アイデンティティセキュリティのVeza、Enterprise Agent Identity Control Plane構想を発表

Vezaは、アイデンティティセキュリティの先駆企業として、Veza Platformの大幅な拡張を発表し、企業の複雑なアイデンティティおよびアクセスガバナンス業務を自動化する目的特化のAIエージェント群であるVeza Access Agentsを投入しました。あわせて、AI Agent Security製品も強化し、サードパーティのAIエージェント、LLM、AIアプリ、AIインフラであるMCPに対する可視性、リスク把握、制御機能を深めるとしています。企業が業務効率化のためにエージェント型AIを急速に導入する中で、アイデンティティに基づくアクセスの量と複雑性は転換点に達しているとVezaは指摘します。Ballistic VenturesのパートナーでGoogle Cloudの元CISOでもあるPhil Venablesは、AIエージェントのアイデンティティセキュリティはサイバーセキュリティにおける最も緊急かつ未解決の課題の一つだと述べています。将来、AIエージェントが人間を80対1以上で上回る可能性がある中で、権限付与と認可はミッションクリティカルになり、明確なガバナンス、可視性、制御がなければ、AIエージェントは機械スケールで新たなリスク層を持ち込むとしています。Veza Access Agentsは、人間のアイデンティティに求める厳格さと同等のポリシー知識と認可規律を、急増するAIエージェントにも適用する狙いです。

Veza Access Agentsは、Veza Access Graphの力を活用し、IAMチームやエージェント型AIプログラム、アイデンティティセキュリティのユースケースに対して対話的な体験を提供するとされています。基盤にはAWS Bedrockを採用し、エンタープライズ向けのコンプライアンス制御のもとで、タスクごとに最適なモデルを選択し、素早い回答から深い推論まで、品質と正確性を損なわずに実行できるとしています。早期アクセスとして提供が始まる最初のエージェント群には、自然言語で複雑な問いに答え、エージェントや機械、人間のアイデンティティに関する企業リスクの理解を助けるVeza Prompt Agent、自然言語クエリで全アイデンティティと権限関係を可視化できるVeza Access Search Agent、そして高リスク項目に焦点を当ててレビュー疲れを軽減し、文脈に基づく推論で判断を支援するVeza Access Review Agentが含まれます。

VezaのCo-Founder兼CEOであるTarun Thakurは、自律AIの時代にはアイデンティティがセキュリティの基盤であり、将来的には何兆ものAIエージェントが存在し得る中で、AIエージェントのアイデンティティセキュリティは未解決の問題だと述べました。Veza Access Graphは企業システム全体のアイデンティティと権限データを束ね、誰が、何が、どのデータへアクセスできるのかを理解することを可能にし、人、非人間アイデンティティ、AIエージェントにまたがるアクセスの可視化、統制、管理を支えるとしています。Access Agentsの導入により、アクセスセキュリティとガバナンスの負担を手作業から、知的で自動化された推論へ移し、機械スピードでエージェントに決定論的なポリシーを適用する基盤を築くことで、VezaをEnterprise Agent Identity Control Planeへ進化させるビジョンを示しました。AI Agent Securityの強化では、OpenAI Agent Platform、Claude Code、MCPサーバーなど外部のAIエージェントやインフラの保護能力を拡張し、半自律的なAIが生むアイデンティティの死角を埋めることを目指します。Gartnerは、2028年までにAI施策の50％超が、エージェント型アイデンティティ課題が解決されず管理不能となり停止する可能性があると指摘しているとVezaは引用しています。

機能強化としてVezaは、MCPサーバーの発見にとどまらず、JiraのMCPサーバー呼び出しのようなツール単位まで識別し、エージェントが接続アプリ内で実行を許可されたアクションを把握できるようにするとしています。エージェントからアクセス対象のデータリソースやAPIまでの経路も可視化し、実態を追えるようにします。さらにShadow AI対策として、AIエージェントやサービスアカウントを人間のオーナーへ自動的に紐付けるSuggested Owner Agentを導入し、責任の所在を明確にして分散型のリスク是正とアクセスレビュー精度の向上を図ります。Access Graphを用いたAI Blast Radiusの可視化では、AIエージェントごとにアクション単位の影響範囲を定量化し、影響を受ける機微データやシステム資源を把握できるとしています。AISPMでは、AIインフラとアイデンティティの継続評価により設定不備や過剰権限ボットを検出し、NIST AI Risk Management Frameworkとの対応付けで、AIスタック全体の予防的な是正とコンプライアンスを支援するとしています。AI Agent Security Dashboardでは、標準ダッシュボードでAIアイデンティティの全体像を集約し、エージェントの増殖、休眠アイデンティティ、権限ドリフトを追跡しながら、ServiceNowやJiraで自動ワークフローを起動できるとしています。エンタープライズ対応としてVezaは、AWS Bedrockの活用により高いセキュリティとプライバシー基準を満たし、VezaのSaaS展開と専有テナントのVeza Secure SaaSの両方で動作するハイブリッドアーキテクチャを提供するとしています。すべての認可について継続的な監査を維持し、さらに透明性のために、Veza Access Agentsが結果を導出する際に使用したツールやAPIを管理者に記録・共有する仕組みも用意すると説明しています。提供時期は、Veza Access Agentsが選定顧客向けに早期アクセスとして提供開始され、一般提供は2026年第2四半期末を予定しています。

Vezaについて
Vezaは、企業全体にわたるデータアクセスを保護するアイデンティティセキュリティ企業です。Enterprise Agent Identity Access Platformにより、従来のIAMやIGAを超えて権限を可視化し、監視と制御を行うことで、最小権限とコンプライアンスの実現を支援します。Wynn Resorts、Expedia、Blackstoneなどのグローバル企業が、特権アクセス監視、非人間アイデンティティのセキュリティ、アクセス権限管理、SaaSアクセスセキュリティ、ISPM、次世代IGA、エージェント型AIのアイデンティティセキュリティなどの用途でVezaを利用しているとされています。Vezaは2020年創業で、米国カリフォルニア州Los Gatosに本社を置き、Accel、Bain Capital、Ballistic Ventures、Google Ventures、New Enterprise Associates、Norwest Venture Partners、True Venturesなどから資金提供を受けています。