上、エージェンティック経済のルールを書くことになる。インターネットの初期にICANN、IETF、W3Cが果たした役割を、AAIFとNISTが担おうとしている。その帰結は、今後10年のテクノロジー産業の構造を決定づけるだろう。
業界への影響
KYa(Know Your Agent)の台頭は、テクノロジー産業に以下の構造的変化をもたらす。
第一に、エージェントアイデンティティが新たなプラットフォームレイヤーとなる。かつてクラウドコンピューティングがIaaS/PaaS/SaaSのレイヤーを生み出したように、エージェントのアイデンティティ、認証、認可は独立した市場カテゴリーを形成する。Gartnerの予測に基づけば、2028年までにエージェントを仲介するB2B取引が15兆ドルに達するなかで、そのすべてのトランザクションにKYaフレームワークが適用される。このインフラレイヤーの市場規模は、現在の240億ドルのIAM市場を大幅に超える拡大が見込まれる。
第二に、セキュリティベンダーの勢力図が塗り替えられる。CyberArkがエージェント特権制御で先行し、Oktaがエージェント認証をプラットフォームに統合し、Microsoftが Entra Agent IDでエコシステムを囲い込む。一方で、Persona、Sumsub、Strata Identity、t54 Labsのようなスタートアップが、大手がカバーしきれないニッチ(エージェント・トゥ・ヒューマン・バインディング、分散型アイデンティティ、ブロックチェーンベースの信頼)を攻略する。M&Aは活発化する——ServiceNowによるVezaの10億ドル買収は、その先駆けに過ぎない。
第三に、エンタープライズのセキュリティアーキテクチャが再設計を迫られる。エージェントを導入する企業は、「エージェント専用のアイデンティティライフサイクル管理」を既存のIAM体系に統合しなければならない。これはサービスアカウントの延長ではなく、条件付きアクセス、リアルタイム行動監視、暗号的監査証跡を含む新しいアーキテクチャだ。Gartnerが「2027年までにエージェンティックAIプロジェクトの40%以上がガバナンス不備のためにキャンセルされる」と予測するのは、このアーキテクチャ的課題の深刻さの裏返しだ。
第四に、規制環境がKYaの採用を強制する。EU AI法第50条の2026年8月全面適用は、欧州で事業を展開するすべての企業にエージェント行動のトレーサビリティを義務化する。NISTの標準化イニシアティブは、米国の連邦政府調達においてKYa準拠を事実上の要件とする可能性がある。規制の圧力は「やるべきか」ではなく「いつまでにやるか」の問題へと転換している。
第五に、新たな人材需要が爆発する。エージェント認証アーキテクト、エージェンティックセキュリティエンジニア、AIガバナンス専門家、暗号的アイデンティティの設計者——これらの役割は2025年時点でほぼ存在しなかったが、2027年までに最も需給が逼迫するサイバーセキュリティ職種となるだろう。
KYaは、AIエージェント経済のインフラ層をめぐるプラットフォーム戦争の号砲だ。金融業界がKYCを制度化するのに数十年を要したのに対し、a16zのNeville氏が指摘するように、AI業界にはKYaを構築するのに「数か月しかない」。この時間的圧力が、標準化競争、投資集中、そしてM&Aの加速を同時に引き起こしている。