ゼロトラストは、いまや多くの企業で当たり前に使われる言葉になりました。ただ現場では、まだ「VPNの代替」や「認証を厳しくする施策」として理解されることも少なくありません。もちろんそれも重要ですが、本質はもう少し広く、利用者、端末、アプリ、通信、データを継続的に検証し続ける前提で、システム全体を設計し直すことにあります。
NIST SP 800-207が示すゼロトラストも、境界の内外で信頼を分ける発想から、主体とリソースを中心に毎回判断する発想への転換を明確にしています。ここまでは多くの方が共有しているはずです。
引用: NIST SP 800-207 Zero Trust Architecture
いま難しさが増している理由は、二つの変化が同時に進んでいるからです。ひとつは、AIエージェントが「読むだけ」ではなく「実行する主体」になり始めたこと。もうひとつは、量子時代を見据えたPQC移行が、研究テーマではなく実装テーマになったことです。別々の話に見えますが、どちらもゼロトラストの土台である「誰を、どこまで信頼するか」を揺らします。
AIエージェント時代に崩れるのは「人が操作主体」という前提
AIの議論では、まずトラフィック量やBot増加に注目が集まります。実際、Impervaの2025 Bad Bot Reportでは、2024年のWebトラフィックの過半が自動化トラフィックで、人間由来を上回ったと報告されています。悪性ボットも高い比率を占めており、ネットワーク上の主体がすでに大きく変化していることがわかります。
引用: Imperva 2025 Bad Bot Report
ただ、ゼロトラスト設計で本当に重いのは「量」より「性質」です。従来の自動化は単機能スクリプトが中心でしたが、AIエージェントは推論し、複数ツールを呼び出し、結果に応じて次の行動を変えます。つまり、通信主体であると同時に実行主体になります。ここを人間ユーザーと同じ扱いでまとめると、権限管理が一気に曖昧になります。
OWASPのAI Agent Security Cheat Sheetが、プロンプトインジェクション、ツール悪用、権限昇格、データ流出、メモリ汚染などを強調している背景も同じです。問題は「AIが危険」という単純な話ではなく、AIが他システムを動かせる主体として業務フローの中に入ったことです。
引用: OWASP AI Agent Security Cheat Sheet
抽象論ではなく、実運用に近い脅威がすでに観測されている
この領域は、もう将来予測だけで語る段階ではありません。Anthropicは2025年に、AIが関与したサイバー諜報活動を妨害した事例を公開し、防御側の前提見直しを促しています。さらに2026年にはFrontier Red Teamによるサイバー能力評価を公開し、同一条件下での脆弱性探索やエクスプロイト作成能力の変化を示しました。これらは即座に攻撃成功率を意味するものではありませんが、防御側が「まだ先の話」とは言いにくくなったことは確かです。
引用: Anthropic Safety Newsroom
引用: Anthropic Frontier Red Team Updates
さらに実務的なリスクとして重いのが、エージェント連携基盤のサプライチェーンです。OWASPのMCP Security Cheat Sheetでも、クライアント、サーバー、接続路全体の保護が必要だとされています。
引用: OWASP MCP Security Cheat Sheet
2025年にはnpm上のpostmark-mcp改ざん事案が報告され、メール送信フローに外部BCCを差し込む挙動が確認されました。ここが象徴的です。モデル本体が堅牢でも、接続先ツールや依存パッケージが汚染されれば、業務フローそのものが静かな漏えい経路になります。
引用: Snyk Analysis on postmark-mcp compromise
これからの最小権限は「人間向け」だけでは足りない
従来のゼロトラストで中心だったのは、人間ユーザーの最小権限です。もちろん今後も重要ですが、AIエージェント時代はこれに「主体としてのエージェント」を追加しないと設計が崩れます。誰の代理なのか、読み取りだけか、書き込み可能か、対外送信可能かを、エージェント単位で定義し、監査可能にする必要があります。
ここで効くのがJust-In-Timeアクセスです。静的な広権限を持たせるのではなく、タスク実行時に短時間だけ必要権限を付与し、終了後に回収する設計です。AIエージェントは実行頻度が高く、横断的にツールを叩くため、長寿命サービスアカウントを持たせる設計は被害半径が大きくなりやすいからです。
また、高リスク操作には必ず人間承認を残すべきです。外部送信、金銭処理、権限変更、本番環境変更、機密データの持ち出しは、AIの提案を使っても最終確定は人間が担う。このラインを残すことは、AI不信ではなく責任境界の設計です。ゼロトラストの原則は「全面自動化」ではなく「信頼を細かく分解し制御する」ことなので、ここは一貫しています。
量子時代が突きつけるのは「暗号の賞味期限」という現実
量子コンピュータは、まだ自社に直接影響が見えにくいため後回しにされがちです。しかしNISTはすでにPQCの主要標準(ML-KEM、ML-DSA、SLH-DSA)を公開しており、移行は研究ではなく実装準備の段階に入っています。
引用: NIST Post-Quantum Cryptography Project
ここで重要なのは「今日すぐRSAが破られるか」ではありません。harvest-now, decrypt-laterの脅威、つまり今盗まれた暗号通信が将来解読される可能性です。Cloudflareもこの点を明確に説明し、将来のQ-dayを待たずに現時点から保護設計を進める必要性を強調しています。
引用: Cloudflare on post-quantum migration
知財、研究データ、契約情報、個人情報のように秘匿寿命が長いデータほど、この問題は現在進行形です。データ寿命が10年なら、暗号移行は10年後の話ではなく「今の設計課題」になります。
PQC移行は「クライアント先行・オリジン遅延」のギャップが難所
PQCでよくある誤解は、「ブラウザやCDNが進んでいるから大丈夫」という見方です。たしかにクライアント側やエッジ側は進展していますが、オリジン、PKI、証明書運用、署名基盤、HSM、バックアップ連携まで含めると、組織ごとの成熟度には大きな差があります。
Cloudflareの公開情報でも、クライアント側の進展とサーバー側の対応ばらつきが併存していることが示されています。ユーザーからエッジまではPQCでも、その先の接続や周辺基盤が古いままなら、エンドツーエンドでの移行は完成しません。
引用: Cloudflare: The transition to post-quantum cryptography
これはゼロトラストの難しさとよく似ています。特定製品の導入だけでは完了せず、Identity、Devices、Networks、Applications and Workloads、Dataを横断して整合させる必要があるからです。暗号移行も同様に、暗号アジリティを前提に全体設計する必要があります。
次世代ゼロトラストは「権限設計」と「暗号寿命設計」を同時に持つ
ここまでを一枚でまとめると、次の四点が実装の中核になります。
-
主体分離
人間とAIエージェントを同じID運用に埋め込まず、行為責任と権限境界を分ける -
接続最小化
エージェントが使えるツールを業務単位で絞り、不要な外部接続を持たせない -
データ境界の明確化
どのデータをどのモデルへ送れるか、出力をどこまで持ち出せるかを分類で定義する -
暗号アジリティ
アルゴリズム変更に追随できる構造を作り、将来の切り替えコストを平準化する
この四点を同時に扱う理由は、どれか一つ欠けると他が無力化しやすいからです。たとえば権限設計が厳密でも、暗号移行が遅れれば長期秘匿データのリスクは残ります。逆にPQC対応が進んでも、AIエージェントが広権限なら内部流出の可能性は高いままです。
まずやるべきは、派手な導入より二つの棚卸し
最初の一歩は、巨大プロジェクトの宣言ではありません。実務で効果が大きいのは次の二つです。
- AIエージェントが「どこに接続し」「何を実行し」「どの権限で動くか」を棚卸しする
- 公開鍵暗号が「どこで使われ」「どのデータを何年間守るか」を棚卸しする
この二つが見えると、AI統制とPQC移行を同じロードマップに載せられるようになります。ここが見えないまま「AI導入」や「量子対応」を進めても、運用は空中戦になりやすく、現場では例外だけが増えてしまいます。
ゼロトラストは、もうアクセス制御だけの話ではありません。AIに何をさせ、どこで止め、どのデータをどの暗号寿命で守るかを具体的に設計できるかどうかが、次の実装力を分けます。いま求められているのは、製品名の更新ではなく、信頼モデルそのものの再設計です。
作成日: 2026-04-22