注目ベンチャー紹介:Permit.io

2026
.
02
.
23

Written by Yuhei Yano

今回の注目ベンチャーの紹介はPermit.ioです。

同社は、企業システムにおける認可(Authorization)をリアルタイムに制御するためのプラットフォームです。

※取り扱い注意!こちらの情報の展開は社内限りです※

Permit.io

https://www.permit.io/

サービス/プロダクト概要

  • 従来のIAM(Identity and Access Management)は、
    • 誰がログインしたか(認証:Authentication)
    • どの権限を持っているか(認可:Authorization)
    を分けて管理します。しかし近年、企業システムは
    • API中心のマイクロサービス化
    • SaaS・クラウド環境の複雑化
    • AIエージェントの登場(Agentic AI)
    によって、「権限管理の複雑性」が爆発している。Permit.ioはこの領域で、
    • RBAC(ロール型)
    • ABAC(属性型)
    • ReBAC(関係性型)
    を統合的に扱いながら、サブ10msで権限判定できる認可基盤(PDP)を提供する。
    さらに近年は「AI Agent Security」へと進化し、Human → Agent → Tool → API/Data
    という新しいアクセス連鎖を制御するControl Plane(運営基盤)を構築している。
‍画像出所:同社Webページ



特徴/提供価値

Permit.ioの本質は「認可エンジン」ではなく、認可を運用可能にするControl Planeにある。

1.リアルタイム認可(Continuous Authorization)

従来のIAMは「権限同期が遅い」問題があります。
(例:Entra IDでは最大40分のラグ)

PermitはPDPを分散配置し、OPAL(Open Policy Agent Layer)で状態を即時配布することで、

  • ポリシー変更
  • 権限剥奪
  • Agentの委任解除

をほぼリアルタイムに反映できる。

2. Policy-as-Code × 分散PDP

PermitはオープンソースのOPA(Open Policy Agent)をベースにしつつ、

  • ポリシー評価(PDP)
  • 状態配布(OPAL)
  • UI/監査/運用(Control Plane)

を統合している。結果として、

  • 自前開発では作れない運用性
  • StyraのようなOSSラッパーに留まらない価値

を提供している。

3.Agent Security:AI時代の新しい認可文脈

AIエージェントは人間と違い、

  • 自律的にツールを連鎖実行する
  • 意図が変化する
  • Prompt Injectionを受ける

という性質がある。

PermitはAgent Security Gatewayを提供し、

  • Humanを信頼の起点にした委任(delegation)
  • Consent envelope(同意範囲)
  • Agent fingerprint(intent drift検知)
  • HITL(Human-in-the-loop)

を組み込み、AI時代の認可を成立させている。

4. 「Missing Link = Control Plane」

多くの競合(Cerbos/Oso)は「評価エンジン」に強い一方で、

  • 状態同期
  • 監査ログ
  • Consent運用
  • Enterprise Governance

が不足している。

Permitはここを埋める「認可のControl Plane」を狙っている。

ビジネスモデル


Permit.ioは典型的なSaaSモデル。

  • Self-serve導入(開発者起点)
  • Enterprise契約への拡張(Security/IAM起点)

というLand & Expand構造を取っている

市場動向・なぜこの会社なのか?


Authorization市場は長年“優先度6/10”で認証(Okta/Auth0)は必須でも、認可はDIYされがちだった。

しかしAI Agentの登場で状況が変わってきた。

AIは「認証→認可」へ重心を移す

AIはログインするのではなく、

“行動する主体”として企業資産にアクセスする

そのため企業は、

  • Zero Standing Privileges
  • Delegation + Consent
  • Continuous Authorization

を求め始めている。

NISTも「AI Agent Identity & Authorization」を新たな課題として提示している。

Permitはこの市場の立ち上がりで、Agentic Authorization Control Planeという新カテゴリを先行している。

顧客・競合・パートナー

  • 顧客:
    • 金融・保険などの規制産業で先行している
  • 競合:
    • 認証大手(Okta/Auth0):Authentication中心、認可は粗い
    • Policy Engine(Oso/Cerbos):エンジン提供、運用Control Planeは弱い
    • Graph型(AuthZSpiceDB/OpenFGA):関係性認可に強いが、統合運用は限定的
    • Agent特化(Keycard/Arcade):Tool-call中心、Full-stack制御は弱い
    • Permit.io(Authorization Control Plane):Policy + 状態同期 + Agent文脈 + 運用統合
  • パートナー
    • MSSPや認証レイヤーのプレイヤー
※取り扱い注意!こちらの情報の展開は社内限りです※

こちらの記事に対するお問い合わせやMTGの依頼などはこちらのアドレスからお気軽にご連絡ください。
info@tgvp.vc
TGVPは米国を中心としたスタートアップ企業とTOPPANグループの連携を推進しております。