社内AIエージェントに業務システムをつなぐ前に — 権限管理(MCP認可)の要点 | GH Media
URLがコピーされました

社内AIエージェントに業務システムをつなぐ前に — 権限管理(MCP認可)の要点

URLがコピーされました
社内AIエージェントに業務システムをつなぐ前に — 権限管理(MCP認可)の要点

「AIエージェントに社内の顧客管理システムや請求データを扱わせて、問い合わせ対応や集計を自動化できないか、という話が社内で出ています。ただ、AIに業務システムの操作を任せるとなると、どこまでの権限を渡すのか、退職した社員が使っていた分はちゃんと止まるのか、その辺りが不安で決めきれません」——サービス業の会社で情報システムを見ている方から、こんな相談を受けました。AIエージェントで業務を自動化したい気持ちはあるものの、社内システムに手を触れさせる怖さが先に立つ、という声はよく聞きます。

この不安は感覚的なものではなく、実際に技術面で長らく穴になっていた部分です。そして2026年、その穴をふさぐ仕組みとして、MCP(AIエージェントと外部システムをつなぐ標準的な仕組み)の 企業向け認可拡張(Enterprise-Managed Authorization、EMA) が安定版になりました。本記事では、なぜAIエージェントと社内システムの接続で権限が問題になるのか、EMAが何を解決するのか、そして導入を検討する発注側が何を確認すべきかを整理します。

なぜ「AIエージェント × 社内システム」で権限が問題になるのか

AIエージェントを業務に入れるとき、見落とされがちなのが「エージェントは何者として社内システムにアクセスするのか」という点です。人間の社員であれば、入社時にアカウントが発行され、退職時に止められ、誰が何にアクセスできるかは情報システム部門が管理しています。ところが、AIエージェントが業務システムにつながるとき、この管理の外側で接続が作られてしまうことが起きます。

典型的なのが、認証情報がコードに埋め込まれるパターンです。エージェントにシステムを触らせるために、担当者がAPIキーやパスワードをプログラムの中に直接書き込む。これが各所に散らばると、誰がどのシステムにどこまでアクセスできるのかを情報システム部門が把握できなくなり、退職者が関わっていた接続を止め忘れる、といった事故につながります。実際、決済・顧客管理・コードレビューといった重要な業務システムがAIエージェントに開かれる一方で、その接続がIT部門の監視の外で増え、管理されないまま攻撃対象が広がっている、という指摘が出ています。AIエージェントを社内システムから隔離して守る発想はAIエージェントをバックエンドから遮断する記事でも扱いました。要は、「便利だから」と接続を先に進めると、権限の管理が後回しになりやすいのです。

MCPの企業向け認可(EMA)が解決すること

EMAが変えるのは、この「野放しの接続」を、会社が普段使っている本人確認の仕組み(IdP=IDプロバイダ、たとえば社内のシングルサインオン)の管理下に戻す点です。

従来は、エージェントがつなぐ先のシステムごとに個別に認証を通す必要があり、その過程が各担当者任せになっていました。EMAでは、どのAIエージェントがどの社内システムにアクセスできるかを、会社のIdPが一元的に決めます。社員は普段の会社アカウントでログインするだけで、許可されたシステムに接続された状態になり、システムごとに個別の認証情報を持つ必要がなくなります。

発注側にとって実務的に大きいのは、アクセスの停止が一箇所で効くことです。社員が退職してIdP側でアカウントを無効にすれば、その人に紐づくAIエージェント経由のアクセスも同時に、すべてのシステムに対して即座に止まります。「あのエージェントの接続、止め忘れていた」が構造的に起きにくくなる。誰がいつ何にアクセスしたかも一本の記録に集約されるため、監査もしやすくなります。この仕組みは、Anthropic や Microsoft、Okta といった主要な事業者が採用を進めており、業界標準として広がりつつあります。

発注者が導入前に確認すべきこと

AIエージェントの社内導入を外部に相談する、あるいは自社で進めるとき、発注する側として押さえておくべき確認点があります。「動けばよい」で進めず、次の点が設計に含まれているかを確かめてください。

確認する点見るべき内容
IdPとの連携会社の本人確認の仕組み(SSO/IdP)を通じて権限を管理しているか
権限の最小化エージェントに渡す権限が、業務に必要な範囲に絞られているか
認証情報の扱いAPIキーなどをコードに直接埋め込んでいないか
アクセスの失効退職・異動時に、一箇所の操作で接続を止められるか
監査ログ誰の・どのエージェントが・何にアクセスしたかを記録・追跡できるか

とくに重要なのが、権限の最小化と失効の確実さです。AIエージェントに「念のため全部の権限」を渡すのは、人間の社員に全システムの管理者権限を配るのと同じで、事故が起きたときの被害が大きくなります。業務に必要な範囲だけを渡し、不要になったら確実に止められる——この設計になっているかが、安全に自動化を進められるかの分かれ目です。社内でAIをどう使わせるかのルール作りは生成AI利用ポリシーの記事、エージェント全体の統制はAIエージェントのガバナンスの記事も参考になります。

「全部つなぐ」前に、小さく始める

EMAのような仕組みが整ってきたとはいえ、いきなり基幹システム全体をAIエージェントに開く必要はありません。現実的なのは、まず影響の小さい範囲——たとえば読み取りだけの参照業務や、一つの部門の限られたデータ——から始めて、権限管理と監査が想定どおり効くことを確かめることです。そこで運用の勘所をつかんでから、対象を広げていく。この順序を踏むだけで、自動化のメリットを取りながら、暴走や漏えいのリスクを抑えられます。

弊社が導入を支援したある会社でも、最初から基幹システムにはつながず、問い合わせ内容をFAQと突き合わせて下書きを作る「読み取りだけ」の業務からAIエージェントを入れました。書き込みや顧客データの更新は人間が最終確認する運用にとどめ、その間にIdP経由の権限管理と、誰のどのエージェントが何を参照したかの記録が想定どおり残ることを確認しています。そこで安心して初めて、次の段階として一部の集計処理に範囲を広げました。いきなり全体を任せず、止められる・追える状態を作ってから広げたことで、現場の抵抗も小さく済んでいます。

「AIエージェントで業務を自動化したいが、社内システムへのアクセス管理が不安」「どこまでの権限を渡すべきか、退職者の接続をどう止めるか設計してほしい」「小さく始めて安全に広げる進め方を相談したい」——そうしたお悩みがあれば、グリームハブの開発・AI・自動化のご相談からお気軽にお問い合わせください。権限管理と監査を最初から組み込んだ形で、社内AIエージェントの導入をご一緒に設計します。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事

「TECH」の記事一覧を見る