ISPMでのAIエージェントの検出
Okta Identity Security Posture Management(ISPM)を使用して、Orgの管理対象アプリおよび非管理対象アプリ内のAIエージェント(シャドーAIエージェントを含む)を見つけます。エージェントの所有権、権限、影響を受ける可能性のあるリソースを評価することもできます。
AIエージェントは、OAuth付与や直接コネクター統合を通じて、ITの知識や承認なしでorg内の機密データにアクセスすることがよくあります。シャドーAIエージェントと呼ばれるこれらの管理対象外エージェントは、確立されたセキュリティガバナンスの外部で動作します。検知や管理を行わないままにしておくと、orgのセキュリティポスチャが脆弱になって脅威アクターが悪用する脆弱性になり、監査やコンプライアンスの問題が発生する可能性があります。
たとえば、ユーザーはOAuth付与や、ITの承認や可視性なしで統合内にエージェントを構築することで、orgのSalesforceデータへのフルアクセスをAIの生産性ツールに付与する可能性があります。ISPMはこの接続を検出してレビュー用に表示し、すぐに対応できるようにします。
ISPMは、管理対象アプリと管理対象外アプリ全体でシャドーAIエージェントを検出するのに役立ちます。
管理対象アプリ内のAIエージェントの検出
コネクターをISPMと統合し、必要な権限を付与すると、Oktaは接続ソースからAIエージェントに関するメタデータを自動的に収集して分析します。検出されたエージェントとその詳細は、ISPMコンソールの[Discovered agentsDiscovered agents(検出されたエージェント)]ページで確認できます。
-
エージェント所有者
-
管理対象アプリの動作ステータス
-
エージェントに付与された権限
各プラットフォームを個別に確認することなく、エージェントビルダープラットフォームに基づいてエージェントを表示することもできます。これにより、リスクを事前に特定して緩和できます (現在、ISPMはSalesforce Agentforceを使用して構築されたAIエージェントを検出できます)。
エージェントは、アプリのアクセスごとにフィルタリングできます。これにより、重要なリソースにアクセスできるエージェントを確認し、エージェントの詳細をドリルダウンして、他のアプリに対するエージェントの権限を表示できます。orgでのエージェントの動作を引き続き許可する必要がある場合は、[Discovered agents(エージェントを検出)]ページから、直接Oktaに登録できます。
SAMプラグインを使用したシャドーAdobe AIエージェントを検出する
管理対象ブラウザーでOkta Secure Access Monitor(SAM)プラグインを構成すると、ユーザーがアプリに付与するOAuthトークンがリアルタイムでキャプチャされます。Oktaはこれらのシグナルを分析し、AI関連の付与にタグを付け、ISPMコンソールの[Browser OAuth grants(ブラウザーOAuth付与)]ページに表示します。
このページでは、管理対象外アプリ内のシャドーAIエージェントを特定し、Oktaで管理対象IDとして登録できます。重要なリソースアプリに昇格された特権を付与するスコープを検出できます。未承認のSaaSアプリを表示することもでき、規制およびデータレジデンシーリスクを緩和できます。クライアントアプリ、リソースアプリ、またはスコープごとに付与をフィルタリングして調査し、アクセスを取り消すか、エージェントを直接登録します。
一般的なAIツールであるクライアントアプリにOAuth付与をフィルタリングして、リソースに提供されるアクセススコープを表示できます。
[AI Agent OAuth Grant with Privileged Scopes(特権スコープを持つAIエージェントOAuth付与)]の問題検出は、リスクのあるスコープを持つOAuth付与を追跡し、関連するコンテキストデータを提供するのに役立ちます。Oktaは、リソースアプリへの過剰な権限があるアクセスを提供するスコープに焦点を当てて、リソースアプリによってリスクのあるスコープを判断します。
リスクのあるスコープ、ブラウザーユーザー、アプリ間のOAuth付与関係などのコンテキスト情報を使用して、付与および付与がorgのセキュリティポスチャに与えるリスクを評価できます。