生成AIの業務利用が進むにつれ、「AIエージェントに何をどこまで許可するか」は新たなアイデンティティ課題として浮上しています。従来はOAuth 2.0やOIDCを中心に、アプリ単位でトークンを発行し権限を委任する設計が一般的でした。しかし、AIエージェントが複数アプリを横断してデータを集約・操作するようになると、アプリ単位の境界を前提としたアクセス制御は限界に直面します。こうした背景のもと注目されるのが、Oktaが提唱する「Cross App Access(クロスアプリアクセス)」です。本稿では、OAuthの構造的な課題とAI時代のリスク、そしてCross App Accessが目指すセキュアな設計思想を整理します。
AIエージェントが変えるアクセス要求の質
AIエージェントは、ユーザーの指示を受けて「複数のSaaSや社内システムをまたぎ」、検索・要約・作成・申請・更新といった連続的なタスクを自動化します。ここで重要なのは、従来の自動化(RPAなど)と比べて、エージェントが扱う情報の範囲が広く、判断が動的で、操作が連鎖しやすい点です。
たとえば、メールから依頼内容を読み取り、CRMの顧客情報を参照し、社内ナレッジを検索し、チケットを起票し、最後に見積書を作成して送付する——このような一連の流れは便利な反面、どこか1点で過剰権限やトークン漏えいが起きると、被害がアプリ横断で拡大します。
OAuthの限界が露呈するポイント
OAuthは本来、ユーザーがあるアプリに対し「別のリソースへの限定的なアクセス」を委任するためのフレームワークです。広く普及している一方で、AIエージェントのように横断的かつ継続的に動く主体に適用すると、次のような課題が目立ちます。
スコープ設計が現実の業務粒度に合いにくい
OAuthの権限制御はスコープで表現されますが、スコープは「API単位」「サービス単位」になりがちで、実務で求められる「このプロジェクトのこのフォルダだけ」「この顧客のこの項目だけ」といった細かな制約を統一的に表現するのが難しいケースがあります。その結果、運用上は広めのスコープ付与に寄り、過剰権限が常態化しやすくなります。
アプリ間の“意図”が引き継がれない
AIエージェントがAアプリで得た情報をBアプリに持ち込む場合、「なぜその情報にアクセスできたのか」「どのユーザーのどの目的で許可されたのか」といった意図(コンテキスト)をアプリ横断で保証するのは容易ではありません。トークンが有効であることと、処理目的が適切であることは別問題であり、ここにギャップが生まれます。
トークンの拡散と再利用リスク
AIエージェントは複数のコネクタやプラグイン、実行環境(クラウド関数、ワーカー、外部ツール)を介して動きます。この分散構造は、トークンが保存・転送・キャッシュされる箇所を増やし、漏えい時の影響範囲を拡大させます。加えて、権限委任の妥当性チェックがアプリごとに分断されると、侵害検知やインシデント対応も難しくなります。
想定すべきセキュリティリスク
AIエージェント活用においては、単なる認証突破だけでなく「正規の権限を悪用した攻撃」が増えます。代表例は以下です。
過剰権限による情報横断流出:広いスコープが付与されたエージェントが、機密情報を複数システムから収集し外部へ送信する。
プロンプトインジェクション起点の不正操作:メールやドキュメントに埋め込まれた指示により、エージェントが意図せずデータ取得・共有・削除を実行する。
サプライチェーン(プラグイン/コネクタ)経由の侵害:外部ツールが侵害され、取得済みトークンや実行権限が悪用される。
監査不能な自動化:誰が、どの目的で、どのデータにアクセスしたかがアプリ横断で追跡できず、説明責任が果たせない。
Cross App Accessが目指すアプローチ
Oktaが示す「Cross App Access」は、アプリごとに分断された委任モデルを前提にするのではなく、組織全体として「アプリ横断のアクセスをどう安全に成立させるか」を設計の中心に据えます。ポイントは、単に認証・認可を通すのではなく、横断アクセスに必要な統一的なポリシーとコンテキストを維持しながら許可判断を行うことです。
アプリ横断のポリシー適用
部門・役職・データ分類・端末信頼性・実行環境など、現実のリスク要因を踏まえたポリシーを、個々のアプリの実装差に依存せず適用できる設計が重要になります。これにより「Aでは許されるがBでは管理不能」といったばらつきを減らし、横断操作に対する統制を強化できます。
最小権限と条件付き許可の実現
AIエージェントには、恒常的な広い権限ではなく、「そのタスクに必要な期間・範囲だけ」許可するのが理想です。Cross App Accessの考え方は、継続的な評価(コンテキストに応じた許可の見直し)や、目的・状況に沿った条件付きアクセスを組み合わせ、最小権限を運用可能な形に近づけます。
監査性と可視化の強化
AIエージェントの業務利用が本格化すると、内部統制や規制対応の観点からも、アプリ横断で「誰の代理として、何を、なぜ行ったか」を追えることが欠かせません。横断アクセスの設計段階で監査ログやイベントの整合性を担保できれば、インシデント時の調査・封じ込めも現実的になります。
導入を検討する企業が押さえるべき実務ポイント
Cross App Accessのようなアプローチを活かすには、製品機能だけでなく、運用設計をセットで整える必要があります。
AIエージェントの“主体”を定義する
エージェントをユーザーの代理として扱うのか、サービスアカウントとして扱うのか、あるいはハイブリッドか。主体が曖昧だと責任境界も曖昧になり、監査と制御が破綻します。まずはエージェントの実行単位と権限モデルを明文化することが出発点です。
データ分類と持ち出しルールをアプリ横断で揃える
AIエージェントは「集めて、まとめて、別の場所へ渡す」ことが得意です。ゆえに、機密区分ごとの取り扱い(閲覧のみ、編集可、外部送信禁止など)を横断で統一し、例外を最小化することが、漏えい対策として効果的です。
人の承認や段階的なガードレールを組み込む
高リスク操作(大量ダウンロード、共有範囲の変更、支払い・送金、権限付与など)は、エージェント単独で完結させず、人の承認や追加認証、操作前後のチェックを要求する設計が現実的です。自動化の利便性とリスクの釣り合いを取ることが重要です。
まとめ:AI時代は「アプリ単位の認可」から「横断の統制」へ
OAuthは今後も重要な基盤であり続けますが、AIエージェントが業務の中核に入り、複数アプリを横断して作業する時代には、アプリ単体で完結する委任モデルだけではリスクを抑えきれません。Oktaが打ち出すCross App Accessは、横断アクセスに不可欠なポリシー統合、コンテキスト維持、最小権限、監査性を重視し、AI活用の安全性とスケーラビリティを両立させる方向性を示しています。
企業がAIエージェントを「便利なツール」から「業務を動かす主体」へ格上げするほど、アクセス制御はアイデンティティ中心に再設計されます。今後の競争力は、AIの性能だけでなく、横断アクセスを安全に運用できる統制設計にかかっていると言えるでしょう。
参照: Okta Blog 第17回 OAuth の限界とセキュリティリスクを克服、Okta「Cross App Access」が実現する安全な AI エージェント活用