米国 NIST 意見募集 ソフトウェアとAIエージェントのID認証・認可の普及促進
こんにちは、丸山満彦です。
NISTが、ソフトウェアとAIエージェントのID認証・認可の普及促進という文書を公表し、意見募集をしていますね...
AIエージェントは自律的に行動し、複数のデータ源やツールにアクセスするため、従来のソフトウェアよりもリスクが大きくなりますよね...
ということで、AIエージェントを安全に企業利用するためには、人間と同様に“識別・認証・認可”の枠組みを適用し、標準化された方法で管理する必要がありますよね...
そのため、OAuth、OIDC、SPIFFE、SCIM、NGACなど既存の標準をどう適用し、どこを拡張すべきかを明確することが重要ということで、この文書です...
● NIST
発表...
・2026.02.05 New Concept Paper on Identity and Authority of Software Agents
| New Concept Paper on Identity and Authority of Software Agents | ソフトウェアエージェントのアイデンティティと認可に関する新たな概念文書 |
| The NIST National Cybersecurity Center of Excellence is interested in launching a project to demonstrate how identity standards and best practices can be applied to software agents, with a focus on agentic AI applications. | 米国国立標準技術研究所(NIST)国立サイバーセキュリティ・センター・オブ・エクセレンスは、エージェント型AIアプリケーションに焦点を当て、ソフトウェアエージェントへのアイデンティティ標準とベストプラクティスの適用方法を実証するプロジェクトの立ち上げを検討している。 |
| Artificial Intelligence (AI) technology brings great opportunities to organizations. Specifically, AI agents—software systems that use data and algorithms to autonomously perform tasks—offer the promise of improved productivity, efficiency, and decision-making in complex scenarios. However, realizing these benefits requires understanding the potential risks from giving AI agents access to diverse data sets, tools, and applications, and applying appropriate identification and authorization controls to mitigate these risks. | 人工知能(AI)技術は組織に大きな機会をもたらす。特に、データとアルゴリズムを用いて自律的にタスクを実行するソフトウェアシステムであるAIエージェントは、複雑なシナリオにおける生産性、効率性、意思決定の改善を約束する。しかし、これらの利点を実現するには、AIエージェントに多様なデータセット、ツール、アプリケーションへのアクセス権を与えることによる潜在的なリスクを理解し、これらのリスクを緩和するための適切な識別と認可の制御を適用する必要がある。 |
| We Need Your Feedback | 皆様のご意見をお待ちしています |
| To help the community provide input on this potential project, the NCCoE has released a concept paper, Accelerating the Adoption of Software and Artificial Intelligence Agent Identity and Authorization, outlining considerations for a potential NCCoE project focused on applying identity standards and best practices to AI agents. | この潜在的なプロジェクトへのコミュニティの意見提供を支援するため、NCCoEはコンセプトペーパー『ソフトウェアおよび人工知能エージェントのアイデンティティと認可の普及促進』を公開した。これは、AIエージェントへのアイデンティティ標準とベストプラクティスの適用に焦点を当てたNCCoEプロジェクトの可能性に関する検討事項を概説している。 |
| The concept paper provides an overview of the types of feedback that would be most helpful, such as: | コンセプトペーパーでは、特に有益なフィードバックの種類について概説している。例えば: |
| ・Use Cases: How are organizations currently using or planning to use AI agents? | ・ユースケース:組織は現在、AIエージェントをどのように使用しているか、または使用を計画しているか? |
| ・Challenges: What new and unique problems do AI agents bring compared to other software? | ・課題:他のソフトウェアと比較して、AIエージェントがもたらす新たな特有の問題は何か? |
| ・Standards: What current or emerging standards are being used to guide AI agent identity and access management? | ・標準:AIエージェントのアイデンティティおよびアクセス管理を導くために、現在または新興の標準は何か? |
| ・Technologies: What technology is being used or planned to support AI agents? | ・技術:AIエージェントをサポートするために使用されている、または計画されている技術は何か? |
| ・More detailed questions on the identification, authorization, auditing and non-repudiation of AI agents, as well as controls to prevent and mitigate prompt injection techniques. | ・AIエージェントの識別、認可、監査、否認防止に関するより詳細な質問、およびプロンプト・インジェクションを緩和するための制御策。 |
・Software and AI Agent Identity and Authorization
| Software and AI Agent Identity and Authorization | ソフトウェアおよびAIエージェントの識別と認可 |
| The NCCoE is interested in exploring standards-based approaches to identify, manage, and authorize access and actions taken by software agents, including AI agents, and provide practical guidelines for organizations to securely implement AI agents and benefit from their improved productivity, efficiency, and decision-making. | NCCoEは、ソフトウェアエージェント(AIエージェントを含む)によるアクセスや実行されるアクションを識別・管理・認可するための標準ベースのアプローチを模索している。組織がAIエージェントを安全に実装し、生産性・効率性・意思決定の改善という恩恵を得られるよう、実践的なガイドラインを提供することを目的とする。 |
| Applying identity standards and best practices to AI agents | AIエージェントへのアイデンティティ標準とベストプラクティスの適用 |
| As artificial intelligence evolves, enterprises are seeking to transition AI capabilities from basic generative outputs (e.g., text and graphics) to taking actions (e.g., deploy code to production). Agents offer enterprises the potential to scale autonomous decision-making with limited human supervision to achieve complex goals. This increased scale and autonomy brings new opportunities as well as new risks. | 人工知能が進化するにつれ、エンタープライズはAI機能を基本的な生成出力(テキストやグラフィックなど)から行動の実行(コードの本番環境への展開など)へと移行させようとしている。エージェントは、限られた人的監視のもとで自律的な意思決定を拡張し、複雑な目標を達成する可能性をエンタープライズに提供する。この拡張性と自律性の向上は新たな機会をもたらす一方で、新たなリスクも伴う。 |
| For well over a decade, code-based systems have been used to enable automation, cloud workloads, and the deployment of APIs. However, with the advancement of software and AI agents—systems that have the capability for autonomous decision-making and taking action to operate with limited human supervision to achieve complex goals—the scale and range of actions taken by these systems has the potential to increase exponentially. This increased scale and autonomy brings new opportunities as well as new risks. | 10年以上前から、コードベースのシステムは自動化、クラウドワークロード、APIの展開を可能にしてきた。しかし、自律的な意思決定と行動を実行する能力を持ち、複雑な目標達成のために最小限の人間監視で動作するソフトウェアとAIエージェントの進歩に伴い、これらのシステムが実行する行動の規模と範囲は指数関数的に拡大する可能性がある。この拡大した規模と自律性は新たな機会をもたらす一方で、新たなリスクも伴う。 |
| The concept paper Accelerating the Adoption of Software and AI Agent Identity and Authorization outlines considerations for a potential NCCoE project focused on applying identity standards and best practices to AI agents. The NCCoE is seeking feedback to help determine the scope, feasibility, and potential value of the project and inform whether a demonstration effort or other NCCoE outputs would best address the challenge. Community input will inform subsequent project planning activities, including the development of a draft project description. | 概念文書『ソフトウェアおよびAIエージェントのアイデンティティと認可の導入加速』は、AIエージェントへのアイデンティティ標準とベストプラクティスの適用に焦点を当てたNCCoEプロジェクトの可能性に関する検討事項を概説している。NCCoEは、プロジェクトの範囲、実現可能性、潜在的な価値を判断し、実証活動やその他のNCCoE成果物が課題解決に最適かどうかを判断するためのフィードバックを求めている。コミュニティからの意見は、プロジェクト概要ドラフトの作成を含む、その後のプロジェクト計画策定活動に反映される。 |
| With the advancement of software and AI agents—systems that have the capability for autonomous decision-making and taking action to operate with limited human supervision to achieve complex goals—the scale and range of actions taken by these systems has the potential to increase exponentially. | ソフトウェアとAIエージェント(自律的な意思決定と行動能力を持ち、複雑な目標達成のために限定的な人的監視下で動作するシステム)の進歩に伴い、これらのシステムが実行する行動の規模と範囲は指数関数的に拡大する可能性がある。 |
AIエージェントのアーキテクチャ例
エージェントのフロー図
・[PDF]
| ACCELERATING THE ADOPTION OF SOFTWARE AND AI AGENT IDENTITY AND AUTHORIZATION¥ | ソフトウェアとAIエージェントのID認証・認可の普及促進 |
| ABSTRACT | 概要 |
| AI agents offer the promise of improved productivity, efficiency, and decision-making in complex scenarios. But these benefits cannot be realized without the ability to understand how identity principles such as identification, authentication, and authorization can apply to agents to provide appropriate protections while enabling business value. This concept paper seeks stakeholder input to inform a NIST National Cybersecurity Center of Excellence (NCCoE) project focused on applying existing identity standards and best practices to software and AI agents. Such a project would aim to reduce implementation risk related to agentic AI by demonstrating how identity and authorization standards and best practice can be applied to agentic architectures. Feedback received will help determine the scope, feasibility, and potential value of the project and inform whether a demonstration effort or other NCCoE outputs would best address the challenge. Community input will inform subsequent project planning activities, which could include development of a draft project description and a call for collaborators. | AIエージェントは、複雑なシナリオにおける生産性、効率性、意思決定の向上を約束する。しかし、識別、認証、認可といったアイデンティティ原則をエージェントに適用し、ビジネス価値を実現しつつ適切な保護を提供する方法が理解できなければ、これらの利点は実現できない。本概念文書は、既存のアイデンティティ標準とベストプラクティスをソフトウェアおよびAIエージェントに適用することに焦点を当てたNIST国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクトに情報を提供するため、関係者の意見を求めるとともに、 本プロジェクトは、アイデンティティおよび認可の標準とベストプラクティスをエージェントアーキテクチャに適用する方法を実証することで、エージェント型AIに関連する実装リスクの低減を目指す。得られたフィードバックは、プロジェクトの範囲、実現可能性、潜在的な価値を判断し、実証活動やその他のNCCoE成果物が課題解決に最適かどうかを判断する材料となる。コミュニティからの意見は、プロジェクト概要案の作成や協力者募集など、今後のプロジェクト計画策定活動に反映される。 |
| Note to Reviewers | 査読者への注記 |
| Artificial Intelligence (AI) technology brings great opportunities to organizations. Specifically, AI agents offer the promise of improved productivity, efficiency, and decision-making in complex scenarios. But these benefits cannot be realized without the ability to understand the security properties of deployed agents and apply appropriate controls as they access diverse data sets, tools, and applications to execute their mission. More specifically, organizations need to understand how identity principles such as identification, authentication, and authorization can apply to agents to provide appropriate protections while enabling business value. | 人工知能(AI)技術は組織に大きな機会をもたらす。具体的には、AIエージェントは複雑なシナリオにおける生産性、効率性、意思決定の改善を約束する。しかし、これらの利点は、展開されたエージェントのセキュリティ特性を理解し、多様なデータセット、ツール、アプリケーションにアクセスして任務を遂行する際に適切な制御を適用する能力なしには実現できない。より具体的には、組織は、識別、認証、認可といったアイデンティティ原則をエージェントに適用し、ビジネス価値を実現しつつ適切な保護を提供する方法について理解する必要がある。 |
| NIST recognizes the need to better understand these challenges as agencies and organizations consider adopting agentic capabilities. As such the National Cybersecurity Center of Excellence is considering a demonstration of how identity and authorization standards and best practices can be applied to AI agents. To inform its next steps, NIST is seeking input on the technical and operational considerations, standards and technology landscape, and overall scope, focus, and value of this project. In particular, NIST is interested in stakeholder perspectives on the following questions. These questions complement but are distinct from an RFI about securing AI agents issued by the Center for AI Standards and Innovation (CAISI) within NIST that will inform guidelines development for broader research agendas. Responses will be used to inform the scope, priorities and technical feasibility of a NCCoE demonstration project. | NISTは、政府機関や組織がエージェント機能の導入を検討する中で、これらの課題をより深く理解する必要性を認識している。このため、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、アイデンティティと認可の標準およびベストプラクティスをAIエージェントに適用する方法を実証することを検討している。今後の対応を決定するため、NISTは本プロジェクトの技術的・運用上の考慮事項、標準と技術環境、全体的な範囲・焦点・価値に関する意見を求めている。特にNISTは、以下の質問に対する関係者の見解に関心を持っている。これらの質問は、NIST内のAI標準化・イノベーションセンター(CAISI)が発行したAIエージェントのセキュリティ確保に関するRFI(情報提供要請)を補完するものであるが、それとは別のものである。CAISIのRFIは、より広範な研究アジェンダのためのガイドライン策定に資するものである。回答は、NCCoE実証プロジェクトの範囲、優先順位、技術的実現可能性を判断する材料として活用される。 |
| 1. General Questions to inform choice of Demonstration Use Case | 1. 実証ユースケース選定のための一般的な質問 |
| • What enterprise use-cases are organizations currently using agents for? | • 組織は現在、エージェントをどのようなエンタープライズユースケースに活用しているか? |
| • Which use-cases are in the near future? | • 近い将来に導入が予定されているユースケースは何か? |
| • What opportunities do agents present? | • エージェントがもたらす機会は何か? |
| • What risks worry you about agents? | • エージェントに関して懸念されるリスクは何か? |
| • What are the core characteristics of agentic architectures? | • エージェントアーキテクチャの中核的特徴は何か? |
| • What support are you seeing for new protocols such as Model Context Protocol (MCP)? | • モデルコンテキストプロトコル(MCP)などの新規プロトコルに対する支援状況はどうか? |
| • In what ways do agentic architectures introduce identity and authorization challenges? | • エージェントアーキテクチャは、どのような形でIDと認可の課題を提示するのか? |
| o How do AI agents differ from other forms of software agents? | o AIエージェントは他のソフトウェアエージェントとどう異なるか? |
| o How are agentic architectures different from current microservices architectures? | o エージェントアーキテクチャは現行のマイクロサービスアーキテクチャとどう異なるか? |
| • What current or roadmap technology does your organization have that supports agents? | • 組織がエージェントをサポートするために現在保有している、またはロードマップ上の技術は何か? |
| • What standards exist, or are emerging, to support identity and access management of agents? How might these need to be adapted to support new security risks or paradigms introduced by AI agents? | • エージェントのアイデンティティとアクセス管理をサポートする既存または新興の標準は何か?AIエージェントがもたらす新たなセキュリティリスクやパラダイムに対応するため、これらをどう適応させる必要があるか? |
| 2. Identification | 2. 識別 |
| • How might agents be identified in an enterprise architecture? | • エンタープライズアーキテクチャにおいてエージェントをどのように識別するか? |
| o What metadata is essential for an AI agent's identity? | o AIエージェントのアイデンティティに不可欠なメタデータは何か? |
| o Should agent identity metadata be ephemeral (e.g. task dependent) or is it fixed? | o エージェントのアイデンティティメタデータは一時的(例:タスク依存)であるべきか、それとも固定されるべきか? |
| • Should agent identities be tied to specific hardware, software, or organizational boundaries? How would this be enforced? | • エージェントのアイデンティティは特定のハードウェア、ソフトウェア、または組織境界に紐付けるべきか?これをどのように強制するか? |
| 3. Authentication | 3. 認証 |
| • What constitutes a strong authentication for an AI agent? | • AIエージェントに対する強固な認証とは何か? |
| • How do we handle key management for agents? Issuance, update, and revocation? | • エージェントの鍵管理をどう扱うか?発行、更新、失効は? |
| 4. Authorization | 4. 認可 |
| • How can zero-trust principles be applied to agent authorization? | • エージェント認可にゼロトラスト原則をどう適用するか? |
| • Can authorization policies be dynamically updated when an agent context changes? | • エージェントのコンテキストが変化した際、認可ポリシーを動的に更新できるか? |
| ○ For example, if an agent gets access to new tools and resources, how do we determine sensitivity levels of data when aggregated by an agent, and whether users are authorized to access the aggregated response? | ○ 例えば、エージェントが新たなツールやリソースにアクセスした場合、エージェントが集約したデータの機密レベルをどう判断するか。また、ユーザーが集約された応答に認可があるかどうかをどう判断するか。 |
| • How do we establish "least privilege" for an agent, especially when its required actions might not be fully predictable when deployed? | • エージェントに対して「最小権限」をどう確立するか。特に、展開時に必要な動作が完全に予測できない場合、どうするか。 |
| • What are the mechanisms for an agent to prove its authority to perform a specific action? | • エージェントが特定の動作を実行する認可を証明する仕組みは何か。 |
| • How might an agent convey the intent of its actions? | • エージェントは自身の行動意図をどのように伝達するのか? |
| • How do we handle delegation of authority for “on behalf of” scenarios? | • 「代理」シナリオにおける権限委譲をどう扱うのか? |
| • How do we bind agent identity with human identity to support “human-in-theloop” authorizations? | • 「人間介在型」認可をサポートするため、エージェントの身元と人間の身元をどう紐付けるのか? |
| 5. Auditing and non-repudiation | 5. 監査と否認防止 |
| • How can we ensure that agents log their actions and intent in a tamper-proof and verifiable manner? | • エージェントが自身の行動と意図を改ざん防止かつ検証可能な方法で記録することをどう保証するのか? |
| • How do we ensure non-repudiation for agent actions and binding back to human authorization? | • エージェントの行動に対する否認防止と、人間の認可への紐付けをどう保証するか? |
| 6. Prompt Injection prevention and mitigation | 6. プロンプト・インジェクションの防止と緩和策 |
| • What controls help prevent both direct and indirect prompt injections? | • 直接的・間接的プロンプト・インジェクションを防止する制御手段は何か? |
| • After prompt injection occurs, what controls/practices can minimize the impact of the injection? | • プロンプト・インジェクション発生後、その影響を最小限に抑える制御手段や対策は何か? |
| Feel free to share your thoughts with us via AI-Identity@nist.gov by April 2nd, 2026. | 2026年4月2日までに、AI-Identity@nist.gov までご意見をお寄せください。 |
| 1. PROJECT CONCEPT | 1. プロジェクト概要 |
| The NIST National Cybersecurity Center of Excellence is planning a project focused on applying identity standards and best practices to AI agents. This concept paper introduces the technical focus and scope of the proposed project, including the nature of the challenge, the types of architectures considered, and the identity standards that could be applied as part of this effort. NIST is seeking feedback from stakeholders and technology collaborators on the technical reality and reasonableness of this concept and is open to suggestions on how standards and best practices can be applied to address this challenge. | NIST国立サイバーセキュリティ・センター・オブ・エクセレンスは、AIエージェントへのアイデンティティ標準とベストプラクティスの適用に焦点を当てたプロジェクトを計画している。本コンセプトペーパーでは、提案プロジェクトの技術的焦点と範囲を紹介する。これには課題の本質、検討対象となるアーキテクチャの種類、本取り組みで適用可能なアイデンティティ標準が含まれる。NISTは、このコンセプトの技術的実現可能性と妥当性について、関係者及び技術協力者からのフィードバックを求めている。また、この課題に対処するために標準とベストプラクティスを適用する方法に関する提案も歓迎する。 |
| Challenge Overview | 課題の概要 |
| For well over a decade, code-based systems have been used to enable automation, cloud workloads, and the deployment of APIs. However, with the advancement of software and AI agents—systems that have the capability for autonomous decisionmaking and taking action with limited human supervision to achieve complex goals—the scale and range of actions taken by these systems has the potential to increase exponentially. This increased scale and autonomy brings new opportunities as well as new risks. To enable effective management of these risks and to securely capitalize on these opportunities, enterprises and individuals need to understand how foundational identity principles—identification, authentication, and authorization—can be applied to ensure that agents are known, trusted, and properly governed. | 10年以上前から、コードベースのシステムは自動化、クラウドワークロード、APIの展開を可能にしてきた。しかし、ソフトウェアとAIエージェント(複雑な目標達成のために人間の監督を最小限に抑えながら自律的な意思決定と行動を実行する能力を持つシステム)の進歩に伴い、これらのシステムが実行する行動の規模と範囲は指数関数的に拡大する可能性がある。この規模と自律性の拡大は新たな機会をもたらす一方で、新たなリスクも生み出す。これらのリスクを効果的に管理し、機会を安全に活用するためには、エンタープライズや個人が、エージェントが認識され、信頼され、適切にガバナンスされることを保証するために、基礎的なアイデンティティ原則(識別、認証、認可)をどのように適用できるかを理解する必要がある。 |
| Scope | 範囲 |
| This project will focus on applying identity standards and best practices to agentic architectures as depicted in Figure 1. Agentic architectures are ones that take in some set of instructions, dynamically acquire additional context from other resources based on those instructions, process the results, potentially take some sort of action and return a response. Retrieval-Augmented Generation (RAG) and architectures using only an LLM with its associated training data are out of scope of our project. Appendix A offers a supplement flow diagram. | 本プロジェクトは、図1に示すエージェント型アーキテクチャにアイデンティティ標準とベストプラクティスを適用することに焦点を当てる。エージェント型アーキテクチャとは、一連の指示を受け取り、それらの指示に基づいて他のリソースから動的に追加のコンテキストを取得し、結果を処理し、何らかの行動を実行し、応答を返すものである。検索拡張生成(RAG)およびLLMとその関連トレーニングデータのみを使用するアーキテクチャは、本プロジェクトの対象外である。附属書Aにフロー図が示されている。 |
| Areas of Interest | 関心領域 |
| The areas below describe potential focus areas for exploration: | 以下の領域は、探求の潜在的な焦点領域を記述する: |
| ● Identification of AI and Software Systems. Leveraging existing standards, the project will explore available means to identify software and AI agents such that access management systems can distinguish between agent and human identities and effectively manage the range of actions an agent may take from controlled human-in-the-loop approval to autonomous action in response to an input. | ● AIおよびソフトウェアシステムの識別。既存の標準を活用し、本プロジェクトはソフトウェアとAIエージェントを識別する利用可能な手段を探求する。これにより、アクセス管理システムはエージェントと人間のアイデンティティを区別し、制御された人間介在型承認から入力への応答としての自律的行動まで、エージェントが取る可能性のある行動の範囲を効果的に管理できる。 |
| ● Authorization of AI Systems. Leveraging standards such as OAuth 2.0 and its extensions and policy-based access control mechanisms, to manage how rights and entitlements are granted to software and AI agents and to enforce access decisions based on the identity of the AI agent or software systems. | ● AIシステムの認可。OAuth 2.0とその拡張、ポリシーベースのアクセス管理メカニズムなどの標準を活用し、ソフトウェアおよびAIエージェントへの権利付与方法を管理する。AIエージェントまたはソフトウェアシステムのアイデンティティに基づいてアクセス決定を強制する。 |
| ● Access Delegation. Link specific user identities to AI agents or software systems to support effective delegation controls and maintain accountability for the actions of automated systems. | ● アクセス委任。特定のユーザーアイデンティティをAIエージェントまたはソフトウェアシステムに紐付け、効果的な委任制御を支援し、自動化システムの行動に対する説明責任を維持する。 |
| ● Logging and Transparency. Link specific AI agent and software systems actions to the identity of the non-human entity and enable effective visibility into the actions taken, data generated, and outcomes of automated activities within a given system, platform, or network. | ● ログ記録と透明性。特定のAIエージェントやソフトウェアシステムの動作を非人間事業体の識別情報に紐付け、特定のシステム・プラットフォーム・ネットワーク内における自動化活動の動作内容、生成データ、結果に対する効果的な可視性を実現する。 |
| ● Tracking Data Flows of an AI System. Track and maintain provenance of user prompts and data input sources to support risk determinations and policy decisions regarding actions to be taken by an AI Agent. | ● AIシステムのデータフロー追跡。ユーザープロンプトやデータ入力源の出所の来歴証明を追跡・維持し、AIエージェントが実行する動作に関するリスク判定やポリシー決定を支援する。 |
| 2. RELEVANT STANDARDS AND GUIDELINES | 2. 関連する標準とガイドライン |
| This project is currently considering the implementation of the following standards and best practices: | 本プロジェクトでは現在、以下の標準とベストプラクティスの実装を検討している: |
| ● Model Context Protocol: Model Context Protocol (MCP) is a protocol that enables AI models and agentic systems to discover, access, and interact with external tools, data sources, and services in a consistent and structured manner. The MCP protocol relies on existing identity standards such as Open Authorization (OAuth) and Open ID Connect (OIDC) for rights delegation and authentication. | ● モデルコンテキストプロトコル:モデルコンテキストプロトコル(MCP)は、AIモデルとエージェントシステムが外部ツール、データソース、サービスを一貫した構造化された方法で発見、アクセス、相互作用することを可能にするプロトコルである。MCPプロトコルは、権限委譲と認証のためにOpen Authorization(OAuth)やOpen ID Connect(OIDC)といった既存のID標準に依存している。 |
| ● OAuth 2.0/2.1 and extensions: OAuth is an authorization standard that can be used to support access control objectives. The standard defines a set of technical specifications for the generation, protection, and delivery of authorization tokens (JSON Web Tokens or JWT) to different connected endpoints (e.g., servers). There are multiple profiles and extensions of OAuth to support specific use cases, security properties, and features. At this time, OAuth is integrated into the MCP as the primary method for authorizing agentic access. The specification follows the draft OAuth 2.1 standard. | ● OAuth 2.0/2.1および拡張機能:OAuthはアクセス管理目標を支援するために使用できる認可標準である。この標準は、認証トークン(JSON Web TokensまたはJWT)を生成・防御・配信するための技術仕様を定義し、異なる接続エンドポイント(例:サーバー)に提供する。特定のユースケース、セキュリティ特性、機能をサポートするため、OAuthには複数のプロファイルと拡張が存在する。現時点では、OAuthはエージェントアクセスを認可する主要な方法としてMCPに統合されている。仕様はドラフト版OAuth 2.1標準に準拠している。 |
| ● OpenID Connect: OIDC is an interoperable authentication protocol based on the OAuth 2.0 framework of specifications. Essentially, it provides a consistent way for expressing authentication, consent, and authorization information through identity tokens that can support access outcomes related to Agents or users when interacting with Agents. | ● OpenID Connect: OIDCはOAuth 2.0枠組みに基づく相互運用可能な認証プロトコルである。本質的に、エージェントやエージェントとのやり取りにおけるユーザーに関連するアクセス結果をサポート可能なIDトークンを通じて、認証・同意・認可情報を表現する一貫した方法を提供する。 |
| ● SPIFFE/SPIRE: Secure Production Identity Framework for Everyone (SPIFFE) is a framework for issuing and managing cryptographic identities to workloads and SPIFFE Runtime Environment (SPIRE) is an implementation of SPIFFE that provides APIs for workload attestation. Together they represent one way in which agent workloads could be identified and authenticated. | ● SPIFFE/SPIRE: Secure Production Identity Framework for Everyone (SPIFFE) はワークロードに暗号アイデンティティを発行・管理する枠組みであり、SPIFFE Runtime Environment (SPIRE) はワークロード認証用APIを提供するSPIFFEの実装である。これらを組み合わせることで、エージェントワークロードを識別・認証する一つの方法が実現される。 |
| ● System for Cross-domain Identity Management: System for Cross-domain Identity Management (SCIM) is a standard that defines RESTful APIs and JSON schemas for automating the provisioning, deprovisioning, and lifecycle management of identities across systems. While SCIM does not provide authentication or authorization, it does provide a potential way to create, update and revoke agent identities across systems. | ● クロスドメインID管理システム:クロスドメインID管理システム(SCIM)は、システム間でのIDのプロビジョニング、デプロビジョニング、ライフサイクル管理を自動化するためのRESTful APIとJSONスキーマを定義する標準である。SCIMは認証や認可を提供しないが、システム間でエージェントIDを作成、更新、失効させる潜在的な方法を提供する。 |
| ● Next Generation Access Control: Next Generation Access Control (NGAC) is an attribute-based access control standard that represents access control policies in a unified graph of users, objects, attributes, and policy classes to enable fine grained access control across a wide breadth of policies and resources. NGAC also supports event driven policy updates, native delegation and least privilege making it suitable for agentic systems. | ● 次世代アクセス管理:次世代アクセス管理(NGAC)は属性ベースのアクセス管理標準であり、ユーザー、オブジェクト、属性、ポリシークラスを統合したグラフでアクセス管理ポリシーを表現する。これにより広範なポリシーとリソースにわたるきめ細かいアクセス管理が可能となる。NGACはイベント駆動型ポリシー更新、ネイティブ委任、最小権限原則もサポートするため、エージェントシステムに適している。 |
| NIST will also apply relevant guidelines from SP 800-207 Zero Trust Architecture, SP80063-4 Digital Identity Guidelines, NISTIR 8587 Protecting Tokens and Assertions from Forgery, Theft, and Misuse and other NIST guidelines as applicable. | NISTはまた、SP 800-207「ゼロトラストアーキテクチャ」、SP80063-4「デジタルIDガイドライン」、NISTIR 8587「トークンと主張の偽造・盗難・悪用からの防御」およびその他の適用可能なNISTガイドラインから関連する指針を適用する。 |
| We are open to feedback on other models, methodologies, protocols, best practices, or standards that might address this challenge. | この課題に対処し得る他のモデル、方法論、プロトコル、ベストプラクティス、標準に関するフィードバックを歓迎する。 |
| 3. POSSIBLE USE CASES | 3. 想定されるユースケース |
| The focus of the project will be on enterprise use-cases where greater control and visibility can be maintained over agents and the systems they access. The challenge of identifying and managing access for external agents from untrusted sources will not be addressed under this initial effort, but use-cases focused on public facing or individual agents could be addressed in future iterations of the project. | 本プロジェクトの焦点は、エージェントおよびアクセス対象システムに対する制御と可視性をより高く維持できるエンタープライズ内ユースケースに置かれる。信頼できないソースからの外部エージェントのアクセスを識別・管理する課題は、この初期段階では対象外とするが、対外向けまたは個人エージェントに焦点を当てたユースケースは、プロジェクトの将来的な展開で検討される可能性がある。 |
| NIST is actively seeking feedback on real-world use cases being evaluated by agencies and enterprises. Potential use-cases could include the following: | NISTは、政府機関やエンタープライズが評価中の実世界のユースケースに関するフィードバックを積極的に求めている。潜在的なユースケースには以下が含まれる可能性がある: |
| ● Enterprise AI agents to improve work force efficiency and decision making. This use case would focus on implementing controls to address the use of AI agents and software to improve staff efficiency in everyday tasks (e.g., managing calendars, assessing and creating policy documents, generating decision recommendations). To support this use case, agents and software will need delegated and managed access to multiple data sources to take actions based on user prompts or inputs. | ● 労働力効率と意思決定を改善するエンタープライズ向けAIエージェント。このユースケースは、日常業務(例:カレンダー管理、政策文書のアセスメント・作成、意思決定推奨事項の生成)におけるスタッフの効率向上を目的としたAIエージェント・ソフトウェアの使用に対処する制御手段の実装に焦点を当てる。このユースケースを支援するため、エージェントとソフトウェアは、ユーザーの指示や入力に基づいて行動を起こすために、複数のデータソースへの委任された管理アクセスを必要とする。 |
| ● Enterprise AI agents for security. This use case would focus on agents and software that analyze security information and either take or recommend security actions for an organization. As with use case #1, this will include nonhuman identities that access data from across a set of connected systems, but with an elevated risk due to the sensitivity of security data. | ● セキュリティのためのエンタープライズAIエージェント。このユースケースは、セキュリティ情報を分析し、組織に対してセキュリティ対策を実行または推奨するエージェントとソフトウェアに焦点を当てる。ユースケース#1と同様に、これは一連の接続システムからデータにアクセスする非人間的なアイデンティティを含むが、セキュリティデータの機密性によりリスクが上昇する。 |
| ● Enterprise AI agents for software development and deployment. This use case would focus on automated processes for developing and deploying software and how entitlements and authorization are supported in automated deployment pipelines that use AI Agents. | ● ソフトウェア開発・展開向けエンタープライズAIエージェント。このユースケースは、ソフトウェア開発・展開の自動化プロセスと、AIエージェントを利用する自動展開パイプラインにおける権限付与・認可の支援方法に焦点を当てる。 |
| 4. DESIRED OUTCOMES | 4. 期待される成果 |
| The planned NCCoE project on software and AI agent identity and authorization will focus on producing practical, implementation-oriented guidelines to help organizations adopt agentic capabilities while managing cybersecurity risk. Consistent with the NCCoE mission, the ultimate deliverable will be a practice guide detailing example implementation details built in the NCCoE laboratories using commercially available technologies, along with key lessons learned along the way. Similar to the recent Mobile Driver’s License project, this project intends to iteratively provide outputs that increase awareness of the overall technology and security space related to agentic AI identity and authorization. | ソフトウェアおよびAIエージェントのアイデンティティと認可に関するNCCoE計画プロジェクトは、組織がサイバーセキュリティリスクを管理しつつエージェント機能を採択できるよう、実践的で実装指向のガイドライン作成に焦点を当てる。NCCoEの使命に沿い、最終成果物として商用技術を用いてNCCoE研究所で構築した実装例の詳細と、その過程で得られた主要な教訓を記載した実践ガイドを提供する。最近のモバイル運転免許証プロジェクトと同様に、本プロジェクトはエージェント型AIのアイデンティティと認可に関連する技術・セキュリティ領域全体の認知度を高める成果を反復的に提供する。 |
| Overall, this project seeks to: | 全体として、本プロジェクトは以下の目的を追求する: |
| ● Provide a better understanding of how agents can be deployed in line with identity and authorization standards and best practices to help agencies and enterprise maximize value and minimize risk | ● 機関やエンタープライズが価値を最大化しリスクを最小化できるよう、アイデンティティと認可の標準およびベストプラクティスに沿ったエージェントの展開方法に関する理解を深める |
| ● Create relationships and mechanisms to provide feedback to standards development entities as they advance and evolve standards in the agentic ecosystem | ● エージェントエコシステムにおける標準の進展・進化に伴い、標準開発事業体へフィードバックを提供する関係性と仕組みを構築する |
| ● Identify and communicate risks and opportunities associated with real-world deployments of Agentic AI solutions | ● エージェント型AIソリューションの実世界展開に伴うリスクと機会を識別し、伝達する |
| ● Provide detailed implementation resources that can enable more rapid adoption of agentic technology, consistent with risk management and organizational goals | ● リスクマネジメントと組織目標に沿いながら、エージェント技術の迅速な採用を可能にする詳細な実装リソースを提供する |
| Seeking Public Comment | パブリックコメント募集 |
| The NCCoE is open to suggestions on how NCCoE resources may be able to advance the adoption of sound security principles and best practices relating to the identification, authentication, and authorization of AI agents. | NCCoEは、AIエージェントの識別・認証・認可に関する健全なセキュリティ原則とベストプラクティスの採用を促進するため、NCCoEリソースの活用方法に関する提案を広く受け付ける。 |
| Based upon community feedback on these topics, the NCCoE will consider instantiating a project to engage in building an example solution using commercially available technology. Public comments on this concept paper will help the NCCoE understand specific challenges and needs and may be used to help define a project description. | これらのトピックに関するコミュニティからのフィードバックに基づき、NCCoEは市販技術を用いたサンプルソリューション構築プロジェクトの立ち上げを検討する。本コンセプトペーパーへの公開コメントは、NCCoEが具体的な課題やニーズを理解するのに役立ち、プロジェクト概要の定義に活用される可能性がある。 |
| Comments on this publication may be submitted to: AI-Identity@nist.gov | 本公開資料へのコメントは以下へ提出可能:AI-Identity@nist.gov |
| APPENDIX A. EXAMPLE AGENTIC ARCHITECTURE FLOW DIAGRAM | 附属書A. エージェントアーキテクチャ例フロー図 |
| The below flow diagram offers a sequential view of how the different components of an agentic architecture might interact. Of note is the iterative nature of the interactions between the agent and the reasoning model (such as an LLM), where an agent may fetch tools and resources for the reasoning model multiple times to update the model with data, context or prompts. | 以下のフロー図は、エージェントアーキテクチャの異なるコンポーネントがどのように相互作用するかを時系列で示している。特に注目すべきは、エージェントと推論モデル(LLMなど)間の反復的な性質である。エージェントは推論モデルにデータ、コンテキスト、プロンプトを提供するため、ツールやリソースを複数回取得することがある。 |
| Figure 2. Example Agentic Flow Diagram | 図2. エージェントフロー図の例 |
● まるちゃんの情報セキュリティ気まぐれ日記
Agentic AI
・2026.02.09 CSA 自律型AIエージェントのセキュリティ確保
・2026.02.04 シンガポール 韓国 現実的なタスクにおけるデータ漏洩リスクに対するAIエージェントのテスト (2026.01.19)
・2026.01.15 英国 ICO技術展望: エージェント型AI(Agentic AI)
・2026.01.15 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)
Recent Comments