概要
AIエージェントが人間の代わりにAPIを自律操作する時代に向け、OAuthを基盤とした厳格なスコープ管理や人間による最終承認(Step-up Auth)など、新しい脅威モデルに対応するセキュリティ設計を解説。
詳細内容
AIエージェントの普及により、従来の「人間がボタンを押す」ことを前提としたAPIセキュリティモデルは通用しなくなっています。エージェントは自律的に推論し、連鎖的なアクションを実行するため、意図しない動作やプロンプト・インジェクションによるリスクが増大します。本記事では、WorkOSが提唱する6つのベストプラクティスを紹介しています。
1. **OAuth 2.1の徹底**: 委譲された認可の標準としてOAuthを採用し、安全な認可フローを基盤にする。
2. **粒度の細かいスコープ管理**: `write:*`のような広範な権限を避け、`write:calendar`などアクション単位で最小権限を適用する。
3. **コンテキストを伴うクレームの活用**: トークン内に「AIエージェントである」という属性情報(Claims)を含め、認可ロジックで利用する。
4. **オーディエンス制限の厳格化**: トークンの使い回しを防ぐため、サービスごとにオーディエンス(aud)を検証する。
5. **重要操作でのステップアップ認可**: 金銭の移動やデータ削除など、不可逆で影響の大きい操作には必ず人間によるMFA等の再承認を求める。
6. **全リクエストの検証**: 内部エージェントであっても暗黙の信頼を置かず、レート制限や入力値のバリデーションを徹底する。
エージェントの利便性を最大限に引き出しつつ、破壊的な結果を防ぐための実戦的なガイドラインです。