10年前までは、人間のユーザーが非人間的アイデンティティ(NHI)をはるかに上回っていた時代がありました。しかし2020年までに、クラウドネイティブアーキテクチャ、DevOpsパイプライン、広がる自動化がメインストリームになり、平均的な企業は人間のアイデンティティより10倍多いNHIを持つようになりました。現在、大規模な組織ではサービスアカウント、ボット、APIキー、OAuthトークン、デジタル証明書、シークレット、その他のマシンアイデンティティが人間を50対1で上回る可能性があり、その数は増え続けているかもしれません。
エージェンティックAIの急速な採用により、状況はさらに複雑になっています。ガートナーは、2028年までに日々の職場での意思決定の少なくとも15%がAIエージェントによって行われると予測しており、これらのエージェントは機密、機微、規制対象データを含むものを含む、組織全体のシステムとソフトウェアにアクセスするためにNHIに依存しています。定義上、エージェントは自律的に動作し、ツールをつなぎ合わせ、サブプロセスを生成し、他のエージェントと相互作用し、人間の監督は限定的です。人間のアイデンティティは通常、集中化されたアイデンティティガバナンスと管理(IGA)プラットフォームを通じて管理されている一方で、NHIはエンタープライズテクノロジーエコシステム全体の多様なアセットにリンクされており、極めて断片化されたアーキテクチャを作成し、セキュリティチームが可視性と制御を維持することを困難にしています。
「エフェメラルアイデンティティとAIエージェントに関連するアイデンティティは、攻撃表面の拡大に直接寄与し、新しいリスクを導入しています」と、SHIのフィールドチーフ情報セキュリティ責任者(グローバル)であるブラッド・バウアーズ氏は述べています。「組織はこれらのアイデンティティがどのように活用されているか、どのようなアクセス権を持っているか、そして改ざんされているかどうかを可視化するための企業ツールの取得に向かうと予想しています。」
現在、最も一般的に導入されているアイデンティティセキュリティソリューションは、エンタープライズスケールでNHIを発見および管理するために設計されていません。NHIが引き起こしている増大するリスクを軽減するには包括的なライフサイクル管理が必要ですが、組織全体のNHIエコシステム全体にわたってベストプラクティスベースのガバナンスを適用できる単一の統合ソリューションを提供しているベンダーはまだありません。
つまり、完全なライフサイクルNHIガバナンスには複数の既存のアイデンティティ関連ソリューションの統合が必要であり、組織は特殊なNHI発見および管理ツールでこれらの機能を補う必要があるかもしれません。
NHIは重大で増大する攻撃ベクトルを表しています
最近の急速な増殖、共有または暗号化されていない認証情報の頻繁な使用、堅牢なガバナンスの欠如により、NHIは脅威アクターにとって極めて魅力的なターゲットです。たとえば、サービスアカウントを侵害することで、横方向の移動が容易になる可能性があります。なぜなら、これらのアカウントはしばしば広範なアクセス、昇格された権限を持ち、セキュリティチームによる監視はほとんどないからです。
NHIは実際の攻撃者によってすでに広く悪用されています。セキュリティリーダーの最近の調査では、組織の40%が過去1年以内にNHI関連のインシデントを経験したことが判明し、さらに懸念されることに、32%はそれを経験したかどうかさえ判断できないと述べています。NHIを含む大規模で高名な侵害には、Cloudflare、AWS、Snowflake、およびAI開発プラットフォームのHuggingFaceへの成功した攻撃が含まれます。
エージェンティックAI採用がさらに加速すると予想される中、近い将来にこのような種類のインシデントがもっと多く見られる可能性が高いです。
投資の波が増す
既存のサイバーセキュリティベンダーとNHIセキュリティに焦点を当てたスタートアップは、この課題を重大な市場機会として見ています。投資家は、完全なNHIライフサイクル管理ソリューションの開発に取り組んでいる新興イノベーターに資金を投入しています。シークレット管理プラットフォームのGitGuardianは最近シリーズC資金調達で5,000万ドルを獲得し、一方、NHI発見およびリスク分析エンジンのOasisは3月にNHIライフサイクル全体にわたって製品機能をさらに拡張するために1億2,000万ドルを受け取りました。
大型買収もまた、NHIとエージェンティックAIセキュリティが現在、第一級のサイバーセキュリティ優先事項であることを示しています。パロアルトネットワークスがCyberArkを250億ドルの現金とストックオプションで買収したというフラッグシップディールは、業界の最大手がもはやマシンアイデンティティとエージェンティックAIセキュリティをニッチな関心事と考えていないことを示しています。
アナリストは2026年により多くの高名な買収が見られると予測しており、従来のアイデンティティとアクセス管理(IAM)、特権アクセス管理(PAM)、IGAベンダーが自社プラットフォームにより多くのNHI管理機能を追加するために競争しています。
NHIセキュリティの向上には戦略的なアプローチが必要
NHIベンダーの環境がますます混雑し、急速に変わる中、単一の万能なソリューションもないため、クラウド、SaaS、サイバーセキュリティツールスタック全体にわたってNHIガバナンス機能を統合する専門知識に対する強い需要があります。
「私たちはすでに人々のためのアイデンティティセキュリティのベストプラクティスが何であるかを知っています」とバウアーズ氏は述べています。「多要素認証とパスワードレス認証、Just-In-Timeアクセス、最小権限の原則に準拠することが重要です。現在の課題は、これらの保護をAIエージェントおよび他の種類のソフトウェアに拡張することです。これらは常に人間と同じ方法では動作しません。」
一般的に、セキュリティチームは以下を行うべきです:
- NHIセキュリティへのアーキテクチャアプローチを取ってください。これは、IT およびセキュリティインフラストラクチャの基本構造に直接セキュリティ制御とメカニズムを組み込み、ポリシーを適用することを意味します。組織全体のテクノロジーエコシステム全体にわたってNHIを発見、管理、ガバナンスするための適切なツール機能が必要になります。
- できるだけ自動化を活用してください。NHIプロビジョニング、認証、デコミッショニングを自動化することで、「孤立した」マシンアイデンティティを排除し、不要になった場合にアクセス許可が常に取り消されることを確認できます。
- 完全なライフサイクルNHIガバナンスに焦点を当ててください。これには統合が必要になる可能性があります。NHIを大規模で保護するために必要な機能を取得するには、既存のシークレット管理、IGA、PAM、IAM、およびクラウドアイデンティティとエンタイトルメント管理(CIEM)ソリューションを、特殊なNHI発見および管理ツールと統合する必要があります。
NHIの膨大な数、および効果的なガバナンスが単なるツール機能ではなく、統合されたエンドツーエンドのアプローチを必要とするという事実は、環境全体にわたってアイデンティティファブリックを設計および運用できる適切なパートナーを持つことが、NHI関連のセキュリティリスクを軽減するために重要であることを意味します。特に、クラウド、SaaS、アイデンティティセキュリティプラットフォーム、AI実装にわたる専門知識を持つ人物は、マシンアイデンティティセキュリティの複雑性を、取締役会、規制当局、投資家、顧客を満足させるために必要な結果を提供できる反復可能なプロセスのセットに変換し、自分自身の心を安心させるのを助けることができます。
今日の最大のサイバーセキュリティの課題と業界リーダーがどのようにアプローチしているかについてもっと詳しく知ることに興味がありますか?SHIとStratascaleの2026年のサイバートレンドレポートを今すぐダウンロードしてください。
