2026年、非人間アイデンティティがビジネス継続性の最大リスクとなる理由
あらゆる企業のセキュリティチームが、組織図には決して現れない人員問題と格闘しています。
ボット、サービスアカウント、APIキー、OAuthトークン、マシン証明書——非人間アイデンティティ(Non-Human Identity: NHI)は、現在ほとんどの大規模組織において人間のアイデンティティを上回っており、多くの場合その比率は10対1にも達します。これらは常時認証を行い、あらゆる環境で動作し続けます。そして忘れ去られたとき、静かに退場するようなことはありません。居座り続け、権限を蓄積し、ただ待ち続けるのです。セキュリティの専門家たちはこれらを「ゴーストアイデンティティ」と呼ぶようになりました。まさに言い得て妙な表現です。
セキュリティ業界は数多くの警告を受けてきました。ただ、それに対して行動を起こしてこなかっただけです。
SolarWindsの事件を思い出してください。攻撃者は何かを力ずくで突破したわけではありません。密かに侵入し、広範なアクセス権を持つマシンアイデンティティを見つけ出し、本来の用途そのままに——静かに、正当に、目立たぬように——それを利用しました。1万8,000の組織が被害を受け、数カ月にわたって検出されませんでした。認証情報は従来の意味で盗まれたわけではありません。ただそこに存在し、監視されることなく、攻撃者が必要とすることを黙々と実行し続けていたのです。
2022年のUberのケースは、より単純な構造でした。誰も管理していないサービスアカウント、どれほど長期間ローテーションされていなかったか分からない認証情報——それが、すでに潜入していた攻撃者によってネットワーク共有上で発見されました。そのたった一つのゴーストアイデンティティが、PAMシステムへの直接経路を開いてしまいました。そこから先は、すべてが芋づる式に侵害されました。クラウド環境、ソースコード、社内ツール——。たった一つの忘れ去られた認証情報。それが侵入のための入場料でした。
2023年のOktaのケースは、異なる問題であり、より解決が困難なものでした。問題となった認証情報は、Okta自身のインフラ上にすら存在していませんでした。サードパーティのサポートベンダーが管理していたものです。技術的には他社の環境です。しかし、その認証情報はOktaのシステムへのアクセス権を持っており、そのベンダーが侵害されたとき、アクセス経路も同時に侵害されました。
3つのインシデント、3つの異なる侵入経路。しかし共通点が一つあります——誰も監視していないアイデンティティが、最近誰も正当性を確認していないアクセス権を持ち、攻撃者が必要とする場所にぴたりと存在していたということです。
これをセキュリティ上の問題と呼ぶことは間違いではありません。ただ、次に訪れる事態をすべて言い表してはいないのです。
予告されたクライシス
2026年、管理されていない非人間アイデンティティの影響は新たな形を取ります。侵害ではありません——カレンダーに刻まれた予定として現れるのです。
マシンアイデンティティ証明書には有効期限があります。過去10年の大部分において、組織は3〜5年の有効期間で証明書を発行してきました。2020年から2022年の間、企業はデジタルインフラを驚異的なスピードで拡張しました。クラウド移行は数カ月に圧縮され、自動化パイプラインはプレッシャーの下で構築され、新サービスは次々と連携され、ガバナンスは後回しにされました。
それらの証明書が、今まさに失効しようとしています。一つ二つではなく、大量に。
連鎖的な障害のシナリオは複雑ではありません。証明書が気づかれないまま失効します。それが支えるサービスが停止します。そのサービスを通じて認証されている依存アプリケーションが次々と障害を起こします。同じインフラ上で動作している監視ツールはアラートを見逃します。インシデント対応チームは、何が何に接続しているかの全体像を把握できないまま問題に対処します。何時間も過ぎていきます。丸一日かかることもあります。有効期限を見落とされた認証情報から始まったことが、売上に影響する障害となり、規制当局が注視する事態へと発展します。
これは以前、より小規模な形で起きています——2020年には、たった一つの失効した証明書によって、Microsoft Teamsが数百万人のユーザーに対してオフラインになりました。2026年に訪れるのは、急成長したもののガバナンスが不十分だった組織に同じ障害モードが複製され、同時多発的に発生するという状況です。
証明書の失効は、慣例的にITオペレーションの問題として扱われてきました。しかし、顧客向けサービスが18時間にわたって停止するような障害を経験すると、そうした認識は通用しなくなります。
Ashish Mishra
構造的なギャップ
根本的な原因は怠慢ではありません。アーキテクチャの問題です。
組織がアイデンティティ管理に使っているツール——ロールベースのアクセス制御、特権アクセス管理プラットフォーム、アクセス認証キャンペーン——はすべて人間を対象に設計されています。これらのツールは、アイデンティティには所有者、管理者、そしてレビューサイクルがあることを前提としています。非人間アイデンティティはそのモデルに合いません。即時の問題を解決するために作られ、動作させるために広範なアクセス権を付与され、プロジェクトが終わった後もそのまま動き続けるのです。
過剰なプロビジョニングがリスクをさらに増大させます。レビューされていないサービスアカウントはすべて、潜在的な横断侵害の起点となります。書き込みアクセス権を持つ休眠中のAPIキーはすべて、開いた扉です。レガシーな管理者権限を持つゴーストアイデンティティに至っては——ほとんどの組織が認めたくないほど多く存在しますが——侵害時の影響範囲は組織全体に及ぶことが多いです。
あるべき姿
答えはツールではありません。この分野のすべてのベンダーは異なることを言うでしょう。しかし、彼らは手順の順序を間違えています。
ガバナンスが最初です。ツールはそれを支援するものです。そしてガバナンスは、ほとんどの組織が現時点では答えられない問いから始まります——「私たちはどのような非人間アイデンティティを運用しているのか?」という問いです。
この問いはシンプルに聞こえます。しかし、そうではありません。NHIは中央集権的に作られるものではありません。問題を解決する開発者によって、サービスを立ち上げるプラットフォームチームによって、自社製品を連携させるベンダーによって作られます。それぞれの判断はその時点では合理的でした。しかし、それらは有用な形で記録されることはありませんでした。その結果、ほとんどの大企業では、誰も完全な全体像を把握していない資産が存在することになります——そして、誰かがその地図を作るまで、どんなツールもそれを管理することはできません。
だから、まずそこから始めてください。プラットフォームの評価でも、ポリシー文書でもなく、ディスカバリースプリントからです。4〜6週間、最もリスクの高い環境に焦点を当てます。クラウドから始め、CI/CDパイプライン、サードパーティ統合へと進めます。不完全なインベントリであっても、まったく把握できていない状態よりもはるかに有用です。
その作業を進めながら、証明書の失効データを今すぐ取得してください。来四半期ではなく、今日です。失効日でソートし、今後18カ月以内に失効するものをフィルタリングします。すべての項目に担当者名を明記し——所有者が特定できない場合は、その証明書をゴーストアイデンティティとして扱い、それに応じてエスカレーションを行ってください。このたった一つの行動が、障害になる前に2026年の失効リスクに直接対処することになります。
最後に、最も機密性の高いサービスアカウントに対して権限監査を実施してください。過去12カ月間レビューされていない管理者権限を持つNHIは、証拠が示すまで過剰権限として扱う必要があります。過剰であることを前提とし、必要性を証明させてください。
これらは新たな予算枠を必要としません。必要なのは、別の何かが代わりに決断する前に、それが取り組む価値があると誰かが決断することです。
より広い問題
一つの組織がNHI環境を修正したとしても、問題全体は解決されません。単に、その組織が他よりもリスクにさらされる度合いが低くなるというだけです。
マシンアイデンティティをめぐる市場は、まだ足場を固めている段階です。NHIガバナンスの範囲を定義するよう3社のベンダーに聞けば、3つの異なる答えが返ってきます。本来存在すべきライフサイクル標準が存在していません。セキュリティチームが依拠するフレームワーク——NISTやISO 27001——は最小権限の原則を概念として扱っていますが、ハイブリッドクラウド環境に散在する5万件の未管理サービスアカウントをどう扱うべきかを具体的には教えてくれません。
欠けているのは意欲ではありません。具体性です。合意されたタクソノミー、共有されたライフサイクル標準、そしてNHIガバナンスを他のすべてのアイデンティティ義務と同等のレベルに置く規制上のガイダンス——脚注に埋め込まれたものでも、原則から暗示されるものでもなく、明確に記述され適切に執行されるものが必要です。
その議論はすでに始まっています。標準化団体は動き出しています。規制当局はより注目するようになっています。しかし、そのペースは年単位で測られるものであり、証明書失効の波は月単位で迫っています。
失効日は業界が追いつくのを待ってはくれません。
期限は最初から組み込まれている
ゴースト人員は自らを名乗り出ません。辞表を出すことも、人事評価を求めることもありません。何かが止めるまで動き続けます——侵害、失効、あるいはようやくインベントリを取ることを決断したセキュリティチームが現れるまで。
2026年、NHI環境のマッピングとガバナンスを行っていない組織では、何かがそれを止めることになります。唯一の変数は、それが意図的なプログラムによるものか、計画外の障害によるものかということです。
残された時間は非常に短いです。
本記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加を希望しますか?
翻訳元: https://www.csoonline.com/article/4184637/governing-the-ghost-workforce.html
