現代の企業ネットワークは、数百のアプリやインフラストラクチャサービスに依存する非常に複雑な環境です。これらのシステムは、常に人間の監視なしに安全かつ効率的に相互作用する必要があり、そこで非人間アイデンティティ(NHI)が登場します。アプリケーションシークレット、APIキー、サービスアカウント、OAuthトークンを含むNHIは、近年急増しており、ますます多くのアプリやサービスが即座に連携し、互いを識別する必要があるためです。一部の企業では、NHIが人間のアイデンティティを50対1の割合で上回っています。
しかし、NHIは独自のリスクと管理上の課題をもたらし、セキュリティリーダーを警戒させています。最近のEnterprise Strategy Groupの報告によると、46%の組織が過去1年間にNHIアカウントや資格情報の侵害を経験し、さらに26%がそれを疑っています。
そのため、NHIとそれに伴う監視、リスク低減、ガバナンスの難しさが、OktaのCISOフォーラムで繰り返し取り上げられています。ここでは、その増加、リスク、そしてCISOやセキュリティリーダーがどのようにそれを管理しているかを探ります。
NHIの驚異的な増加#
NHIの増加は、クラウドサービス、AIと自動化、デジタルワークフローの利用増加に起因しています。これは、ますます多くのタスクが自動化され、人間が方程式から外れるにつれて続く傾向です。
NHIは、特定のドメイン内およびクラウドサービスのようなサードパーティアプリケーションとアプリが相互に認証することを可能にします。これらのシークレット、キー、トークンは、人間が使用する資格情報と同様に、場合によってはそれ以上に機密性が高く、漏洩すると特定のアプリケーションやサービスに強力なアクセスを提供する可能性があります。
CISOはこれに注目しています。実際、80%以上の組織が非人間アイデンティティセキュリティへの支出を増やすことを期待しています。
Bain CapitalのCISOであるMark Suttonは、「非人間アイデンティティは、アイデンティティとアクセス管理プログラムの成熟度に基づいてチームの焦点となっています。ユーザーアイデンティティがある程度解決されたため、次に注目されるのはサービスアカウントやマシン間の非人間アイデンティティ、APIを含むものです。」と述べています。
簡単に言えば、組織が人間のアイデンティティを保護するための強力なプロトコルを確立したら、次の論理的なステップはNHIに取り組むことです。「それに、非人間アイデンティティは脅威の風景の一部であり、攻撃者が次に向かう場所です。」
NHIのシークレット漏洩とその他のリスク#
他の資格情報と同様に、NHIは機密性が高く、保護が必要です。しかし、人間がMFAや生体認証などの強力なセキュリティ対策を使用して機密資格情報を保護できる一方で、NHIはしばしば認証にあまり安全でない手段に依存しています。それが攻撃者にとって容易な標的となる可能性があります。
NHIのシークレット漏洩も深刻な懸念事項です。これは、アプリケーションのソースコードにハードコーディングする、または誤って公開文書にコピー&ペーストするなど、さまざまな方法で発生する可能性があります。シークレット漏洩は重大な問題であり、シークレットはしばしば公開GitHubリポジトリに現れます。実際、セキュリティ企業GitGuardianは昨年、公開リポジトリで2700万以上の新しいシークレットを発見しました。多くの環境でNHIのシークレットが頻繁にローテーションされないことを考えると、漏洩したシークレットの有効期間が非常に長くなる可能性があります。
さらに、タスクを実行するために広範かつ持続的な権限を必要とすることが多いため、NHIは過剰な権限を蓄積し、攻撃対象をさらに拡大します。これらすべてが、NHIを攻撃者にとっての主要な標的とし、CISOとそのセキュリティチームにとっての大きな課題となっています。
NHIのセキュリティ確保におけるCISOが直面する3つの課題#
NHIがCISOのレーダーに入っている一方で、それを確保することは別の話です。ここでは、CISOから聞いている3つの課題と、それらをどのように管理しているかを紹介します:
- 可視性の確保。NHIを確保し管理する上で最大の障害は、実際にそれを見つけることです。環境内でNHIがどこにあるかの可視性は限られており、それらをすべて、またはほとんどを発見することは困難な作業です。多くの組織は、存在すら知らなかった数千のNHIを抱えています。「知らないものを確保することはできない」という古い格言はここでも当てはまります。つまり、NHIを発見し、インベントリを作成することが重要です。アイデンティティセキュリティポスチャーマネジメントソリューションを導入することで、管理者やセキュリティ専門家が組織全体でNHIを特定するのに役立ちます。
- リスクの優先順位付けと低減。次の課題は、環境内のNHIに関連するリスクの優先順位付けです。すべてのNHIが等しく作られているわけではありません。最も強力なNHIを見つけ、過剰な権限を持つNHIを特定することが、これらのアイデンティティを確保するための重要なステップです。多くのサービスアカウントや他のNHIは、実際に必要な以上の権限を持っており、組織にリスクをもたらす可能性があります。高価値のNHIを特定し、権限と許可を調整することで、そのリスクを低減することができます。「各非人間アイデンティティに関連する影響範囲を理解し、『リスクは何か?』と問うことが重要です。すべてのNHIが同じ脅威を持っているわけではありません」とSuttonは強調しました。
- ガバナンスの確立。今日、非常に多くのNHIが作成されているため、ガバナンスはCISOにとって本当の悩みの種となっています。しかし、適切にガバナンスされていない場合、悪いことが起こる可能性があります。例えば、2024年10月に発生した未回転トークンに関連するインターネットアーカイブの一連の侵害を考えてみてください。多くの場合、NHIは開発者によって短期的なニーズを満たすために作成されますが、適切に追跡されたり廃止されたりすることはほとんどありません。誰がNHIを作成しているのか、どのように作成しているのか、何のために作成しているのかを理解することが良い第一歩です。その後、セキュリティチームは、非人間アイデンティティが任意に作成されないように管理するための明確なプロセスを確立する必要があります。「私たちは認証とパスワードポリシーについて考える必要があります」とSuttonは言います。「例えば、何年も回転していない弱い静的パスワードを持つ多くのサービスアカウントがある可能性があります。それらをどのように管理するかを確実にするにはどうすればよいでしょうか?」
最終的な考え#
非人間アイデンティティは、今日のビジネスにとって不可欠であり、プロセスの自動化、統合の有効化、スムーズな運用を支援します。課題は、それらを確保するのが難しく、しばしば非連邦化され、MFAを欠き、静的な資格情報を使用し、過剰な権限を持っているため、脅威アクターにとって魅力的なターゲットであることです。
最終的には、非人間アイデンティティと人間のアイデンティティは異なる特性とニーズを持っていますが、どちらも認証の前、中、後に保護するエンドツーエンドのアプローチが必要です。NHIは人間ではありませんが、環境内でますます強力なアクターになっています。それを確保することはオプションではなく、緊急の課題です。
8月18日のウェブキャストに参加して、人間かどうかにかかわらず、すべてのアイデンティティを1つの統一システムで管理することでリスクと複雑さを軽減する方法を学びましょう。
翻訳元: https://thehackernews.com/2025/06/the-hidden-threat-in-your-stack-why-non.html