OAuth、エージェント、セキュリティ: アクセス制御の新たなフロンティアをナビゲートする

OAuth、AI エージェント、セキュリティの進化する状況を探ります。 AI 時代における堅牢なアクセス制御のためのリスク、課題、革新的なソリューションを発見します。

The world of authorization is changing fast, especially with Large Language Model (LLM) agents becoming more prevalent. While OAuth has been a broadly accepted standard for access delegation, it's quickly becoming clear that it's no longer sufficient for the complex needs of AI agents. Here’s the lowdown on why OAuth falls short and what we need to do about it.

認証の世界は急速に変化しており、特に大規模言語モデル (LLM) エージェントの普及が進んでいます。 OAuth はアクセス委任の標準として広く受け入れられていますが、AI エージェントの複雑なニーズにはもはや十分ではないことがすぐに明らかになりつつあります。ここでは、OAuth が不十分な理由と、それに対して何をする必要があるのか​​を詳しく説明します。

The Risks of Relying on OAuth for LLM Data Access

LLM データ アクセスに OAuth に依存するリスク

Getting authorization wrong can lead to serious trouble. Think about it: Breaches are a prime example of what happens when authorization goes awry. Back in August 2025, attackers compromised OAuth tokens held by Drift, a chatbot used by other companies, gaining access to Salesforce instances and exfiltrating data. The agentic risk isn’t limited to attackers compromising tokens and breaching systems. There’s also misuse: interacting with an LLM frontend as a normal user, but getting illicit information accidentally or with prompt jailbreaking. Only limiting the LLM’s access at an authorization enforcement layer will address this.

認証を間違えると重大なトラブルにつながる可能性があります。考えてみてください。侵害は、認証が失敗したときに何が起こるかの代表的な例です。 2025 年 8 月に遡ると、攻撃者は他社が使用しているチャットボットである Drift が保持する OAuth トークンを侵害し、Salesforce インスタンスにアクセスしてデータを窃取しました。エージェントのリスクは、攻撃者がトークンを侵害したりシステムに侵入したりすることに限定されません。また、悪用もあります。通常のユーザーとして LLM フロントエンドと対話しながら、誤って違法な情報を入手したり、即時ジェイルブレイクを行ったりすることです。これに対処するには、認可強制層で LLM のアクセスを制限するだけです。

Why OAuth Isn't Enough

OAuth では不十分な理由

OAuth is great for access delegation, but it stumbles when it comes to agents. The model of passing embedding permissions on a token that is then reused numerous times has several limitations:

OAuth はアクセス委任には最適ですが、エージェントに関してはつまずきます。何度も再利用されるトークンに埋め込み権限を渡すモデルには、いくつかの制限があります。

• OAuth Can’t Handle Advanced Policy Modeling: OAuth struggles with fine-grained permissions at a resource level. For LLM agents, you need to scope permissions at a resource or even field level.
• Static Tokens Are Limiting and Risky: Tokens are static, reflecting permissions at a specific time. Making dynamic changes to authorization is difficult. Plus, tokens can leak, leading to breaches.
• OAuth Can’t Record Agentic Actions: You often want to maintain records of all agent data access and actions. OAuth doesn't offer a way to record this.

A New Approach to Agentic Authorization

エージェント認証への新しいアプローチ

So, what's the solution? Implementing better authorization in the underlying resources that agents access. We need something with a different structure from the token-based OAuth method: A real-time policy engine, consulted with every action that logs everything agents are attempting to do (including with on-behalf-of tracing), and that will fire alerts and support human-in-the-loop least privilege enforcement for if/when agents act incorrectly.

それで、解決策は何でしょうか？エージェントがアクセスする基盤となるリソースに、より適切な認可を実装します。トークンベースの OAuth 方式とは異なる構造を持つものが必要です。リアルタイム ポリシー エンジンは、エージェントが実行しようとしているすべての操作 (追跡の代理を含む) をログに記録するすべてのアクションを参照し、エージェントが誤った動作をした場合にアラートを発し、人間参加型の最小権限の強制をサポートします。

Separate from better authorization in the data sources and tools that agents use, agent authorization can be addressed at the tool access layer (e.g., MCP servers, agent frameworks). Any security-minded organization should be recording agent actions, running anomaly detection to catch misbehavior, dynamically reducing permissions or quarantining rogue agents, and maintaining an audit trail. The goal is automating the principle of least privilege: agents should be able to access only the tools they need for the task at hand.

エージェントが使用するデータ ソースやツールでのより適切な承認とは別に、エージェントの承認はツール アクセス層 (MCP サーバー、エージェント フレームワークなど) で対処できます。セキュリティを重視する組織は、エージェントのアクションを記録し、不正行為を検出するために異常検出を実行し、権限を動的に削減するか不正なエージェントを隔離し、監査証跡を維持する必要があります。目標は、最小特権の原則を自動化することです。エージェントは、当面のタスクに必要なツールのみにアクセスできるようにする必要があります。

Emerging Attack Vectors and How to Defend Against Them

新たな攻撃ベクトルとそれに対する防御方法

Attackers are always finding new ways to breach systems, and identity-based attacks are on the rise. Here are a few techniques to watch out for, based on Wiz telemetry:

攻撃者は常にシステムに侵入する新しい方法を見つけており、ID ベースの攻撃が増加しています。 Wiz テレメトリに基づいて、注意すべきテクニックをいくつか紹介します。

• Device Code Phishing: Attackers lure victims into entering a device code, granting the attacker a token. Less than 50% of customers enforce Conditional Access policies that block device code authentication.
• Resource Owner Password Credentials (ROPC): A legacy OAuth mechanism that exchanges a username and password directly for a token, skipping modern safeguards. Fewer than 45% of customers enforce Conditional Access policies that block ROPC authentication.
• Device Registration for Persistence: Attackers register a device to bypass Conditional Access restrictions, obtaining a Primary Refresh Token (PRT) for continued access.

Wiz’s Role in Enhancing Security

セキュリティ強化における Wiz の役割

Wiz Defend provides deep visibility into identity-based attack activity in Entra ID, with real-time detections built to identify the techniques used in device-code phishing, ROPC abuse, and Conditional Access evasion. Wiz Defend includes dedicated detection rules that alert on these behaviors:

Wiz Defend は、デバイス コード フィッシング、ROPC 悪用、および条件付きアクセス回避で使用される手法を特定するために構築されたリアルタイム検出により、Entra ID における ID ベースの攻撃アクティビティを詳細に可視化します。 Wiz Defend には、次の動作を警告する専用の検出ルールが含まれています。

• Unusual Device Code Flow Detected
• Sign-in by Entra ID User using ROPC protocol to unusual application and resource
• Suspicious ROPC authentication for conditional access policy bypass
• Suspicious device registration attempt

The Broader Impact: Tokenization and Real-World Assets

より広範な影響: トークン化と現実世界の資産

Beyond security, tokenization is revolutionizing how assets are managed. Nomura Holdings launched a security token offering, tokenizing an 8 billion yen venture capital fund. This signals a shift in how institutional capital is raised and managed, leveraging blockchain’s power for efficiency. The benefits include increased liquidity, fractional ownership, and automated compliance.

セキュリティを超えて、トークン化は資産の管理方法に革命をもたらしています。野村ホールディングスは、80億円のベンチャーキャピタルファンドをトークン化したセキュリティトークンの提供を開始した。これは、ブロックチェーンの力を効率化に活用して、機関資本を調達および管理する方法の変化を示しています。利点としては、流動性の向上、分割所有権、コンプライアンスの自動化などが挙げられます。

Wrapping Up

まとめ

Without a new approach to agentic authorization, we should expect to see more disasters as agents proliferate. If we can get ahead of the authorization problem, we can realize the promise of AI agents without the risks. So, let’s keep our eyes peeled, stay informed, and ensure we're not just keeping up with the times, but staying a step ahead. After all, in the world of OAuth, agents, and security, being proactive is the name of the game. Cheers to a safer, smarter future!

エージェントの認可に対する新しいアプローチがなければ、エージェントの急増に伴い、さらなる災害が発生することが予想されます。認可の問題を事前に解決できれば、リスクを負うことなく AI エージェントの期待を実現できます。したがって、常に目を光らせ、常に情報を入手し、時代に遅れずについていくだけでなく、確実に一歩先を進みましょう。結局のところ、OAuth、エージェント、セキュリティの世界では、プロアクティブであることが最も重要です。より安全でスマートな未来に乾杯！