AIエージェントの認証情報管理が急務に NHIセキュリティ市場が始動GitGuardianが5000万ドル調達、非人間IDのガバナンスに注力

AIエージェントの認証情報が新たなセキュリティリスクに

AIエージェントが業務システムに接続する際に使用するAPIキーやトークンなどの認証情報が、新たなセキュリティリスクとして急浮上しています。フランス・アメリカに拠点を置くセキュリティ企業GitGuardianは、この課題に対応するため5000万ドル（約75億円）のシリーズC資金調達を完了しました。GitGuardian公式ブログによると、今回の資金調達はInsight Partnersが主導し、AIエージェント時代の「非人間ID（NHI：Non-Human Identity）」管理強化に充てられます。

非人間ID（NHI）とは何か

NHI（非人間ID）とは、AIエージェント、ボット、マイクロサービス、コンテナなどがシステム間で認証に使用するAPIキー、アクセストークン、サービスアカウントなどの総称です。人間がIDとパスワードでシステムにログインするように、AIエージェントもまた認証情報を使ってデータベースや外部APIにアクセスします。

問題は、これらのNHIが人間のID管理ほど厳格に管理されていない点にあります。GitGuardianのデータによれば、2025年だけで35万件以上のシークレット（機密認証情報）漏洩を検出・修復したとのことです。同社は現在61万以上のリポジトリを監視しており、GitHub Marketplace上で最も多くインストールされているセキュリティアプリとして知られています。

なぜ今、NHIセキュリティが重要なのか

2025年2月16日には、AIエージェントの設定ファイルが窃取されるセキュリティインシデントが報道されました。MCPプロトコルの普及によりAIエージェントが外部システムと接続する機会が急増しており、それに伴い認証情報の管理リスクも高まっています。

従来のセキュリティ対策は、人間のユーザーIDを中心に設計されてきました。しかしAIエージェントの普及により、人間以外のIDが企業システム内で急増しています。ある調査では、企業内のNHIの数は人間のIDの10倍以上に達するとも言われており、これらを適切に管理しなければ、一つの漏洩したAPIキーが企業全体のセキュリティを脅かす事態になりかねません。

GitGuardianの今回の調達は、この新興セキュリティ市場の成長性を投資家が高く評価した証拠といえます。同社はAPACを含むグローバル展開を計画しており、日本企業にとっても無関係ではありません。

自社で今すぐ取り組むべきこと

AIエージェントを導入している、または導入を検討している企業は、NHI管理の観点から自社のセキュリティ体制を見直す必要があります。

まず取り組むべきは、社内で使用されているAPIキーやトークンの棚卸しです。どのシステムがどの認証情報を使用しているか、誰が発行したか、有効期限はいつかを一覧化することで、管理されていない「野良API」の存在が見えてきます。次に、認証情報の暗号化とローテーションポリシーの策定が重要です。定期的にAPIキーを更新する仕組みを構築することで、万が一漏洩した場合の被害を最小化できます。

さらに、AIエージェントに付与する権限の最小化（最小権限の原則）を徹底することも欠かせません。必要最低限のアクセス権限のみを付与し、不要になった権限は速やかに削除する運用ルールを設けましょう。加えて、GitGuardianのようなシークレット検出ツールの導入も検討に値します。GitリポジトリやCI/CDパイプラインに認証情報がハードコードされていないか自動でスキャンする仕組みがあれば、人的ミスによる漏洩を防げます。

最後に、インシデント発生時の対応フローを事前に整備しておくことが重要です。認証情報が漏洩した場合に、どの順番で何をするかを明文化しておくことで、初動対応の遅れを防げます。

まとめ

AIエージェントの普及に伴い、NHI（非人間ID）のセキュリティ管理が企業の新たな課題となっています。GitGuardianの5000万ドル調達は、この分野への投資家の注目度の高さを示しています。自社のAI活用を安全に進めるためにも、今のうちから認証情報管理の体制を整えておくことをお勧めします。

AIエージェントのセキュリティ対策やNHI管理の仕組みづくりでお悩みの方は、180社以上の支援実績を持つGXOにご相談ください。セキュリティ体制の構築から運用まで、伴走型でサポートいたします。

お問い合わせはこちら