イタマル・アペルブラット氏はToken SecurityのCEO兼共同創業者であり、連続起業家、そしてイスラエル国防軍8200部隊のサイバーセキュリティリーダーを務めた経験を持つ。
AIと非ヒューマンID(NHI)の融合が、企業のIDセキュリティにおける転換点を生み出している。
サービスアカウント、ワークロードID、API、トークン、シークレット、自律型AIエージェントは現在、人間のIDを驚異的な45対1の比率で上回っている。これらのNHIはクラウドインフラからCI/CDパイプライン、マイクロサービスまで、あらゆるものを動かしている。その規模とスピードは目に見えないリスク層を生み出し、企業の攻撃対象領域を拡大し、運用の回復力を脅かしている。
人間のユーザー向けに設計された従来のID管理(IAM)ツールとプロセスは、対応に苦戦している。TechTargetのEnterprise Strategy Group(ESG)と提携して実施されたAppViewXのレポートによると、企業の66%がNHIの侵害による成功したサイバー攻撃を経験している。さらに、一般的に使用されているツールと戦略に基づくと、Cloud Security Allianceの調査では、ITおよびセキュリティ実務者のわずか15%しかNIHを保護する能力に「高い自信」を持っていないことが分かった。
機械IDの危機:現状に至った経緯
近年、3つの同時進行するトレンドがIDの状況を再定義している:
1. ハイブリッドおよびマルチクラウドの複雑性:企業はますますAWS、Azure、GCP、オンプレミス環境にまたがって運用している。各プラットフォームは異なるIDモデル、アクセス制御、認証情報形式を使用しており、この拡散全体のガバナンスがますます困難になっている。
2. エフェメラルインフラストラクチャ:コンテナ化、マイクロサービス、サーバーレスコンピューティング、インフラストラクチャ・アズ・コード(IaC)は、動的に数千のIDを生成する。これらは多くの場合、明確な所有権なしで権限やシークレットを継承し、高リスクかつ低可視性となる。
3. エージェント型AIの台頭:自律型AIエージェントはコードを生成し、ワークフローをトリガーし、APIにアクセスする。多くは管理されていない認証情報やトークンで動作し、さらなるブラインドスポットを生み出している。
上記のAppViewXの調査レポートによると、組織の74%が非ヒューマンアカウントや認証情報が侵害されたことを知っているか、またはその疑いがある。これらのIDがどのように作成され使用されているかについての可視性が欠如していることで、NHIがインフラストラクチャのあらゆる層に深く埋め込まれた高速移動する群れのように行動するため、重大なリスクが生じている。
従来のIAMが失敗している理由
レガシーIAMとシークレット管理ソリューションは、人間のユーザーに紐づいた静的な認証情報向けに構築された。対照的に、NHIは動的でプログラム的であり、多くの場合所有者がいない。「この認証情報を誰が作成したのか?」や「まだ使用されているのか?」といった質問に答えるのは難しい。
一方、NHIのリスクを修正することは問題となりうる。依存関係を理解せずに認証情報をローテーションすると本番システムが破壊されるリスクがあり、ローテーションしないと組織が脆弱なままになる。エージェント型AIの爆発的増加は、コパイロットや自律型エージェントが継続的にNHIを作成・消費し、多くの場合目に見えない形でAPI、ツール、データリポジトリにアクセスするため、これらの課題をさらに複雑にしている。
混沌から制御へ
セキュリティチームは、重要なシステムを破壊する恐れから、キーのローテーションやサービスアカウントの無効化などのNHI修正を躊躇することが多い。これにより、誰も手をつけたがらない管理されていないIDやリスクの高い認証情報の未処理案件が増加する。この躊躇を克服するには、チームが以下を可能にする分析とインテリジェンスが必要だ:
• NHIをその所有者と発生元コードにマッピングする。
• サービスと環境全体での消費を追跡する。
• ランタイム使用パターンと依存関係を理解する。
• 変更の運用上の影響を安全にシミュレーションする。
不透明なシグナルを実用的なインテリジェンスに変えることで、チームは反応的なクリーンアップから自信を持った積極的なガバナンスへと移行できる。
ビッグデータ課題としてのID
NHIリスクに対処するには、IDセキュリティを単なるアクセス問題ではなく、データ問題として扱う必要がある。この転換は、以下が可能なインフラストラクチャと実践の開発を意味する:
• IDプロバイダー、クラウドプラットフォーム、CI/CDツール、ランタイム環境から大量のテレメトリを取り込み、正規化する。
• NHIの継続的に更新されるインベントリを維持し、誰がそれらを作成したか、何にアクセスするか、どのように動作するかを特定する。
• リアルタイム分析を適用して、露出、特権、所有権を評価する。
• 実行前に修正アクションのダウンストリームへの影響をシミュレーションする。
重要なのは、これはツールの実装だけではないということだ。組織はまた、フレームワークとプロセスを実装する必要がある:
• 業界フレームワークを採用する。 NISTのゼロトラストアーキテクチャとCloud Security AllianceのワークロードとAPIのID管理に関するガイダンスがベースラインを提供している。
• 内部プラクティスを開発する。 NHIの所有権モデルを確立し、最小権限アクセスレビューを実装し、DevSecOpsパイプラインにIDチェックを統合する。
• スキルに投資する。 チームにテレメトリを解釈し、自動化を検証し、修正をビジネス優先事項に合わせる専門知識を提供する。
リスクのない自動化
適切なデータインフラストラクチャとガバナンスを整備することで、組織はNHIセキュリティの重要な側面の自動化を開始できる。例えば、未使用または過剰な権限を持つNHIの特定と廃止、漏洩したシークレットをその発生源にマッピングして安全に取り消す、特権昇格や疑わしいランタイムアクティビティの監視などだ。
しかし、すべての自動化と同様に、NHIのセキュリティ自動化の実装はプラグアンドプレイではない。組織はまだいくつかの一般的な課題に直面する可能性が高い:
• コンテキストのギャップ:完全な可視性がなければ、NHIセキュリティの自動化はまだ使用中のIDや認証情報を取り消すリスクがある。これを克服するには、IDをランタイムテレメトリと相関させる必要がある。
• プロセスの不整合:自動化は確立された変更管理ワークフローと衝突する可能性がある。チームは自動化されたアクションを既存のITサービス管理(ITSM)プロセスと承認フローに統合する必要がある。
• スキルギャップ:チームは多くの場合、必要な人間の監視を過小評価している。自動化はレビューボードや例外処理プロセスと組み合わせるべきだ。
• 文化的抵抗:開発者やオペレーターは本番システムに触れる自動化を不信感を持つ可能性がある。段階的な展開、シミュレーション、透明性のあるレポートを通じて信頼を構築することが採用をスムーズにする。
成功する企業は通常、明確な人間介在型の監視を確立し、強制を有効にする前に広範な影響シミュレーションを実行し、フィードバックに基づいてポリシーを継続的に調整している。
非ヒューマンIDの保護は、単にリスクを軽減するだけではない。それはイノベーションを可能にすることでもある。
適切な基盤があれば、組織は信頼を犠牲にすることなく、クラウドの俊敏性、AIの採用、デジタルトランスフォーメーションを受け入れることができる。
