情シスがMCP環境導入時に打ちのめされる認可の崖

Transcript

1. Copyright © SoftBank Corp. OpenID TechNight vol.23 ~ AI x

   API x Enterprise 情シスがMCP環境導入時に打ちのめされる 認可の崖 2026/5/25 ソフトバンク株式会社 小松 隆行

2. Copyright © SoftBank Corp. 自己紹介 小松 隆行 ソフトバンク株式会社 技術統括 コーポレートIT本部

   所属 　・所属本部はいわゆる「情報システム」部門 　・業務のメインは自社サービス（個人 /法人）のお客様ID管理・認証プラットフォーム提供 　・その他、声がかかり次第 自社で管理するIDに関わるあらゆることを担当 　・OpenIDファウンデーション・ジャパン古参勢（ 2008年設立時より） 2

3. Copyright © SoftBank Corp. 本日お話すること・お話しないこと お話すること ・Enterprise領域におけるAgentic AIにおいて情シスID屋としての課題感の共有 ・現実的な対応（Quick Win

   から Long Term）へのエッセンス お話ししないこと ・自社における具体的な取り組みについて ・具体的な製品やソリューションの内容について 3

4. Copyright © SoftBank Corp. 本題に入る前に　ここ1年の ”AI × Enterprise” 振り返り ID屋視点での話題の中心はやはり

   MCP（Model Context Protocol） 　・“25-03-26”仕様でOAuth 2.1が採用 　・その後 “25-06-18” ”25-11-25” 二度 UPDATE 　　参考：OIDF-J倉林さん取りまとめ 25/6月 TechNight 25/12月 Bizday 　※ 現在もSEP (Specification Enhancement Proposals) ベースで 　※ 仕様のUPDATEが続いている ”情シスID屋” にも一定の提供イメージが沸く状況に 　・元々社内IdPとしてOAuth/OIDCはやれている 　・クライアント爆増問題は CIMDでカバーできそう... /specification/2025-11-25/basic/authorization みんな大好きMCP認可フロー 4

5. Copyright © SoftBank Corp. 本題に入る前に　ここ1年の ”AI × Enterprise” 振り返り 5

   The 2026-07-28 MCP Specification Release Candidate MCP “26-07-28” 仕様がリリース候補版に ・認証認可周りではRFC 9207の”推奨”( SEP-2468 ) RFC9207 OAuth 2.0 Authorization Server Issuer Identification MCPクライアント(Agentic AI）が複数の認可サーバと やり取りする際のMix-up攻撃対策として、codeリダイレクト 時にissパラメータを拡張する仕様 ほか ・MCPクライアントOIDC認可サーバからリフレッシュトークン を取得する場合に付ける offline_access scopeの取り扱い について( SEP-2207 ) など数点あり

6. Copyright © SoftBank Corp. 本題に入る前に　ここ1年の ”AI × Enterprise” 振り返り 6

   OpenIDファウンデーション・ジャパンお知らせより 「Identity Management for Agentic AI」の翻訳版公開 OpenID Foundation が昨年公開したホワイトペーパー 企業内のAgentic AI管理についての示唆も多い ・Agentic AI には人間同様に個別のID管理をしなさい ・人の”なりすまし”から”委任”ベースへ変革しなさい 　　誰の代理でどこまで行動するのか？を管理すること ・AIエージェントのライフサイクル管理を徹底しなさい 　　ワークロードに対する最小権限付与と完了時剥奪 ・ガバナンスを効かせ ガードレールを敷きなさい 　　スコープ減衰や認可の外部化（ PEP/PDP）をすること

7. 導入 MCP環境構築に至るまで

8. Copyright © SoftBank Corp. まず、”情シスID屋” というペルソナを己に宿す 役割 社内ITインフラの提供（EIAM管理） ミッション ・全社員のIDライフサイクルの自動化・効率化

   ・社内システム・SaaS利用における適正なアカウント管理 　※セキュリティと利便性の両立が常日頃求められている 特徴 ・普段からID管理製品に触れているが、製品内の要素技術、 　プロトコルにそこまで精通しているわけではない 最近の悩み ・社内でAI活用するためのIT環境準備を任されているが 　何から始めればよいのか？悩み中... 8 ペルソナ近影

9. Copyright © SoftBank Corp. 補足　企業の成長状況によって、そもそも企業ID管理の状況は異なる 2018年に作成した OIDF-J EIWG成果物　　　　　今回のペルソナに近いパターン「 F」 9

   F : 既存のID管理基盤で多量のID登録・更新・削 除を迅速正確に処理し、クラウドの業務ツールをど んどん導入したいイケイケ企業タイプ

10. Copyright © SoftBank Corp. ”情シスID屋”ペルソナの所属企業 フロントオフィス （顧客価値提供） バックオフィス （企業活動維持） 顧客

    （個人・法人） デリバリ・顧客サポート マーケティング 営業・セールス サービス開発・製造 情シス 経理・財務 総務・法務 人事・採用 サービス設備維持・保守 内部監査 社員DB 顧客DB 価値提供 価値提供 顧客 社員 社員 10

11. Copyright © SoftBank Corp. ”情シスID屋”のお仕事（従来） フロントオフィス （顧客価値提供） バックオフィス （企業活動維持） 顧客

    （個人・法人） デリバリ・顧客サポート マーケティング 営業・セールス サービス開発・製造 情シス 経理・財務 総務・法務 人事・採用 サービス設備維持・保守 内部監査 社員DB 顧客DB 価値提供 価値提供 社員 社員 11 アカウント 管理 業務上必要なシステムの 利用権限管理 顧客

12. Copyright © SoftBank Corp. アカウント 管理 社内システム・SaaS利用における適正なアカウント管理（従来） 12 社員A 業務

    データ 1 2 3 4 UI 画面A 画面B 権限A 権限B 業務システム Webサーバ UI 権限A 利用申請 UI 認証 画面 社内IdP Webサーバ 利用申請 Webサーバ １．業務システム利用申請 ３．業務システム利用時認証 ４．業務システム利用（社内） 利用SaaS ４．業務システム利用（社外 SaaS） ２．社員Aが業務システム・ SaaS に権限Aで利用可の連携 権限A 権限B UI

13. Copyright © SoftBank Corp. 直近の悩み（例１） フロントオフィス （顧客価値提供） バックオフィス （企業活動維持） 顧客

    （個人・法人） デリバリ・顧客サポート マーケティング 営業・セールス サービス開発・製造 情シス 経理・財務 総務・法務 人事・採用 サービス設備維持・保守 内部監査 社員DB 顧客DB 価値提供 価値提供 社員 社員 13 アカウント 管理DB AI活用できる開発環境くれ AIと販売データ接続したい AIに顧客情報見せたい AIに顧客サポートさせたい AIにログ分析させたい

14. Copyright © SoftBank Corp. 直近の悩み（例２） フロントオフィス （顧客価値提供） バックオフィス （企業活動維持） デリバリ・顧客サポート

    マーケティング 営業・セールス サービス開発・製造 情シス 経理・財務 総務・法務 人事・採用 サービス設備維持・保守 内部監査 社員DB 顧客DB 価値提供 社員 社員 14 アカウント 管理 AIと社員情報を接続したい 経理システムと接続したい AIに役員会議を整理させて AIと社員活動ログ繋げて

15. Copyright © SoftBank Corp. 社員「自分達が使いたい形でAIが使えるように」 情シス「...」 フロントオフィス （顧客価値提供） バックオフィス （企業維持）

    顧客 （個人・法人） デリバリ・顧客サポート マーケティング 営業・セールス サービス開発・製造 情シス 経理・財務 総務・法務 人事・採用 サービス設備維持・保守 内部監査 社員DB 顧客DB 価値提供 価値提供 社員 社員 15 顧客 アカウント 管理 AIに提供するデータの性質が違う フロント：顧客情報　バック：社内情報 AIに委任するアクセス権制御の複雑さが違う バックオフィスの方がより役職に応じた権限制御が必要 部門ツールが乱立して今にも制御不能！

16. Copyright © SoftBank Corp. 「情シスID屋」最近の悩み... 16 • 情シスID屋：従来の業務 ◦ 全社員のIDライフサイクルの自動化・効率化

    ◦ 社内システム・SaaS利用における適正なアカウント管理 • 直近の社内からの要望に応えるには ... ◦ AIと社内システム（SaaS含む）が持つ機能 & データを接続する必要がある → やはり外部データ・機能を扱うためのプロトコルである MCP対応が必要か → 同時に、AIに与える権限管理の設計が必要 → AIにID付番しないと管理も何も始まらない 　　→ 気づくと社内で AIツールが乱立し始めている。 AIのID管理だけでも大仕事だ → あれ、そもそも人間の業務ってそんなに明確に整理・棚卸できていたか？ 　　→ 例えば社内兼務者の AI利用時には、コンテキストベースでの権限制御が必要なはず ...

17. Copyright © SoftBank Corp. 「情シスID屋」最近の悩み... 17 • 情シスID屋：従来の業務 ◦ 全社員のIDライフサイクルの自動化・効率化

    ◦ 社内システム・SaaS利用における適正なアカウント管理 • 直近の社内からの要望に応えるには ... ◦ AIと社内システム（SaaS含む）が持つ機能 & データを接続する必要がある → やはり外部データ・機能を扱うためのプロトコルである MCP対応が必要か → 同時に、AIに与える権限管理の設計が必要 → AIにID付番しないと管理も何も始まらない 　　→ 気づくと社内で AIツールが乱立し始めている。 AIのID管理だけでも大仕事だ → あれ、そもそも人間の業務ってそんなに明確に整理・棚卸できていたか？ 　　→ 例えば社内兼務者の AI利用時には、コンテキストベースでの権限制御が必要なはず ... ・AIエージェントには人同様に個別のID管理をしなさい ・人の”なりすまし”から”委任”ベースへ変革しなさい 　　誰の代理でどこまで行動するのか？を管理すること ・AIエージェントのライフサイクル管理を徹底しなさい 　　ワークロードに対する最小権限付与と完了時剥奪 ・ガバナンスとガードレールを敷きなさい 　　スコープ減衰や認可の外部化（PEP/PDP）すること

18. Copyright © SoftBank Corp. 結果 18 ペルソナ近影 よし！（色々あるが） まずはMCPサーバ環境構築だな！

19. 情シスがMCP環境導入時に打ちのめされる 認可の崖

20. Copyright © SoftBank Corp. 再掲：従来の企業内アカウント管理のよくある形 20 アカウント 管理 社員A 業務

    データ 1 2 3 4 UI 画面A 画面B 権限A 権限B 業務システム Webサーバ UI 権限A 利用申請 UI 認証 画面 社内IdP Webサーバ 利用申請 Webサーバ １．業務システム利用申請 ３．業務システム利用時認証 ４．業務システム利用（社内） 利用SaaS ４．業務システム利用（社外 SaaS） ２．社員Aが業務システム・ SaaS に権限Aで利用可の連携 権限A 権限B UI

21. Copyright © SoftBank Corp. 提供が必要そうな企業内MCP認可環境 21 MCP Client MCP Server

    Protected Resource Metadata DCR Endpoint AuthZ Endpoint Token Endpoint API GW Policy Decision Endpoint OAuth Server Metadata CIMD Endpoint AI用権限 管理

22. Copyright © SoftBank Corp. Gap（考えなければいけないこと） 22 社員の権限管理・認証認可 Agentic AIの権限管理・認証認可 1.

    MCP認可プロトコル対応 2. Agentic AI（ワークロード単位）への ID付番 3. Agentic AI（ワークロード単位）の行動と人間が委任する権限の粒度設計 4. Agentic AIの実行環境による差

23. Copyright © SoftBank Corp. １．MCP認可プロトコル対応 23 MCP Client MCP Server

    Protected Resource Metadata DCR Endpoint AuthZ Endpoint Token Endpoint OAuth Server Metadata CIMD Endpoint • OAuth2.1対応（≒code flow with PKCE） • 社員利用認可サーバと分けることも視野 • OAuth2.1対応（≒code flow with PKCE） • 社員利用認可サーバと分けることも視野 • well-knownエンドポイントを準備 • 初期はマニュアルオペレーションを視野 • AIのID付番をClientIDで賄うならこちら • 初期はマニュアルオペレーションを視野 • AIのID付番を別ルールで管理する必要あり • 個々のPRMはAPI GWとの配置関係踏まえ て整備（要は社内構成次第） API GW 課題：社員用の SAML/OIDCなIdPが元々 立っている中で、如何にして MCP仕様の認 可サーバを仕上げていくか？ パターンFはオンプレ /クラウド２つ のIdPが社内に存在

24. Copyright © SoftBank Corp. ２．Agentic AI（ワークロード単位）へのID付番 24 課題：情シスが社員のアクセス・アカウント管理をしているのと同様に、 Agentic AIのID管理が必要

    　　　・部門の個別 AIツール利用が増えれば増えるほど、 AIのID管理すらままならない状況になる 　　　　情シスにとっては SaaSのシャドウ ITで通ってきた道再び　解決方法も自然と似てくる 　　　・Agentic AIはMCP認可のOAuth クライアントにもなることどう捉えるか？ アカウント 管理 社員 Agentic AI 業務 ツール 業務 ツール Agentic AI 管理 また、情シスだけの仕事ではないが ・既に企業内にある様々な AIツールが払 い出すワークロード IDを如何にして社員と 紐づけて収集管理するか？ ・AIワークロードを実行する前提として ID 付番を強制する仕組み・ガバナンスを構築 できるか？

25. Copyright © SoftBank Corp. ３．Agentic AI（ワークロード単位）の行動と人間が委任する権限の粒度設計 25 アカウント 管理 業務

    データ 1 2 3 4 画面A 画面B 権限A 権限B 業務システム A 利用申請 Webサーバ UI 権限A 利用申請 社員A UI 社員A 業務 システムA 業務 システムB 社員アカウント管理 画面制御 権限1 権限2 リソースA リソースB リソースC 業務システムA 権限1 権限2 課題：Token ExchangeによるDown-scopingの話をする以前に、企業内の業務システムの多くは 　　　権限を画面制御で作りこんでいることが多い。これをどうやって OAuth Scopeに再定義するか？ 　　　<resource>:<action>のscopeに落とし込れば恰好いいが ...現実的にどこまでやれるのか MCP Server <resourceA>:<read> Agentic AI管理 社員A AgentA Agent A リソースA

26. Copyright © SoftBank Corp. ３．Agentic AI（ワークロード単位）の行動と人間が委任する権限の粒度設計 26 フロントオフィス （顧客価値提供） デリバリ・顧客サポー

    ト マーケティング 営業・セールス サービス開発・製造 サービス設備維持・保 守 社員 AI活用できる開発環境くれ AIと販売データ接続したい AIに顧客情報見せたい AIに顧客サポートさせたい AIにログ分析させたい バックオフィス （企業活動維持） 経理・財務 総務・法務 人事・採用 内部監査 社員 AIと社員情報を接続したい 経理システムと接続したい AIに役員会議を整理させて AIと社員活動ログ繋げて 情シス 課題：Token ExchangeによるDown-scopingの話をする以前に、企業内の業務システムの多くは 　　　権限を画面制御で作りこんでいることが多い。これをどうやって OAuth Scopeに再定義するか？ 　　　<resource>:<action>のscopeに落とし込れば恰好いいが ...現実的にどこまでやれるのか

27. Copyright © SoftBank Corp. ３．Agentic AI（ワークロード単位）の行動と人間が委任する権限の粒度設計 27 MCP Client MCP

    Server AuthZ Endpoint Token Endpoint API GW Policy Decision Endpoint （適切な権限粒度設計が出来たら） MCP認可時、 Tool実行時、業務システム処理時の必要なタイミングで適時 PDPに権限判定を行う戦略 ※ホワイトペーパーにある「認可の外部化」が望ましい

28. Copyright © SoftBank Corp. ４．Agentic AIの実行環境による差 28 MCPが動く場所（クライアント・サーバ）パターンによって考慮事項が異なる Local Device完結型（

    #１）はシャドー AI(MCP)パターンになりうる # Agent操作 MCP Client MCP Server API-Gateway API Server 利用シーン 1 CLI操作 Local Device 社内Server 社内Server 開発者のローカルサンドボックス （OpenClaw利用のようなイメージ） 利用用途によってはそもそも許可するか？ SaaS 2 CLI操作 Local Device 情シスMCP 社内Server 社内Server 様々な社内業務（システム）データに アクセスするための共通環境 SaaS 3 Browser 操作 社内Server 情シスMCP 社内Server 社内Server 自社で建てたAIプラットフォーム 業務を代行してもらう SaaS 4 Browser 操作 SaaS パブリックAI サービス 情シスMCP 社内Server 社内Server パブリックなAIサービス上で 業務を代行してもらう SaaS

29. 現実的な対応（Quick Win から Long Term） とまとめ

30. Copyright © SoftBank Corp. 現実的な対応 30 Quick Win Long Termを見越したシステム的な仕込み提供

    & 当面それを運用するためのルールを決める • MCP認可環境の初期構築: 社内データや顧客データに繋ぎたい部門の要望に応 えるために、早期にMCP環境は準備する。その際 に、将来の社内アーキテクチャをどこまで意識でき るか？は重要（PDP、認証の外部化と繋がることを 意識するなど） • 人間の持つ静的な権限、Scopeでの運用: Agentic AIに対して動的・コンテキストベースでの 認可制御を行う環境をいきなり目指す前に、現状で きている人間が元々持つアクセス権限を上限とする AI実行を提供。リスク軽減のために参照系業務から • Agentic AIへの付番ルール整備: 企業内に複数存在しうるAgentic AI稼働基盤全てを 管理することを目標とするのではなく、社内・顧客 データにアクセスするためには情シスが提供する MCP環境に接続する必要がある、というルールとと もにID付番して管理する仕組みを作りに行く Long Term 社内の業務（ロール・オーナー）を データ単位で再定義し、動的な認可制御の実現へ • 人間が行っている企業活動の棚卸とビジネスロール から来る顧客データ、社内データ一つ一つに対する 責務・権限の言語化： これまで明確にシステムとして定義してこなかった （する必要がなかった）データの重要度によって利 用可能な主体をどう定義して、Scopeの形にどこま で落とし込むか • 業務コンテキスト/インテント(意図)に応じた Agentic AIへの動的な権限付与・剥奪： あわせて、人間による権限承認自体が現実的な回数 ではなくなることへの対処はどうするか

31. Copyright © SoftBank Corp. Quick Win例 31 社員の権限管理・認証認可 Agentic AIの権限管理・認証認可

    • Agentic AI用の認可サーバなどは既存 IdPと別で構築 ◦ 社員用IdP（オンプレ、クラウド）は直接触らず、 AI用IdPからFederationする形で実現 ◦ AI用IdPはPolicy Decision Point（PDP）と接続。 PDPはAuthZenのAuthorization APIで実装 • PDPの判断ソースは、社員用権限管理情報をミラーリング ◦ 当面は社員が持つ権限を上限とした振る舞いになるが、将来コンテキストベースの制御を狙う • Agentic AIへのID付番の仕組みは当面個別対応しつつ、徐々に社員用権限申請 WFに乗る形を構想

32. Copyright © SoftBank Corp. サマリ 32 お話したこと ・Enterprise領域におけるAgentic AIにおいて情シスID屋としての課題感の共有 ・現実的な対応（Quick

    Win から Long Term）へのエッセンス お話ししなかったこと ・自社における具体的な取り組みについて ・具体的な製品やソリューションの内容について

33. Copyright © SoftBank Corp. EOF 33