Microsoft Entra で高リスクの AI エージェントをブロックする方法

ブログ,電子メール・セキュリティ

組み込みのユーザー設定と条件付きアクセスポリシーを使用して、Microsoft Entra でリスクの高い AI エージェントを制限する方法について学びます。

byアホナ・ルドラ

最終更新日:
5 読了時間:5分
Microsoft Entra で高リスクの AI エージェントをブロックする方法

主なポイント

  • Microsoft Entraは、高リスクと判定されたAIエージェントがリソースにアクセスする前に、自動的にブロックすることができます。
  • エージェントIDを対象とした条件付きアクセスポリシーは、認証レイヤーでの適用を可能にし、リスクの高いエージェントがトークンを取得するのを防ぎます。
  • まずポリシーを「レポートのみ」モードで実行することで、誤検知を特定し、正当なAI駆動型ワークフローへの支障を避けることができます。
  • エージェントのリスク評価は、Microsoft Entra ID Protection によって行われます。この機能はエージェントの身元を継続的に評価し、リスクレベルが上昇した際に即座に措置を講じることができます。
  • この保護措置はエージェントのIDにのみ適用されます。代理権限(OBO)を通じて動作するエージェントについては、ユーザーごとに個別の条件付きアクセス制御が必要です。

自律型AIエージェントは、Microsoft Entraテナント内でユーザーとは独立した独自のIDで認証を行います。そのため、セキュリティ侵害を受けたり不正な動作をしたりしたエージェントは、実質的に有効な認証情報を保持し、機械並みの速度で動作する攻撃者と同等となります。

Microsoft Entra ID Protection は、ユーザーと同様にエージェントの ID についてもリスク評価を行い、高リスクのエージェントがリソースに到達する前に、認証レイヤーでブロックすることができます。

このブログでは、高リスクなエージェントが Microsoft Entra にアクセスするのをブロックするのに役立つ、適切なAI エージェントのセキュリティポリシーを設定する方法について、順を追って解説します。

条件付きアクセスポリシーで高リスクのエージェントをブロックする

これが適切な技術的なブロックです。条件付きアクセスポリシーは、UIだけでなく認証レイヤーでのアクセス制御を目的としています。

注:代理エージェントはこのポリシーの対象外です。ユーザーがエージェントにサインインした場合、そのエージェントはユーザーから委任された権限を使用してリソースにアクセスできます。このフローでは、条件付きアクセスポリシーの適用対象はエージェントの識別情報ではなくユーザーであるため、エージェントのリスクは発動しません。

ステップ

1.グローバル管理者としてentra.microsoft.comにサインインします

2. 「Entra ID」>「条件付きアクセス」>「ポリシー」に移動します

3. [新しいポリシー] をクリックします

4. ポリシーの名前を指定します(例:CA-Block-Entra-Admin-Center-Non-Admins)

5.「ユーザーとエージェント」の下をクリックします。「このポリシーはどの対象に適用されますか?」の下で、「エージェント」を選択します

  • 含める:すべてのエージェントID

6. [対象リソース] で、[リソース(旧クラウドアプリ)] を選択します

7.[含める] > [すべてのリソース](旧称「すべてのクラウドアプリ」)を選択します。

8. 「条件」の下をクリックします。

9. 「エージェントのリスク(プレビュー)」の下をクリックし、「設定」>「はい」>「高」の順に選択します

10. 「完了」をクリックします

11. [権限] で、[アクセスをブロック] を選択します

12. 「ポリシーを有効にする」を「オン」に設定します(初期テストの場合は「レポートのみ」を選択してください)。

13. [作成] をクリックします。

ベストプラクティス:ポリシーの適用

ポリシーを「オン」に切り替える前に、少なくとも1週間は「レポートのみ」モードで実行してください。その期間中は、「Entra ID」>「モニタリング」>「サインインログ」を確認し、エージェントIDでフィルタリングして、どのようなアクセスがブロックされていたかを確認してください。

特に、警告対象となっている正当なエージェントに注目してください。これらは誤検知に該当するため、ポリシーの適用が始まる前に解決しておく必要があります。ポリシーが正しい対象を捕捉しており、実際のワークフローに支障をきたさないことを確認してから、初めて「オン」に切り替えてください。

なぜこれが重要なのか

AIエージェントが企業システムへのアクセス権を取得すると、それらは事実上、テナント内の「非人間」のアイデンティティとなります。侵害されたエージェントは、有効な認証情報を利用してリソースにアクセスし、アクションを自動化し、人間が想像もつかないほどの速さでリスクを拡大させる可能性があります。高リスクなエージェントへのアクセスを制限することは、いくつかの理由から重要な防御策となります:

  • 脅威がデータに到達する前に阻止します。認証レイヤーで強制措置が講じられるため、フラグが立てられたエージェントはそもそもトークンを取得できず、リソースにアクセスされた後に後始末をする必要もありません。
  • これは自動的かつ即座に行われます。ブロック機能は「Identity Protection」のリスクシグナルに基づいて動作するため、エージェントのリスクスコアが「高」と判定された瞬間――侵害されたと確認した場合も含め――人間の介入なしに即座に実行されます。
  • 手動での審査では対応しきれない規模にも対応可能です。エージェントは誰かがその一覧を作成するよりも速いペースで出現しますリスクの高いエージェントをブロックすることで、各エージェントを手作業で審査する代わりに、リスクエンジンが優先順位付けを行うことができます。
  • その仕組みは的確です。的確にターゲットを絞ったポリシーは、リスクの高いエージェントのみをブロックし、ユーザーや健全なエージェントには影響を与えません。これにより、生産性を損なうことなく強力な保護を実現します。

よくあるご質問

「エージェントリスク」とは何を指し、どのように評価されるのでしょうか?

エージェントのリスクは、Microsoft Entra ID Protection によって特定されます。この機能は、リスクのあるユーザーやサインインを評価するのと同じ方法で、エージェントの身元を評価します。 Entra 管理センターの「リスクのあるエージェント」レポートで、フラグが立てられたエージェントを確認できます。リスクの検出情報は最大 90 日間表示され、エージェントの表示名、リスク状態、リスクレベル、タイプ、およびスポンサーの詳細を確認できます。また、エージェントが侵害されていることを確認した場合、そのエージェントを手動で「高リスク」に設定することも可能です。

正当なエージェントが「高リスク」と判定された場合、どうなるのでしょうか?

他の高リスクエージェントと同様に、このエージェントもトークンのリクエストがブロックされてしまいますが、これは誤検知であり、実際のワークフローに支障をきたす可能性があります。そのため、まずは「レポートのみ」モードでポリシーを実行することをお勧めします。つまり、ポリシーを適用する前に、少なくとも1週間は「レポートのみ」モードで有効にし、サインインログを確認して、どのようなケースが検知されるかを確認してください。

このポリシーは、ユーザーに代わって業務を行う代理店にも適用されますか?

いいえ。「代理(OBO)」フローでは、ユーザーがエージェント アプリケーションにサインインし、エージェントはユーザーから委任された権限を使用してリソースにアクセスします。このフローにおける条件付きアクセスの対象はエージェントの ID ではなくユーザーであるため、エージェントのリスク評価は行われず、このポリシーは適用されません。OBO エージェントがアクセスできるリソースを制御するには、関連するリソースを対象範囲とする、ユーザー向けの条件付きアクセス ポリシーが必要です。

CTA

最新記事 by Ahona Rudra(全て見る)
最終更新日:
カスタマーサポートのメールセキュリティ:偽の返信やアカウント乗っ取りを防ぐ方法……カスタマーサポートのメールセキュリティ――偽の返信、アカウント乗っ取り、情報漏洩を防ぐ方法