CAPTCHA後の時代へ, MCP時代に必要なエージェントIDとゼロトラスト設計

エージェントが業務に入り始めると、従来のWeb防御は前提がずれます。CAPTCHAや行動指紋は「人間かどうか」を判定する思想ですが、これから重要なのは「どのエージェントが、誰の委任で、どこまで許可されているか」です。

CloudflareのAgents Weekでも、セキュリティを後付けではなく実行モデルに内包する方向性が示されています。

参考: https://blog.cloudflare.com/welcome-to-agents-week/。

セキュリティの問いを入れ替える

従来の問い:

• このアクセスは人間か
• 振る舞いは怪しいか

これからの問い:

• どのエージェントIDが要求しているか
• 委任者は誰か
• 権限スコープは何か
• 各実行にどの証跡が残るか

この問いの転換が、運用可能なゼロトラストの出発点です。

エージェント向けID基盤の実装パターン

1. Agent Principalの一意付与

実行インスタンスごとに暗号学的に検証可能な主体IDを割り当てます。

2. 委任トークンの短命化

ユーザーまたは上位システムが、期限付きかつ用途限定で権限を委任します。

3. ツール単位の細粒度認可

「請求状況を参照」と「返金を実行」は別権限として分離し、既定値共有を避けます。

4. 実行証跡の不変保存

許可・拒否判断、入力、結果、適用ポリシーを監査可能な形で保存します。

MCP普及でリスクが増える理由

MCPは接続効率を高めますが、ポリシー設計が弱いと横展開で被害半径も拡大します。導入前に次を必須化すべきです。

• ツールをリスク階層で分類
• ツール別の呼び出し上限と予算を設定
• 入出力スキーマ検証を強制
• 応答のサニタイズでプロンプト注入を抑止

高リスク領域での追加統制

金融・医療・特権操作では、さらに強い制御が必要です。

• 不可逆操作は二段承認
• 本番前にシミュレーション実行を義務化
• 長期シークレットを廃しJIT資格情報を採用
• リージョン境界とデータ境界を実行時に検証

侵害時の即応設計

エージェント侵害は、検知より封じ込め速度が勝負です。

• 委任チェーンを即時無効化
• 主体IDをポリシークラスごとに停止
• 判断ログを再生して不正分岐を切り分け
• 関連ツール資格情報を自動ローテーション

30-60-90日ロードマップ

• 30日: 現在の権限モデルと信頼前提を棚卸し
• 60日: スコープ委任と判断ログ基盤を導入
• 90日: 特権操作をDefault Denyに移行

まとめ

これからの主戦場はボット検知ではなく、検証可能なエージェントIDと監査可能な委任管理です。早く移行した組織ほど、事故率と監査コストの両方を下げられます。