これは、特定ベンダー製品を購入しようという話ではありません。AIエージェントを業務に入れるなら、どの層で検証し、どの層で止め、どの層で復旧するかを決める必要がある、という話です。 「誰が使ったか」だけでは足りません。「どのエージェントが、どの権限で、どのツールを、どの入力に基づいて、何の判断で、どこへ出力したか」まで追えないと、統制としては不完全です。 AIエージェントはNHIを爆発させる NHI、つまりNon-Human Identityは、人間ではない主体のIDです。サービスアカウント、APIキー、OAuthアプリ、CI/CDのトークン、Bot、RPAなどが該当します。 AIエージェントは、このNHIを一気に増やします。 Claude Code、GitHub Copilot、Cursor、SaaS内蔵AI、RPA、社内Bot、MCPサーバー、社内ナレッジ検索エージェント。これらはそれぞ

