連邦政府機関は、「アソシエイト」という言葉の意味の根本的な変化に直面しています。 2026 年には、AI システム自体が同盟者となり、マシンの速度で機密性の高いタスクを実行します。この進展により、政府機関はインサイダーリスクについて再考する必要に迫られています。 1月初め、サイバー・インフラストラクチャ・セキュリティ庁は内部関係者の脅威に関する新たなガイダンスを発行し、重要なインフラに対策を講じるよう促した。政府機関自体にとって、脅威は現在、悪意のある人間の行為を超えて、誤って設定された AI、合成 ID、およびデータ抽出を黙って可能にする悪意のない動作にまで広がっています。ホワイトハウスが最近発表したサイバー戦略でも、重要なインフラストラクチャのセキュリティの中心的な必要性が強調されており、全体的なサイバーヘルスを保護するために必要な本質的な変化がさらに明確にされています。
「内なるもの」は人間を超えて広がる
AI システムは現在、かつては権限のある担当者のみに割り当てられていた機密性の高いミッションクリティカルなタスクを実行していますが、従来の人間中心の制御をはるかに超える速度で動作する、不安定な形のリスクをもたらします。米国立標準技術研究所や管理予算局などの組織は、AI が誤って配置されたり起動されたりすると、ミリ秒単位で運用上の損害を引き起こす可能性があり、行動監視や AI ガバナンスを含む AI リスク管理が当面の優先事項になっていると特に警告しています。
これらの自律システムは、大幅な委任された権限で動作しますが、歴史的に人々に適用されてきたガバナンスがないため、巨大な規制空白が生じます。この変更は、悪意のある AI または侵害された AI が連邦政府の ID 用に設計された標準の ID ガバナンスとセキュリティ制御を回避できるリスクが増大していることを示しています。これらのフレームワークを大幅に更新しないと、デジタル担当者が人間の監督者が異常を検出する前に複雑な無許可のアクションを実行するため、政府機関は運用管理が完全に崩壊する危険があります。
連邦政府機関の信頼とアイデンティティが大規模に崩壊している
信頼の根本的な崩壊に直面している連邦政府機関は、AI による詐欺と人間以外のアイデンティティの驚異的な爆発という 2 つの脅威に対応するのに苦労しています。偽のディープななりすましや AI を活用したソーシャル エンジニアリングが急速に進化しており、連邦職員がだまされて不正アクセスを許可したり、ミッションの機密データを漏らしたりするリスクが大幅に増加しています。この状況の深刻さは、高度な合成アイデンティティ悪用と高官になりすました対象を絞ったなりすましキャンペーンに関する CISA と FBI からの最近の警告によって浮き彫りになっています。法執行機関やサイバーセキュリティの専門家が指摘しているように、「現在利用可能な防御策には、リスクを完全に軽減する強力な保証がありません。私たちはコミュニティに対し、より優れた防御策を考案することを奨励します。」
この信頼の低下は「アイデンティティの拡散」によってさらに複雑になり、ボット、サービス アカウント、自動化された AI エージェントなど、人間以外のアイデンティティの数が人間の従業員の数を 20 対 1 以上上回っています。これらのマシンレベルのエンティティは多くの場合、重要な特権を持って動作しますが、侵害を検出するために必要な監視は行われません。この可視性の欠如は永続的な脆弱性です。 GAO は、これらのマシン ID が管理が不十分であり、連邦企業全体でほとんど監査されていないとしてフラグを立て続けています。政府機関がこの膨大な人間以外の労働力を管理する方法を変更しない限り、インフラストラクチャは「サイレント」内部関係者に対して非常に脆弱なままであり、敵が従来の人間中心のセキュリティ制御を回避するために悪用する可能性があります。
人的要因が依然としてリスクを引き起こす
自動運転技術が急速に進歩しているにもかかわらず、インサイダー事件の中心的な原因は依然として人間です。絶え間ない疲労、気晴らし、任務のプレッシャーの下で業務を行う連邦職員は、安全性を損なうミスを犯す傾向がますます高まっています。実際、Proofpoint が調査した最高情報セキュリティ責任者 (CISO) の 4 人中 3 人 (74%) が、サイバーセキュリティの最大のリスクとして人的エラーを挙げ、技術的な防御の強さはそれを管理する人材の強さのみであると強調しました。しかし、人工知能の出現により、この内部関係者の脅威の可能性は根本的かつ指数関数的に変化しています。この脆弱性は、もはや不注意によるスワイプだけではなく、AI エージェントが以前は不可能だった速度で相互作用する可能性に関するものです。 OpenClaw を使用した以前のエクスプロイトはこの変化を強調し、悪意のあるプロセスがどのように連携して従来の防御を回避できるかを示しています。政治的意図を持つ悪意のある人間の内部関係者や悪意のある国民国家によって動かされた場合、AI 主導の戦術は敵対的な重大な結果をもたらすでしょう。
さらに、連邦政府の ID、認可、アクセス管理 (ICAM) プログラム内の「特権」にも人的エラーが追加され、従業員は時間の経過とともに過剰な特権を蓄積します。これらの過剰に承認されたアカウントは、内部インシデントの可能性を大幅に拡大し、単純なミスをシステム障害に変えます。依然として人間が連邦ネットワーク全体で AI とマシンの ID を定義、承認、監視しているため、行動リスクは依然として避けられない要因であり、継続的かつ予防的な監視が必要です。
組織は AI とエンタープライズを高リスク システムとして扱い、データ漏洩、悪用、新たな AI による脅威を防ぐために、承認されたユースケース、最小限のアクセス、多層セキュリティ制御、敵対的テスト、強力なガバナンスを強制する必要があります。エージェント AI ツールがユーザーに代わって自律的に動作することが増えているため、Center for Internet Security Controls (CIS)、NIST Special Publication 800-53、国際標準化機構 (ISO)/国際電気標準会議 (IEC) 27001 などの標準は、重要なユーザーに対するスクリプトとコマンドライン アクセスの制限と自律的動作のパターンの特定を強化する一方、組織は自律的動作を監視できます。 AI の自律性が拡大するにつれて、インサイダー リスク、調査のサポート、セキュリティとコンプライアンスの維持が可能になります。
内部リスクギャップを埋める
2026 年、連邦レベルでのインサイダー リスクは、もはや人間の関係者を追跡するだけではありません。それは、連邦の使命を管理するエコシステム全体、つまりプレッシャーの下で意思決定を行う人間、大規模なタスクを実行する人工知能システム、そしてバックグラウンドで静かに動作するマシンのアイデンティティを保護することです。それに応じて内部リスク戦略の策定に失敗した政府機関は、データだけでなく信頼、回復力、運用管理を失う危険があります。
連邦組織は、環境全体でマシンと人間のアイデンティティを迅速に区別し、どのアイデンティティが機密データにアクセスして制御できるかを理解し、エンタープライズ AI とエージェント AI をインサイダー リスクとして扱う必要があります。今すぐアクセス制御を強化することが不可欠です。次の大規模なサイバーインシデントは、何の前触れもなく連邦部門を襲う可能性があり、インサイダーによる暴露を軽減することは、私たちがコントロールできるリスクの 1 つです。
Michael Ryder は、連邦政府 DTEX のシニア ソリューション エンジニアです。
著作権 © 2026 連邦ニュース ネットワーク。無断転載を禁じます。このサイトは、欧州経済領域内のユーザーを対象としたものではありません。
