読了時間:4分
論評
非人間アイデンティティ(NHI)は、今後1年で爆発的な成長と導入が見込まれており、組織のサイバーセキュリティへのアプローチを根本的に変革しようとしています。サービスアカウント、システムアイデンティティ、マシンアイデンティティ、その他の自動化されたアイデンティティを含むこれらのデジタルエンティティは、アプリケーション、サービス、自動化システム間の通信と相互作用を可能にすることで、現代のデジタルインフラの基盤となっています。
NHIの範囲は単純なサービスアカウントをはるかに超え、今日の相互接続された技術環境を支える多様なデジタルアイデンティティのエコシステムを包含しています。これらの重要な要素には以下が含まれます:
-
サービスアカウント: システム管理者がリソースへのアクセスや操作を行うために使用する専用アカウント。
-
APIキー: 異なるソフトウェアアプリケーション間の安全な通信を可能にする認証情報。
-
デジタル証明書: デジタル通信の真正性と完全性を検証する暗号認証情報。
-
アクセストークン: 限定された期間、特定の権限を付与する一時的な認証情報。
-
自動化ボット: システム間で定型作業ややり取りを行うプログラム化されたエンティティ。
-
IoTデバイスおよびノード: 人間の介入なしにIoT(モノのインターネット)上で通信を行うシステム。
-
AIエージェント: 新たに登場したNHIのカテゴリーであり、システムアクセス権限や自律性の高さからセキュリティ上の懸念となっています。
NHIセキュリティにおける自信のギャップ
NHIの管理と保護には、従来の人間アイデンティティのセキュリティとは大きく異なる独自の課題があります。これらのアイデンティティには、安全なサービス間通信の維持、不正なシステムアクセスの防止、説明責任のための明確な監査証跡の確立など、高度なガバナンスフレームワークが必要です。人間のユーザーとは異なり、NHIは自律的に動作し、しばしば高い権限を持つため、従来のセキュリティツールでの監視が困難です。
OmdiaのDecision Maker Survey 2025(図1参照)の最近の調査結果は、サイバーセキュリティコミュニティにおける懸念すべき自信の欠如を明らかにしています。調査回答者の約60%が、自組織がNHIを十分に保護できる自信がないと回答しました。この統計は、NHIの急速な増加とそれを保護するためのセキュリティ対策との間に重大なギャップが存在することを浮き彫りにしており、強化されたセキュリティ戦略とソリューションの緊急性を示しています。
図1 – 組織における非人間アイデンティティ(NHI)保護への自信レベル
NHIに関する課題と問題点
Omdiaは、NHIに関して組織が対処すべき課題や問題がいくつかあると考えています。具体的には:
-
認証情報のセキュリティ: 多くのNHIはソースリポジトリに平文で認証情報がハードコードされており、脅威アクターに簡単に発見されてしまいます。さらに、複雑でないパスワードはパスワード推測攻撃に対して脆弱です。
-
インベントリと可視性の課題: 組織は複数のプラットフォーム、エンドポイント、クラウド連携にまたがるNHIの完全なインベントリを維持するのに苦労しています。これにより、放置された非アクティブなアカウントが攻撃対象領域を拡大し、是正活動の明確な所有者が不在となります。
-
権限管理: NHIは通常、運用要件を超える過剰な権限を与えられており、最小権限の原則に違反しています。人間が適切な認証方法の代わりにNHIアカウントを使用して特権アクセス管理(PAM)制御を回避すると、状況はさらに悪化します。
-
運用上の弱点: ボールト管理の問題、未知の依存関係、必要なコード変更などにより、認証情報のローテーションが困難です。組織はしばしばNHI認証情報を複数のアプリケーションで共有し、本番環境と非本番環境で同じアカウントを使用するなど、環境の分離ができていません。
これらの脆弱性は重大なセキュリティリスクを生み出し、ラテラルムーブメント、不正アクセス、潜在的な侵害を可能にします。組織は、インベントリ、ライフサイクル管理、権限管理、適切な認証情報の取り扱いを含む包括的なNHI管理戦略を策定し、これらの脅威を効果的に軽減する必要があります。
結論
Omdiaは、NHIが今後数年でかつてない成長を遂げ、組織のセキュリティ環境を根本的に再構築すると見ています。これらの自動化されたデジタルエンティティは、サービスアカウント、システムアイデンティティ、マシンアイデンティティのいずれであっても、現代の相互接続システムの基盤となり、複雑なデジタルエコシステム全体でアプリケーション間やサービス間のシームレスな通信を可能にしています。
NHIの爆発的な増加は、今日の技術環境を特徴づける自動化、クラウドネイティブアーキテクチャ、マイクロサービス導入への広範なシフトを反映しています。従来の人間アイデンティティとは異なり、これらのマシンベースの認証情報は自律的に動作し、リアルタイムのデータ交換、API連携、自動化プロセスを促進し、エンタープライズアプリケーションからIoTネットワークに至るまであらゆるものを支えています。しかし、この急速な拡大は重要なガバナンス上の課題ももたらします。
組織は、安全なサービス間通信の維持、厳格なアクセス制御の実施、包括的な監査証跡の確立のために、高度な管理フレームワークを導入しなければなりません。効果的なNHI管理には、不正アクセスを防止しつつ、ますます複雑化するデジタルインフラ全体で運用上の説明責任を確保するための継続的な監視、ライフサイクル管理、リスク評価プロトコルが求められます。Omdiaは、今後12か月が組織にとって堅牢なNHIセキュリティフレームワークを確立する上で極めて重要であり、複雑かつ自動化が進むデジタル環境の中で、受動的な対応の余地がますます狭まっていると考えています。
さらに読む:
サイバーセキュリティ意思決定者調査2025:アイデンティティ、認証、アクセス Omdia
