拡大する「アイデンティティ・スプロール」問題の内側

アイデンティティは、依然として多くの企業で機能している。従業員は認証し、アプリケーションは接続し、自動化されたプロセスは途切れることなく動く。だがセキュリティチームは、ますます厄介な状況を口にするようになっている。アイデンティティ管理における「確実性」が失われつつあるのだ。

予測可能な人のライフサイクルとレビューサイクルを前提に構築された従来のアイデンティティ統制モデルは、現代の企業の複雑さの重みに耐えきれず、きしみ始めている。実務家や研究者は、その原因を「アイデンティティ・スプロール」に求める。これは、デジタル環境全体でアイデンティティがどのように作成され、利用され、統制されるかが体系的に逸脱していく現象である。

クラウドプラットフォーム、開発パイプライン、自動化フレームワーク全体で、アイデンティティは、統制モデルが想定していなかった速度で作成され、使用され、破棄されている。これらのアイデンティティの多くは人間ではない。サービス、API、ワークロード、そしてますます自律的になるシステムに属し、数秒で現れては消える。

これは学術的な懸念ではない。調査や脅威分析は、組織が自社のすべてのアイデンティティを把握できずに苦しんでいるだけでなく、攻撃者が露出したアイデンティティデータを産業規模で武器化していることを示している。アイデンティティ分野のリーダーの72%が、過去1年でアイデンティティ関連攻撃の脅威レベルが増加した、または同程度だったと報告している。

アイデンティティのライフサイクルが予測可能でなくなったとき

長年、アイデンティティガバナンスは人間の行動に密接に結びついた一連の前提に依存してきた。従業員は組織に入り、役割を変え、最終的に去っていく。アクセスレビューが遅れたり統制が不完全だったりしても、アイデンティティは修正できるだけの期間は存続していた。そのモデルは、もはや現実を反映していない。

人間のアイデンティティと機械のアイデンティティの違いは、単なる規模の問題ではない。「人間のアイデンティティなら、従業員として組織に入ってくる人をオンボーディングし、働いて、退職する時点でプロビジョニング解除できます」と、Thalesでアイデンティティおよびアクセス管理のプロダクトマーケティングディレクターを務めるHaider Iqbalは述べた。

機械のアイデンティティはそのパターンに従わない。「機械のアイデンティティは数秒で現れては消えます」とIqbalは言う。「つまり、規模だけでなく、問題の速度という次元も加わるのです。」

その速度は、従来の「入社者・異動者・退職者（joiner-mover-leaver）」モデルを破綻させる。レビューが行われる頃には、アイデンティティはすでに消えているか、資格情報が別の場所で再利用されている可能性がある。

制御より先に可視性が崩れる

アイデンティティのライフサイクルが予測可能性を失うと、次の制約は可視性になる。

アイデンティティ環境は複数のプラットフォームにまたがって拡大し、それぞれが独自の制御とデータを持つ。認証プラットフォーム、アイデンティティガバナンスツール、特権アクセスシステム、クラウドIAMサービス、アプリケーションレベルの制御が、それぞれ全体像の一部を管理するようになった。

この断片化により、組織が実効的なアイデンティティ態勢を理解することはますます難しくなっている。

「組織は今日、意識していようがいまいがAIを使っています」とBeyondTrustの最高セキュリティアドバイザーであるMorey Haberは述べた。「そして多くの組織は、それが自分たちの環境に展開されていることすら把握していません。」

この認識不足はAIに限らない。多くのセキュリティチームは、非人間のアイデンティティの信頼できるインベントリを維持するのに苦労している。特に、それらのアイデンティティが自動化やクラウドサービスによって動的に作成される場合はなおさらだ。可視性の欠落はアクセス付与を止めはしないが、チームが自信を持ってポリシーを強制することを妨げる。

「統合がなければ……それが何をしているのか分からず、調べに行かなければならない。統合すれば、AIの可視性をすべて得られる」とHaberは、断片化したツールが運用に与える影響を説明した。

そのような状況では、ガバナンスはしばしば場当たり的になっていく。統制は存在しても、アイデンティティ作成を形作るのではなく、作成の後追いになりがちだ。

CyberArkの調査でも、こうした可視性のギャップはアイデンティティのサイロによって強化されがちであり、アクセスと特権が単一の記録システムとして管理されるのではなく、切り離されたツールやプラットフォームに分散していることが示されている。

可視性と制御のギャップは、侵害データにもますます反映されている。SpyCloudの「2025年 年次アイデンティティ露出レポート」は、侵害されたアカウント、マルウェア感染、露出した資格情報に結び付く数十億件のレコードが、産業規模で流通していることを示している。研究者がそれらのデータセットを相関させると、単一の企業アイデンティティが、数十、あるいは数百の露出したデータ要素に結び付いていることが多い。

攻撃者はもはや単一のユーザー名とパスワードに頼らない。資格情報、セッションCookie、個人属性、デバイスデータといったアイデンティティの断片を組み合わせ、多要素認証やその他のセキュリティチェックを発動させることなくユーザーになりすまし、横展開する。この文脈では、アイデンティティ・スプロールは内部のガバナンス課題であるだけでなく、拡大する外部の攻撃対象領域でもある。

特権が例外ではなくデフォルトになる

可視性のギャップが最も重大になるのは、それが特権アクセスと交差するときだ。現代の企業環境は、クラウドのオーケストレーション、アプリケーション統合、自動化ワークフローのために昇格アクセスに依存している。サービスアカウントやアプリケーションプログラミングインターフェースは、安定して機能するために広範な権限を必要とすることが多い。

それらの権限は、環境が変化しても残り続けることが多い。特定のタスクを支えるために付与されたアクセスが見直されることはまれで、特にそのアイデンティティが非人間である場合はなおさらだ。定期的なアクセスレビューは通常、従業員ユーザーに焦点を当てる一方で、機械のアイデンティティが保持するアクセスは一貫して精査されにくい。

業界調査は、この不均衡がいまや構造的であることを示唆している。CyberArkの「2025年 アイデンティティセキュリティ・ランドスケープ」レポートによれば、ほとんどの企業環境で機械のアイデンティティは人間のアイデンティティを大幅に上回るにもかかわらず、ガバナンスモデルは依然として特権ユーザーを主に人として定義している。大規模組織では、機械のアイデンティティはすでに人間のアイデンティティを桁違いに上回っている一方で、アクセスレビューや特権フレームワークは従業員ユーザー中心のままだ。サービスアカウント、ワークロード、自動化システムは、同じレビューサイクルやライフサイクル制御の対象にならないまま、恒常的で影響の大きいアクセスを日常的に保持している。

攻撃者は、この動的な環境を利用し、個々のアカウントではなくアイデンティティ間の経路を探す。

この変化により、多くの組織は特権アクセスモデルの捉え方を見直さざるを得なくなった。「従来のPAMは、IT環境における内部脅威のリスクを軽減するために設計されていました」とKeeper Securityの共同創業者兼CEOであるDarren Guccioneは述べた。「しかし、マルチクラウドコンピューティング、ハイブリッド、分散したリモートワークでは、PAMを企業全体に拡張する必要があります。」

特権が広範に存在し、しかも十分に理解されていない環境では、アイデンティティ・スプロールは単なるインベントリ問題ではなく、アクセス増幅の問題になり得る。課題は、どれだけの特権アクセスが存在するかだけではない。そのアクセスが、異なる種類のアイデンティティにわたってどのように定義され、分類され、レビューされるかにある。

置き換え戦略では問題は解決しない理由

クラウドプラットフォーム、レガシーシステム、自動化フレームワーク、複数の制御レイヤーにまたがって広がるアイデンティティ環境の複雑化は、多くの組織をアイデンティティのモダナイゼーションへと駆り立てている。これらの取り組みは、必要なリセットとして語られることが多い。

「移行における最大の課題の一つは、非常にリスクが高いことです」とIDMExpressのデリバリー担当副社長兼シニアテクニカルアーキテクトであるAnshita Mittalは述べた。「多くの研究で、こうしたリスクのために移行の70%が失敗することが示されています。」

大規模な移行は混乱と移行期のギャップをもたらすが、より重要なのは、アイデンティティ・スプロールをライフサイクルの問題ではなく技術の問題として扱ってしまう点だ。移行中もアイデンティティの作成は減速しない。機械のアイデンティティは、しばしばプロジェクトの範囲外で出現し続ける。

一部の組織は、アイデンティティ制御へのアプローチを変えることで対応している。全面的な置き換えではなく、段階的なライフサイクル管理へと移行しているのだ。すべてのアイデンティティを一度に統制しようとするのではなく、未管理のアクセスが存続し得る時間を短縮することに注力する。

Mittalはこのアプローチを、破壊ではなく進化だと説明する。「新しい製品への完全な置き換えをする必要はありません」と彼女は言う。「既存の製品を使い、段階的に一歩ずつ進化させればよいのです。」

これは、アイデンティティ・スプロールが継続的であり、ガバナンスは安定した最終状態を前提にするのではなく、継続的に適応しなければならないという認識を反映している。

信頼はポリシーから運用へ移る

AIと自動化が本番環境へ移行するにつれ、アイデンティティシステムには、単なる認証ではなく「行動」を支えることが求められている。組織は、定義された境界内にとどまりつつ、常時の人手による監督なしで動作できるシステムを望んでいる。この変化は、手作業のガバナンスの限界を露呈させる。

「私が耳にする本当の懸念は、これらのエージェントが実際にガードレールの内側、そして自分が設定したバランスの範囲内にとどまるよう、どう統制すればよいのかということです。そして、何かがうまくいかなかったときにどうするのか？」とRubrikのAI担当ゼネラルマネージャーであるDev Rishiは述べた。

多くの組織は依然として慎重だとRishiは言う。「AIは多くの組織にとって変革的でしたが、いまだに強い読み取り専用モードにあります。」

この文脈での信頼は、ポリシーというより日々の運用によって定義される。アイデンティティ活動の可視性、強制可能な制御、予期しない挙動に迅速に対処できる能力に依存する。

専門家は、アイデンティティ・スプロールはデジタルトランスフォーメーションの一時的な副作用ではないと言う。それは、自動化、クラウドサービス、AIに依存するシステムを企業が構築する方法から生じる構造的な帰結である。セキュリティおよびリスクのリーダーにとっての課題は、アイデンティティのライフサイクル管理が十分に速く進化し、ガバナンスを現実に整合させ続けられるかどうかにある。