Oktaは、AIエージェント接続の標準プロトコル「Cross App Access」(XAA)のエコシステム拡大を発表しました。
Oktaが提唱するAIエージェント接続のセキュリティ課題とXAAのメリット
組織がAIエージェントの導入を増やすにつれ、接続のほとんどがリスクの高い静的なAPIキーやIT管理者には見えないユーザーの同意画面に依存しているという課題が浮き彫りになってきました。これにより、永続的な常時特権やセキュリティギャップが生じており、IT部門は管理されていないリスクを受け入れるか、AIエージェントの導入を完全にストップさせるかの選択を迫られてきました。
XAAは、OAuthの拡張機能として策定され、公式のMCP認可拡張機能として正式に組み込まれたオープンでベンダーニュートラルなプロトコルです。アイデンティティセキュリティがアプリケーション間で動的にAIエージェントを追跡できるようにすることによって、企業の死角を減らします。XAAがもたらすメリットは次の3点です。
- ITの可視性とガバナンスの向上:AIエージェントや統合アプリが行ったアクションの一元化された監査証跡を提供
- 強固なアクセス制御:スコープを絞ったアイデンティティベースのトークンにより常時特権を排除
- シームレスなユーザー体験:繰り返しの同意プロンプトを排除し、認知疲労とリスクの高い権限承認を低減
OktaのCPOであるEly Kahn氏は、「AIエージェントが日常のワークフローの核心となるにつれ、組織は本番環境にAIエージェントをデプロイするための安全な道筋として、XAAを中心に支持を広げています」と述べています。
エージェント、アプリ、開発者プラットフォームからなるエコシステム全体でのパートナーシップを通じ、企業の信頼がすべてのエージェントにシームレスに追随できるよう支援します。
25社以上が参画するOkta「XAA」エコシステムの全体像
今回のエコシステム拡大では、XAAの役割に応じた3つのカテゴリで統合が進みました。
「XAAリクエスト送信側アプリ(クライアントAIエージェント)」には、Claude、Cursor、Docker、VS Codeが含まれます。さらに、ZoomのAIアシスタント「ZoomMate」も対象です。これらは業務依頼を起点に、OktaのアイデンティティセキュリティとOAuthベースの認可を通じて他のアプリケーションへのアクセスをリクエストします。
「XAAリソース提供側アプリ(ダウンストリームアプリケーション&MCPサーバー)」への参画企業は次のとおりです。
これらのアプリは、AIエージェントが企業に承認された単一のOktaアイデンティティの傘下で必要なデータコンテキストを安全に取得できるよう設計されました。
「XAAがサポートするアイデンティティインフラ、ゲートウェイ、フレームワーク」への参加企業は次のとおりです。
- Aquera
- Archestra.AI
- Cloudflare
- Keycard
- Keycloak
- MintMCP
- Scalekit
- Stytch by Twilio
- WorkOS
- Zuplo
これらのバックエンド開発者プラットフォームは、開発者がAIエージェントのトラフィックを安全にルーティング・管理・接続するワークフローの構築と保護を支援します。企業規模でエージェントトラフィックを安全にルーティングし、ガバナンスを効かせるための標準化されたフレームワークの確立を目指しています。
業界標準としての普及を加速させるため、公式のMCP SDKはXAAを「Enterprise-Managed Authorization」拡張機能としてネイティブに採用しました。現在はTypeScriptおよびJava環境のサポートが利用可能で、Pythonのサポートも間もなく提供される予定です。
Anthropicのベータプログラムでは、OktaがHubSpot、Ramp、Webflowなどの共通のお客様を対象に取り組みを進めました。具体的には、ClaudeおよびMCPプロバイダーへのアクセスを管理できるよう支援し、認可の一元化や強固なアクセスポリシーの適用、AIエージェントの権限削除の自動化などのプロトコルの能力を検証しています。
Okta Cross App Access(XAA)の概要
| 項目 | 詳細 |
|---|---|
| 提供企業 | Okta |
| プロトコル名 | Cross App Access(XAA) |
| 早期導入企業数 | 25社以上 |
| 主なメリット | ITの可視性とガバナンス向上 強固なアクセス制御 シームレスなユーザー体験 |
| Okta利用顧客向け提供開始 | 2026年8月(Okta Integration Network経由) |
| Auth0 B2B SaaS利用顧客向け提供 | 2026年7月末(アーリーアクセス予定) |
| 対応SDK | TypeScript、Java(Pythonは近日対応予定) |
trends編集部の一言
静的なAPIキーや不透明な同意画面への依存が「管理されていないリスク」として蓄積されているという指摘は、業界全体の共通課題と重なる内容です。マーケティング業界の文脈に置き換えると、複数のSaaSツールをAPIで連携して自動化を組む場面が増える中、アクセス権限の管理が曖昧になる課題が業界横断で浮き彫りになっています。
XAAが「オープンでベンダーニュートラルな標準」として位置づけられている点は、特定ベンダーへの依存を避けたいマーケティング・IT部門双方にとって検討材料となるでしょう。Anthropicのベータプログラムで実際の顧客環境での検証が進んでいる点も、実用性の観点から注目されます。
AIエージェントが「何ができるか」だけではなく「何をさせてよいか」を制御する仕組みの整備が、エージェント活用の次のフェーズの焦点となっていく動向は、業界全体の作業プロセス設計にも影響を与えると考えられます。
References
- ^ PR TIMES. 「Okta、安全なAIエージェント接続の業界標準「Cross App Access」のエコシステムを拡大 | Okta Japan株式会社のプレスリリース」. https://prtimes.jp/main/html/rd/p/000000186.000063011.html, (参照 26-06-25).
ITやプログラミングに関するコラム
【CSS】notで複数の件を除外する方法
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
x86とx64の違いを分かりやすく解説
マークダウンで改行する方法
CapsLockキーを解除する方法
GitLabとGitHubの違いを解説
Linuxで環境変数を確認する方法
UbuntuのIPアドレスを確認する方法
パソコンのメモリの目安を用途別に選ぶ方法
ITやプログラミングに関するニュース
VercelがAI GatewayにSeedream 5.0 Proを追加、AI SDKのモデル指定で画像生成と編集が可能に
AWSがAmazon LocationのPlaces APIを強化、住所表記の指定と移動手段別の検索が可能に
VercelがトレースにTree・Waterfallビューを追加、ログ画面で処理の階層と所要時間を確認可能に
Googleがエージェント評価の再考を提唱、難易度を情報量で測るDiscovery Benchを解説
Google CloudがCloud Runサンドボックスを公開プレビューで提供、サービスヘルスは一般提供に
Google Cloud EMEAが英国金融の重要第三者に指定、イングランド銀行・PRA・FCAの直接監督下に
AWS DMS Schema ConversionがSQL Serverのオフライン変換に対応、ソースDBへ接続せずスキーマを変換可能に
EC2 G7インスタンスが米国東部(バージニア北部)で利用可能に、G6比でAI推論性能が最大4.6倍
SageMaker HyperPodが継続プロビジョニングでのAMIベース構成に対応、S3のスクリプト管理なしでSlurmクラスターを作成可能に
AWSがEMR on EKSでSparkトラブルシューティングエージェントに対応、失敗ジョブの原因分析を自然言語で依頼可能に
