OpenClaw は、AI の利用方法を大きく変えるものです。OpenClawは、クラウドホスティングのチャットボットではなく、ラップトップやワークステーション上でローカルに動作し、コードを書いたり、ファイルを管理したり、ツールを呼び出したり、あなたの代わりに自律的に行動することができます。
その力こそ、まさに賭け金を上げるものなのです。
OpenClaw は、活発かつ速いペースで開発が進められており、新機能も急速に追加されています。この速さは長所ですが、認証、認可、監査可能性といった基本的な領域がまだ発展途上であることを意味します。OpenClawエージェントがより自律的になり、より広く使用されるようになると、これらのギャップは初期段階のトレードオフから現実のセキュリティリスクへと移行します。
この記事では、OpenClaw の現在の認証モデル、(トラステッド・プロキシ・モードを含む)最近の改善点、まだ欠けている点、そして Aryaka AI>Secure のようなエンタープライズ ZTNA と統合することが最もクリーンでスケーラブルなソリューションである理由を検証します。
OpenClawのネイティブ認証:トークンベースのアクセス
現在、OpenClawは主に共有秘密トークンモデルに依存しています。
セットアップ中に、OpenClaw はゲートウェイトークンを生成します。このトークンは、長いランダムな秘密の文字列で、ローカルに保存されます(例えば、OpenClaw の設定ファイルでは、ユーザーのホームディレクトリの下に保存されます)。このトークンは、ローカルの HTTP インターフェースで OpenClaw エージェントにアクセスするために必要な認証情報として機能します。
ユーザが OpenClaw ブラウザベースのコントロール UI を開くと、このトークンの入力を求められます。一度トークンが提供されると、ブラウザは何度も認証を促されることなくエージェントと通信することができます。
最近のバージョンでは、新しいブラウザセッションが接続を試みたときに、端末で手動で承認するようになりました。これは有意義な安全性の改善ですが、核となる信頼モデルを変えるものではありません:
トークンを所有する者は、エージェントにフルアクセスできます。
ユーザーID、MFA、役割の分離、コンテキストの評価はまだありません。
ブラウザの永続性:利便性とリスク
ユーザビリティのため、ブラウザのUIは通常トークンをローカルに(例えばブラウザのストレージに)永続化します。これにより、繰り返されるプロンプトを回避できますが、予測可能なリスクが発生します:
- トークンは長期間のクレデンシャルになります。
- マルウェアや悪意のあるブラウザ拡張機能によって抽出される可能性があります。
- セッションの有効期限やコンテキストの検証はありません。
セキュリティの観点からは、トークンはユーザーログインというよりもAPIキーのように振る舞います。
シングルユーザーとマルチユーザーのシナリオにおけるリスク
シングルユーザのセットアップであっても、マルウェアやブラウザの侵害によるトークンの流出は、エージェントの完全な乗っ取りにつながります。
共有環境やチーム環境では、状況はさらに悪化します:
- ユーザーIDなし
- 役割や権限がない
- 行動を個人に帰属させる方法はありません
- きめ細かな失効なし
- エンタープライズグレードの監査証跡なし
これは、企業、規制対象、生産現場での使用とは根本的に相容れないものです。
トラステッド・プロキシ・モード正しいアーキテクチャの方向性
これらの制限に対処するため、OpenClaw はトラステッド・プロキシ・モードを導入しました。
トラステッド・プロキシ・モードでは
- OpenClaw は、指定されたアップストリームプロキシからのリクエストのみを受け付けます。
- ゲートウェイトークンはそのプロキシに限定されます。
- エンドユーザがエージェントと直接対話することはありません。
この設計は、アイデンティティとアクセス制御はエージェントの外部にあるべきであるという 基本原則を明確に認めています。
ZTNAの統合:安全に行われるIDインジェクション
ZTNAは、OpenClawのトラステッド・プロキシ・デザインとクリーンかつ意図的に統合されています。
Aryaka AI>SecureのようなZTNAプラットフォームはOpenClawの前に置かれ、トラフィックがエージェントに到達する前に完全な認証、認可、およびアカウンティング(AAA)を実行します。
企業の IdP(Okta、Azure AD、Google Workspace)を介してユーザーを認証し、MFA を実施し、デバイスの姿勢を検証した後、ZTNA は検証済みの ID コンテキストを注入したリクエストを OpenClaw に転送します:
- X転送ユーザー
- X転送グループ
OpenClaw の trusted-proxy モードは、設定されたプロキシからのヘッダのみを信頼するように設計されています。
重要なセキュリティ要件:ブラインドヘッダー転送の禁止
一点、明確にしておかなければならないことがあります:
ZTNAは、クライアント接続からエージェントにIDヘッダーを決してやみくもに転送してはなりません。
X-Forwarded-User のようなヘッダがクライアントリクエストから直接コピーされると、攻撃者はID ヘッダを詐称し、OpenClaw エージェント層のセキュリティコントロールをバイパスすることができます。
ZTNAの正しい統合は厳格なルールに則って行われます:
- クライアントから提供された ID ヘッダはすべて取り除か れます。
- アイデンティティ・ヘッダは、JWTからの認証後にZTNAによって再構築されます。
- ヘッダが暗号的または論理的に信頼されるのは、そのためです:
- これらはZTNAのプロキシに由来するものです。
- OpenClaw は、信頼されたプロキシモードでのみこれらを受け入れます。
- クライアントが管理する入力がIDコンテキストとして再利用されることはありません。
この分離こそが、OpenClaw + ZTNAモデルの安全性を、慣習的なものではなく、デザインによるものにしているのです。
エージェントを変更せずに権限付与と監査が可能
OpenClaw にはまだネイティブのユーザーやロールがありません:
- ZTNAは、エージェントにアクセスできる人を コントロールします。
- ユーザー、グループ、デバイス、ネットワークコンテキストごとにポリシーを適用可能
- すべてのリクエストは認証された人間の身元で記録されます。
- 企業はコンプライアンスとフォレンジックのためのクリーンな監査証跡を得ることができます。
OpenClawはエージェントの行動に焦点を当て続けています。
結論ZTNAはまだ重要-OpenClawが進化しても
OpenClaw は急速に、そして正しい方向に進化しています。Trusted-proxyモードは、プロジェクトが外部化された信頼の重要性を理解しているというアーキテクチャ上の強いシグナルです。
OpenClaw が後にネイティブのユーザー認証やロールを実装したとしても、ZTNA の価値は変わりません。
なぜですか?
なぜなら、企業はすべてのアプリケーションで統一されたセキュリティ・コントロールを 必要としているからです:
- SaaS
- 社内ウェブアプリ
- API
- 開発ツール
- そして今、AIエージェントは
ZTNAが提供するものポリシーの一元化
- 一貫したMFAとデバイスの姿勢
- 統一された監査ログ
- 異種システムにまたがる単一のエンフォースメント・レイヤー
OpenClawは、安全であるために完全なIAMプラットフォームになる必要はありません。
OpenClawのトラステッド・プロキシ・モードと適切に実装されたZTNAレイヤーを組み合わせれば、企業は両方の長所を享受することができます:
- 高速でパワフルなAIエージェント
- エンタープライズ・グレードのゼロ・トラスト・セキュリティ