Zscalerは年次イベント「Zenith Live 2026」で、ゼロトラストの概念をAI領域に拡張する新製品群を発表しました。中核となる「Zscaler AI Access Graph」は、企業内のアイデンティティやアプリケーションが、どのAIモデルやデータソースと接続しているかを動的に可視化し、データの来歴を追跡しながら過剰な権限を削減する設計となっています。この発表は、生成AIとAIエージェントの業務利用が加速する中で、従来の境界防御モデルでは対応しきれない新たなセキュリティ課題への回答として注目されます。
参考: Zscaler、AIにも拡張した「Zero Trust Everywhere」を発表(EnterpriseZine)
分析・見解
従来のゼロトラストアーキテクチャは、人間のユーザーとアプリケーション間のアクセス制御を主眼に置いてきました。しかし、AIエージェントが自律的にデータを取得し、判断を下す時代には、「誰が」「どのモデルに」「どのデータを渡すか」という三次元の管理が不可欠になります。Zscalerの新製品群が提示するデータ来歴追跡の仕組みは、単なるアクセスログの記録を超えて、AIの出力結果がどの情報源に基づいているかを遡及できる点で画期的です。
特に重要なのは、過剰権限の問題が従来の数十倍の影響範囲を持つ可能性がある点です。人間の操作では一度に数件のデータにアクセスする程度ですが、AIエージェントは秒単位で数千件のレコードを処理できます。もし不適切な権限が付与されていた場合、気付かないうちに機密情報が大量に学習データとして利用され、意図しない情報漏洩につながるリスクがあります。
また、AI Access Graphのような可視化ツールは、セキュリティ部門だけでなく、データガバナンス部門やコンプライアンス部門にとっても価値があります。GDPRや個人情報保護法が求める「データ処理の透明性」を、AIの文脈で実現する手段として機能するためです。今後、AIの利用が規制当局の監視対象となる中で、このような来歴追跡機能は標準装備になっていくでしょう。
ビジネスへの影響
生成AIを業務に導入する企業は、まず既存のアクセス権限設計を見直す必要があります。人間向けに設定された権限をそのままAIエージェントに適用すると、過剰なデータアクセスが発生するためです。具体的には、AIエージェントごとに異なる権限レベルを設定し、必要最小限のデータソースへのアクセスに限定する設計が求められます。
また、データ分類の再整理も不可欠です。従来は「公開」「社内限定」「機密」といった三段階の分類で十分だったかもしれませんが、AIの学習データとして利用可能かどうか、外部モデルへの送信を許可するかどうかといった新たな軸での分類が必要になります。
さらに、AIの出力結果に対する監査証跡の確保も重要です。AIが生成した提案や判断が、どのデータソースに基づいているかを後から検証できる仕組みがなければ、コンプライアンス上の説明責任を果たせません。Zscalerのようなプラットフォームを導入するかどうかに関わらず、AI時代のゼロトラスト設計は、すべての企業が取り組むべき喫緊の課題です。