Identity SecurityのVeza、エンタープライズ規模でAIエージェントを可視化・統制する「AI Agent Security」を発表

Veza Inc.は、企業内で急増するエージェント型AI（agentic AI）のリスクに対応する新製品「AI Agent Security」を発表しました。Vezaの中核技術であるAccess Graph上に構築された本製品は、Microsoft Copilot Studio、Salesforce Agentforce、AWS Bedrock、Google Vertex AIなど主要AIプラットフォームにまたがってAIエージェントを一元的に可視化し、「自社環境にどのAIエージェントが存在するのか」「どの人間がどのエージェントを操作・委任できるのか」といった根本的な問いに即座に答えられるように設計されています。生成AIやエージェント活用が加速する中で、セキュリティ／ガバナンスチームに必要な“見える化”と“制御”を提供し、人とAIのインタラクションを横断してデータ保護と信頼性担保を支援します。

Vezaは、プロンプトインジェクションなどの新たな攻撃手法が、AIエージェントが攻撃者から送られたメールやカレンダー招待、Webフォーム経由の入力データにアクセスできてしまうことに依存していると指摘し、こうした「新しいクラスのセキュリティリスク」に対応するためにはAIエージェントの実態と権限を正確に把握する必要があると強調しています。AI Agent Securityは、エンタープライズ全体に存在するAIエージェントのIDを自動発見・分類し、それぞれがどのデータ資源やLLMに接続され、どの範囲に「被害半径（blast radius）」を持つのかを可視化します。これにより、最小権限の原則に基づいて不要な権限を特定・削減し、センシティブなデータやシステムリソースへのアクセス範囲を絞り込むことができます。また、人間のアイデンティティとエージェントを完全にマッピングし、「誰が・どのグループが・どのエージェントをデプロイ／管理／利用できるか」を統制するAIガバナンス機能や、OWASPが推奨するユーザー／マシンアクセス監査に対応したコンプライアンス機能も備えており、監査人や規制対応に対して「どのエージェントが何にアクセスできるか」を即答できる体制を整えます。共同創業者兼CEOのTarun Thakur氏は「今のagentic AIは“西部開拓時代”のような混沌とした状況だ」とし、「Veza AI Agent Securityは、発見・ガバナンス・制御を統合し、すべてを『誰（または何）が、何に、なぜアクセスできるのか』というアイデンティティの問題として扱うことで、この混乱に秩序をもたらす」と述べています。

今回のリリースは、ServiceNowによる買収合意が報じられた直後のタイミングでもあり、Vezaが独立企業として出す最後の主要プロダクトの一つになる可能性も指摘されています。買収額は10億ドル超とみられており、エンタープライズにおけるAIエージェントの安全な導入とアイデンティティ主導のセキュリティ／ガバナンスの重要性が、グローバルソフトウェア企業からも高く評価されていることを示しています。

Vezaについて
Vezaは、AI AgentsおよびNon-Human Identities（NHI）を含むあらゆるアイデンティティと権限を可視化・統制するエンタープライズ向けアイデンティティセキュリティプラットフォームです。Access Graphを基盤に、APIキー、トークン、サービスアカウント、SaaS／クラウド権限などを網羅的に発見し、「誰（または何）が、何に、どの権限でアクセスできるのか」をコンテキスト付きでインベントリ化します。独自のエンジンで動態的な挙動異常も検知し、自動かつリスクベースの是正アクションを実行することで、アイデンティティスプロールの抑制とゼロトラストモデルの実現を支援します。Gartner® Cool Vendor™、CRN Stellar Startup、Startup Achievement of the Year 2025などの評価を受け、フォーチュン500企業を含むグローバルな顧客から信頼されています。