アイデンティティは新たな境界線なのか?
最近の調査は、サイバー攻撃における盗まれたアイデンティティの利用が衝撃的に増加していることを示しています。Crowdstrikeの「2025 Global Threat Report」によれば、アイデンティティベースの攻撃(フィッシングやソーシャルエンジニアリングを含む)が急増し、アクセスブローカーが2023年より約50%多い認証情報を宣伝していることが明らかになりました。同じレポートでは、有効なアカウントの悪用がクラウド関連のサイバーインシデントの35%の原因であることも示されています。明らかに、脅威アクターはアイデンティティ侵害を、より広範な企業環境への価値ある入口と見なしています。
Microsoftは 1日あたり6億件を超えるアイデンティティベースの攻撃をブロックしていると報告しており、脅威の規模を浮き彫りにしています。さらにCrowdstrikeは、2024年の侵入の79%がマルウェアを伴わなかったことを明らかにしました。これは2019年の40%から大幅な増加であり、敵対者が従来型のマルウェアではなく、アイデンティティの窃取と信頼された認証情報の悪用にますます依存していることを示しています。
アイデンティティ悪用への拡大する悪意ある関心は、企業におけるクラウドアーキテクチャの継続的な拡大と並行して進んでいます。Wakefieldが1,600人超のITおよびセキュリティの意思決定者(その半数はCIO/CISO職)を対象に実施した調査によると、ITおよびセキュリティリーダーの66%が、今後1年でクラウドおよびSaaSベースのサービス利用を増やす方向へシフトする計画だと回答しました。同じ回答者はクラウドに関する最大の懸念も明かしており、35%が「複数環境にまたがる機密データの保護」を来年の主要課題と捉え、30%が「集中管理の欠如」を懸念し、29%が「クラウドベースのデータに対する可視性と制御が不足している」ことを心配しています。
クラウドと企業内での非人間のサービスアカウントやAPIの利用は、おそらく同じペースで増え続けるでしょう。そして、こうした懸念はさらに深まる可能性が高い。だからこそ、アイデンティティが今やITの中心的リスクである理由は明白です。
しかし、この台頭に前例がないわけではありません。実際、境界型セキュリティの脅威と緩和策が進化してきた過程に似ています。かつてネットワーク境界は、ファイアウォール、仮想プライベートネットワーク、侵入検知システムによって強化されていました。しかし脅威環境が進化するにつれ、どれほどのセキュリティ技術と知見があっても、成功するハッキングを完全に防ぐことはできないことが明らかになりました。そこでセキュリティチームは適応し、レジリエンス(回復力)の姿勢を受け入れ、避けられないサイバー侵入の影響を軽減する新たな戦略を考案し、侵害が成功した後も迅速に復旧できるよう支援する必要がありました。
侵害が不可避になるにつれ、境界防御は「予防」から「検知」へとシフトしました。アイデンティティセキュリティも同様にする必要があります。
アイデンティティ技術は進化しなければならない
ネットワークアクセスが主に、人間のユーザーを管理すること(中央管理可能なユーザー名とパスワードを用いる)に焦点を当てていた時代には、基本的なアイデンティティ管理ツールと戦略で十分でした。しかし、クラウド導入、リモートワーク、相互接続デバイスの利用が増えるにつれて、ネットワークにおける「アイデンティティ」という概念そのものの複雑さも増しました。非人間のアイデンティティが増殖し、攻撃対象領域は既存のアイデンティティ管理ポリシーや運用の保護範囲を超えて拡大しました。
拡大する静かなNHI(非人間アイデンティティ)の多数派は、成長に不可欠です。しかし機械のアイデンティティは、見えにくく管理しにくい新たなリスク層を生み出しました。機械のアイデンティティには、人間が受けるような監督がありません。人事部門のポリシーが、その作成や廃止を統制するわけでもありません。古い認証情報や過剰な権限のまま残りがちで、格好の標的になります。侵害された機械のアイデンティティは、従来の防御を回避して、攻撃者に静かで持続的なアクセスを与え得ます。
集中管理された追跡がなければ、組織はどの機械がどのデータにアクセスしているのかを把握するのに苦労し、機密情報が露出したままになります。実際、データの拡散に加えて管理されない機械のアイデンティティがある状況は、災害のレシピです。
多要素認証、ロールベースのアクセス制御、強力なパスワードといった「予防」は依然として不可欠ですが、盗まれた認証情報を持つ攻撃者はこれらの障壁を回避できます。静かな多数派の規模と不可視性が、このシフトをさらに後押しします。必要なのは高度な検知です。
Identity Threat Detection and Response(ITDR)技術は、その初動対応において重要な役割を果たします。ITDRは人間と機械のアイデンティティをリアルタイムで監視し、AIを用いて異常を検知します。いずれかのアイデンティティが不審な挙動を始めた場合(無関係なデータへアクセスしたり、隣接するアプリケーションへのログインを試みたりするなど)、ITDRシステムは認証情報の失効といった対応をトリガーできます。
文化の問題:機械を統括するのは誰か?
セキュリティ態勢とレジリエンスの向上を目指す組織は、非人間(あるいは人間)のアイデンティティ数が突然減ることはないと認識したうえで、アイデンティティのポリシーと運用を「検知中心」の考え方へと転換しなければなりません。しかしそこに到達するには、ITと情報セキュリティ(InfoSec)のどちらがNHIの利用を規定するポリシーに最終決定権を持つのか、という現実的な文化的緊張に組織が向き合う必要があります。
ITがイノベーションとスピードを求めるのは自然なことです。ITは一般に、機械のアイデンティティを展開する際の障壁を下げるポリシーを推進します。ITは、クラウドインスタンス間でデータを共有するために立ち上げたいAPIを、InfoSecの誰かがレビューするのを数日や数週間も待ちたくありません。あるいは、製品プロトタイプで使うために本番データを取り込む目的でNHIを利用する可能性のあるテスト用開発環境を作る際に、誰かに肩越しに監視されるのも望みません。この種の介入が生む摩擦は、ITの目的そのもの――技術を用いて組織にスピード、効率、イノベーションをもたらすこと――に反します。
しかし、ITがNHIを無制限に利用することで生じ得る現実のセキュリティ問題を無視するのは浅はかです。もし誰もそのテスト環境のAPIを棚卸ししなければ、新製品のローンチ後も長期間にわたり本番データに接続されたまま残る可能性があります。そして、誰もその環境を停止したり保守したりしなければ、ますます安全性が低下し、悪用されやすくなるでしょう。放置されたNHIが何十個も何年も動き続けることがあり得る一方で、振り子がITの「速く動いて物事を進める」メンタリティから、より慎重なInfoSecのアプローチへと振れるのに必要なのは、たった一度の失敗です。
この緊張は新しいものではありません。セキュリティの専門家に、ITとの(そしてその逆の)衝突について聞けば分かります。しかし、ますます制御が効きにくいコンピューティング環境において、抑制のないITイノベーションとInfoSecのロックダウンの間で激しく揺れ動くことから、誰も利益を得ません。
私たちは、アイデンティティの脅威に対して、何らかの節度ある中間的アプローチで向き合わなければなりません。
