マシンアイデンティティがなぜ「アクセス権を持つもの」の大多数になっているのか?
すべてのオートメーション、統合、ワークロードには認証方法と適切なアクセス権限が必要です。この静かな要件により、マシンアイデンティティ(非人間アイデンティティ(NHI)とも呼ばれる)の膨大な層が生まれています:サービスアカウント、サービスプリンシパル、ワークロードロール、OAuthアプリ、AIエージェント、IAMロールなどです。マシンアイデンティティは、アクセスキー、シークレット、トークンなどの認証情報を使用して認証を行います。
これらのアイデンティティの多くは、非対話型で成長が速く、ローテーションがめったに行われず、長期間存在するため、人間の管理者と同等以上の特権を保有しています。これにより、多くの場合、未管理のまま放置される特権アクセスの隠れたレイヤーが形成されます。
Delineaがマシンアイデンティティ機能に投資している理由は何ですか?
マシンアイデンティティは現代的なインフラストラクチャの基礎となり、特権アクセスがそれらの周りに蓄積します。
これらのマシンアイデンティティは人間ではありませんが、環境内のユーザーのように動作します。認証を行い、アクセスを要求し、アクションを実行し、多くの場合、より大規模かつ高速に、システム全体で特権を蓄積します。
マシンアイデンティティリスクの管理は、オブジェクトの数を数えることではありません。それらに力を与える認証情報を管理することです。APIキー、トークン、証明書、SSHキー、クラウドストアやボルトに散在するシークレットです。
この拡散により、馴染みのあるリスクが生じます:古い認証情報、所有権が不明確、特権の蔓延です。
そのため、Delineaは、ボルト保管、ローテーション、クリーンアップ、ガバナンスにおける可視性、ポスチャー、制御を通じて、マシンアイデンティティリスクを実際に管理できるものに変えることに注力しています。
マシンアイデンティティは実際にどこに存在するのか?
マシンアイデンティティはソフトウェアが実行され、アクセスが付与されるあらゆる場所に存在します。
- Microsoft環境では、Entra/Azureのアプリケーションレジストレーションエンドポイントならびにサービスプリンシパルおよびエンタープライズアプリとしてこれらを見つけることができます。
- AWSでは、ワークロードとオートメーションで使用されるローカルアカウントおよびIAMロール、さらに多くの環境でワークロードが依存し続けているアクセスキーとシークレットとして表れます。
- オンプレミスでは、Active Directoryサービスアカウントが長時間実行タスクをサポートしています。
重要なポイント:マシンアイデンティティを分離して管理することはできません。実際のソリューションは、アイデンティティ作成、権限割り当て、認証情報の保存場所にまたがります。
マシンアイデンティティが特権リスク乗数である理由は何ですか?
簡潔に言えば、可視性の欠如、複雑さの増加、アイデンティティの拡散により、マシンアイデンティティは特権リスク乗数になります。
マシンアイデンティティは行動できるとともに、行動される可能性があります。つまり、侵害の影響は双方向です。
マシンアイデンティティが広い権限を持ち、オートメーションで再利用またはアクセスされている場合、1つの弱点が、特に認証情報が共有され、ほとんどローテーションされず、もはや監視されていない場合に、それが接触するすべてのものを露出させます。
目標はすべてのマシンアイデンティティをロックダウンすることではありません。最もリスクが高いものを一貫して見つけ、時間をかけてそれらのアクセスを削減することです。
実用的なマシンアイデンティティプログラムはどのようなものか?
最も効果的なアプローチはシンプルで繰り返し可能です:
可視化 → ポスチャー → 制御
1. 可視化により、マシンアイデンティティ、それらが使用する認証情報、その所有者、および依存システムを把握できます。
2. ポスチャー評価では、権限、使用パターン、設定ミス、露出の兆候を含むリスクを評価します。
3. 制御により、コンテキストを備えて認証情報をボルト保管し管理し、必要に応じてローテーションし、古いアクセスを無効にし、最小権限を実行します。
リスクを最も速く削減するポスチャーチェックはどれですか?
アクションに直結するチェックから始めてください:
- 管理者およびシャドウマシン(非人間)アイデンティティ
これらは最大のブラスト半径を持っています。高い特権と弱いガバナンスは、侵害がすぐに影響に変わる場所です。 - 古いマシンアイデンティティ
最近使用されていないアイデンティティは、多くの場合、依存関係を確認した後で無効化できる安全な候補です。 - 過度に特権化されたマシンアイデンティティ
権限は時間とともに蓄積される傾向があります。広いロール、ワイルドカードポリシー、または現在の機能を超えるアクセス権を持つアイデンティティを優先してください。 - ボルト保管されていないマシンアイデンティティ
特に、クラウドストア、CI/CDパイプライン、コード、または設定に存在する、中央集約的に保存および管理されていない認証情報です。これらのボルト保管されていないマシンアイデンティティは監査が難しく、制御を失いやすいです。 - ローテーションされていないマシンアイデンティティ
予測可能なスケジュール上でローテーションされていない長寿命のキー、シークレット、証明書は、露出時間を増加させ、侵害の封じ込めを困難にします。
本番環境を破壊することなく、マシンアイデンティティリスクを修正するにはどうすればよいですか?
これは多くのプログラムが停止する場所です。マシンアイデンティティはライブワークロードに関連しており、ミスはダウンタイムを引き起こす可能性があります。
鍵はコンテキストです。認証情報は何か、どこで使用されるか、それに何が依存しているかを知ることです。
安全な前進方法:
- まず通知と経路指定を行う—セキュリティをボトルネックにしないでください。
- 高影響度の認証情報をボルト保管および管理する—一貫した監査とローテーションを可能にしてください。
- 慎重にローテーションおよび無効化し、最も安全なターゲットから始めてください。
- 時間をかけてアクセスをリファクタリング—すべてを一度に修正しようとしないでください。
- 認証方法をアップグレードして、可能な限り認証情報リスクを削減します。
Delineaがマシンアイデンティティを保護する方法
Delineaは、チームがリスクの発見から修正への移行を支援します。同じ実用的なフロー:可視化 → ポスチャー → 制御を使用します。
1)可視化
マシンアイデンティティ、認証情報、および運用コンテキスト
Delineaは、プラットフォーム全体の可視性を拡大し、各アイデンティティを、所有権と依存関係などのコンテキストとともに、それが使用するシークレットと認証情報にマップします。これにより、安全に変更できるものが決定されます。
- Microsoft Entra/Azureでは、Delineaはアプリケーションレジストレーション、サービスプリンシパル、エンタープライズアプリとそれに関連する認証情報を検出し、古い、ボルト保管されていない、非アクティブなアイデンティティにフラグを立てます。
- AWSでは、Delineaは Secrets Managerのシークレットを検出し、最後の使用、年齢、変更履歴などのメタデータを強調表示して、チームが非管理認証情報を発見するのに役立ちます。
- Active Directoryでは、Delineaはサービスアカウントを検出し、その依存関係をIIS、スケジュール済みタスク、サービスにマップします。これにより、何も破損させずに認証情報をローテーションできます。
- 問題を適切なチームにルーティング:マシンアイデンティティプログラムは、セキュリティの検出結果が汎用キューに着信すると失速します。Delineaは所有権のマッピングを支援し、ポスチャーの問題がそれらが影響するワークロードの責任を負うチームにルーティングされ、アカウンタビリティが明確で応答時間が短く保たれます。
目標は単なるインベントリではありません。それは運用コンテキストです:アイデンティティが行うこと、それがどのように認証するか、そしてそれに何が依存しているかです。
2)ポスチャー
リスクを最も速く動かす問題を優先順位付け
100個のチェックは必要ありません。重要なもの、つまり実際のリスク削減を推進する設定ミスと露出パターンを表面化させるものが必要です。
Delineaは、一貫してリスク削減につながるパターンに焦点を当てています:
1. 高特権、管理者、およびシャドウマシンアイデンティティ
2. ボルト保管されていないマシンアイデンティティ
3. 非アクティブまたは未使用のアイデンティティ
4. 過度に特権化されたアイデンティティ
5. ローテーションされていないマシンアイデンティティ
これをプログラムとして管理するには、集中管理された可視化が必要です。Non-Human Identities Dashboardは、成長、リスク、改善を追跡するための単一の場所をチームに提供します。古い、権限が多すぎる、孤立した、ポリシー違反のアイデンティティ、ならびに異常なアクティビティまたは使用パターンの変化を表示します。
3)制御
安全にループを閉じる
リスクを特定するだけでは不十分です。リスクを安全に解決するための本番環境対応の方法が必要です。
Secret Serverを使用して、チームは以下を実行できます:
- Active Directoryおよびクラウドからのハイインパクト認証情報をボルト保管
- ネイティブワークフローを使用して手動または自動で認証情報をローテーション
- 不要になったことを検証した後、認証情報を無効化または廃止
修復は本番環境対応です:コンテキストに基づいて優先順位を付け、依存関係がわかっている場所でローテーションを行い、何かを無効化する前に検証してください。
次に何をすべきか?
わからない場合:
- マシンアイデンティティがどこにあるか
- どのような認証情報を使用しているか
- 何にアクセスできるか
ここから始めてください:
1. アクションに直結するポスチャーチェックを実行してください:高特権マシンアイデンティティ、ボルト保管されていないおよびローテーションされていない認証情報、古いアイデンティティ、および特権ドリフト。
2. 毎回同じプログラムで進めてください:コンテキスト付きで検出し、リスク削減が最も速いものを優先順位付けし、安全なインクリメントで修復します。ボルト保管とローテーションを最初に行い、依存関係を検証した後にのみ無効化してください。
マシンアイデンティティは現在、特権アクセスの大部分を占めています。人間のアイデンティティと同じ規律を使用してそれらを管理するほど早い段階で、アイデンティティセキュリティの最大の残存ギャップの1つを閉じることができます。
翻訳元: https://www.helpnetsecurity.com/2026/05/26/delinea-managing-managing-machine-identities-access/
