企業はいまだにIAMを正しく運用できていない

あらゆる警告や、壊滅的なサイバー攻撃に関する絶え間ない報道にもかかわらず、企業ユーザーはアイデンティティおよびアクセス管理（IAM）に関していまだに手を抜いている。

セキュリティ企業CyberArkによる新たな調査によれば、サイバーセキュリティのリーダーの約3分の2（63%）が、従業員がより速く仕事を進めるためにセキュリティ制御を回避し続けていることを認めている。さらに企業は、新たに登場するAIエージェントやその他のエージェント型ツールに対するアクセス・ポリシーの確立に苦慮している。

これは、アイデンティティと特権の制御が運用リスクの中核であることを強く示唆している。

「データは、目先の生産性向上が長期的なセキュリティ態勢をしばしば上回るという文化的パターンを示しています」と、CyberArkでITおよび開発者向けソリューションのGMを務めるCharles Chuは述べた。「セキュリティはいまだに、人々の足を引っ張るものだと認識されていることが明らかです」

特権アクセス管理は不十分

CyberArkは、アイデンティティおよびインフラ領域で特権アクセス管理（PAM）に関与するリーダー500人を調査した。対象には、DevOpsエンジニア、セキュリティマネージャー、クラウドセキュリティアーキテクト、データベース管理者、サイト信頼性エンジニアおよびソフトウェアエンジニア、ITサポート担当者が含まれる。

彼らは、自組織について次のように報告している。

• 最新のジャストインタイム（JIT）特権アクセスモデルを完全に実装しているのはわずか1%;
• 91%が、特権アクセスの少なくとも半分が常時有効（標準特権）であり、機密システムへの無制限かつ永続的なアクセスを提供していると回答;
• 45%が、人間とAIのアイデンティティに同一の特権アクセス制御を適用している;
• 33%が、明確なAIアクセス・ポリシーを欠いている。

この調査は、「シャドー特権」という増大する問題も明らかにした。これは、管理されておらず、不要で、サイバーセキュリティのリーダーにも把握されていないアカウントやシークレットを指す。CyberArkは、54%の組織が毎週この種のアカウントやシークレットを発見していることを突き止めた。

これは、アクセスのオーナーシップが「分散している」ことを示しているとChuは指摘した。「継続的に特権アクセスを整理し、統制する責任を誰も感じなければ、当然それは蓄積していきます。さらに、組織の大半（88%）が複数のアイデンティティツールを管理しており、それが『誰に権限があるのか、どのシステムが信頼できる唯一の情報源なのか』について混乱を生みます」

最もリスクの高い人間の行動

CyberArkは、アクセス管理における最もリスクの高い人間の行動として、次のようなものを挙げた。

• 「公式」プロセスが遅いという理由で、認証情報を個人用のパスワードマネージャー、チャットアプリ、またはメールにコピーする。
• 中央の制御外で、特権アクセスを伴うクラウドリソースやテスト環境を立ち上げる。
• 共有の管理者アカウントを使用したり、システムや環境をまたいで似たパスワード／トークンを使い回したりする。
• 昇格特権がたまにしか必要ない場合でも、「念のため」に常時有効のアクセスを残しておく。

「従業員が制御を回避するのには、とても人間的な理由があります」とChuは認めた。「彼らは迅速に進めるプレッシャーを受けており、使用を求められるセキュリティツールはしばしば使いにくく、実際の仕事の進め方と衝突します」

その結果、場当たり的なローカル管理者の作成や、「誰も見直さない」長期間有効なIAMロールやAPIキーにつながる。

AIは問題をさらに悪化させている。ユーザーがキー、ログ、設定ファイルをAIツールに貼り付け、意図せずシークレットを露出させてしまうとChuは指摘した。AIは既存の制御が追いつけない速度でアプリをデプロイしたりシステムを変更したりできるため、エンジニアは制御を回避しがちだ。さらに、AIシステムやエージェントは、セキュリティチームからまだ完全には見えない形で、ユーザーに代わって行動するケースが増えている。これにより、危険な近道はさらに検知しにくくなる。

「結果として、ポリシーが定める内容と、本番環境で実際に起きていることのギャップが広がっています」とChuは述べた。

AIエージェントに固有のアイデンティティを与える

結論として、AIエージェントは人間のユーザーとはかなり異なる形で動作する。より高速であるだけでなく、継続的に稼働し、単一のワークフローの中で複数のシステムやデータセットに触れる。大量の特権操作を非常に短時間で実行できるため、固有のリスクをもたらす。

この点を踏まえ、セキュリティチームはAIエージェントを独立したアイデンティティとして扱い、専用のアクセス制御を設けるべきだとChuは助言する。各エージェントには専用のアイデンティティと認証情報を割り当て、特定のシステムやデータセットに対して厳密に範囲を絞った権限を付与する。短命トークンで長命キーを置き換え、昇格権限はジャストインタイムで、かつ特定のタスクに対してのみ付与すべきだ。さらに、AIエージェントが行うすべての操作はログに記録され、追跡可能でなければならない。

人間の場合と同様に、恒常的なアクセスの削減、可視性の向上、強固なガバナンスをAIにも「明示的かつ一貫して」適用しなければならないとChuは述べた。

JITの実装は難しい

JITは、必要なときに、特定の目的のために、限られた期間だけ選択的な権限を付与する手法である。ユーザーやシステムがアクセスを要求すると、「時間制限があり、スコープが限定された」特権セットが付与され、必要な作業を実行できるようになった後、自動的に「より低いベースラインに戻る」とChuは説明した。

「すべてのステップがログに記録されるため、組織は誰が、あるいは何が強力なアクセスを持ち、その理由が何かを把握できます」と彼は述べた。

しかし、JITは実運用で実現するのが依然として難しいとChuは指摘し、企業がその慣行の危険性を十分に認識しているにもかかわらず、恒常的な特権への依存が大きい結果になっている。

原因はいくつもあるという。ITチームは、障害を恐れてレガシーシステムへの変更に消極的になりがちであり、オンプレミス基盤、複数クラウド、SaaSアプリケーションから成る複雑なIT環境は実装を難しくする。JITがインシデント対応やその他の日常業務を遅らせるのではないかと懸念するチームもある。

課題に拍車をかけているのは、既存のサイバーセキュリティツールが高度に複雑な企業環境向けに設計されていないことだとChuは述べた。「その組み合わせは断片化を示しています。ツールは豊富にあるのに、統合された可視性と制御が十分ではありません」.

企業が自らを守る方法

今日の企業には、集中管理されたアイデンティティ、最小権限、そして自動化を中心に構築されたセキュリティが必要だとChuは強調した。これは、コンテキストに基づくポリシーと多要素認証（MFA）を備えた強力なシングルサインオン（SSO）、人とマシンの双方に対するパスワード／キー／トークンの最新のシークレット管理、完全なログ記録を伴いオンデマンドで短命アクセスを発行できる特権アクセス機能、そして人間のアカウント、サービスアカウント、AIエージェントにまたがる活動をつなぎ合わせる分析を意味する。

文化的観点からは、組織はアイデンティティと特権管理のより明確なオーナーシップ、共有目標、そしてサイバーセキュリティの実践に関するトップダウンのメッセージングを確立すべきだと彼は述べた。

また重要なのは、既存のプロセスやワークフローに容易に統合できるツールを採用し、摩擦を減らしてユーザーの回避行動を減らすことだ。「効果的な実装の鍵は、ユーザーが日々の業務を行う際に、セキュリティを可能な限り意識させないことです」とChuは断言した。