AIがIDを直接管理。国内初MCP対応の衝撃

退職したはずの社員のアカウントが、数カ月間も削除されずに残存している。そんな「幽霊アカウント」が引き金となって起こる情報漏洩は、多くの企業にとって最も身近でありながら、防ぎきることが難しいリスクであり続けてきた。業務で利用するSaaSが急増する中、一つひとつの権限設定を手作業で棚卸しする情報システム部門の負担は限界に達している。こうした「非効率な隙間」に潜む脆弱性を、最新の知能が埋めようとしている。
GMOグローバルサイン株式会社が提供するID管理・認証サービス「GMOトラスト・ログイン」は、2026年4月末、国内IDaaS（※1）として初めて「MCP（Model Context Protocol）」への対応を開始した。生成AIが外部データへ安全に接続するための標準プロトコルを実装したことで、AIチャットを通じたID監査や運用の自動化が現実のものとなる。管理画面を延々と行き来する時代を終え、対話によって権限を統治する。新たなアイデンティティ管理のあり方が、今まさに始まろうとしている。（文＝AI Base編集部）

（※1）IDaaS（Identity as a Service）。クラウド上で社員のIDやアクセス権限を一括管理するサービス

（引用元：PR TIMES）

2026年4月30日に提供が開始されたMCP対応機能は、AIエージェントと企業のID管理基盤を直接連携させる「共通言語」として機能する。MCPは、AIが外部のシステムやデータに安全かつ標準的な形式でアクセスするためのオープンな仕組みだ。これまでのAI活用は、情報を要約したり助言を与えたりする「相談相手」にとどまっていたが、このプロトコルの採用により、AIはID管理システム内の情報を自ら参照し、実務を支援する「実働部隊」へと進化する。

具体的な活用シーンは多岐にわたる。第一に、退職予定者に紐づくSaaSの利用実態やアクセス状況の自動抽出がある。管理者がAIに問いかけるだけで削除漏れを即座に特定し、セキュリティリスクを未然に防ぐ。第二に、不審なログインが発生した際の初動支援。関連するログをAIが瞬時に整理・抽出することで、影響範囲の把握を大幅に迅速化する。第三に、定期的なアカウントの棚卸し業務の効率化。そして第四に、ユーザーの所属グループや権限状況をチャット上で即座に確認できる日常的な運用支援がある。

2026年5月現在、本機能はプレリリースとして提供されており、特定のプランを利用するユーザーを対象に検証が進められている。AIを通じて、管理に必要な情報を自然言語で素早く引き出せる環境の整備は、属人化しがちなセキュリティ運用の平準化に向けた有力な布石となることが期待される。

GMOトラスト・ログインによる今回のMCP対応が示すもの、それは企業のガバナンスにおける「執行者」としてのAIの台頭である。

AIが自律的にタスクを遂行する「エージェント経済」が到来しつつある2026年において、最大の課題は「AIにどこまでの権限を与えるか」というガバナンスの構築にある。IDaaSとAIが直結することは、AIが組織の正当な構成員として、定義されたルールに基づき自律的に監査・運用を担うための不可欠なプロセスとなる。人間がルールを決め、AIがそのルールに従って膨大なアカウントや権限を動的に監視し続ける。この役割分担の確立こそが、ゼロトラスト時代における企業のレジリエンスを支える基盤となるはずだ。

また、この進化は深刻なIT人材不足に直面する日本企業にとっての生存戦略でもある。専門性が高く、かつ反復的な確認作業が求められるセキュリティ業務をAIに任せることで、人間はより高度な戦略策定や例外的なインシデントの対応に集中できる。「技術導入によって、かえって運用の手間が増えてしまう」というこれまでの矛盾を、MCPという標準規格によって解消した意義は極めて大きいといえるだろう。

ID管理のあり方は、「誰に権限を与えるか」という静的な設定から、AIを用いて「いかに高い精度で統治し続けるか」という動的な制御へと移行しつつある。GMOグローバルサインが提示したMCP対応は、AIエージェントとID管理基盤を標準的なプロトコルで直結させることで、組織のガバナンスを人手の限界を超えて機能させるための有効な手段となるはずだ。

AIという名の門番が、企業のアイデンティティを24時間体制で守り抜く。その確かな手触りを伴った自動化の波は、日本のセキュリティ運用の景色をより強固なものへと書き換えていくだろう。