アイデンティティ環境が複雑化する中、アクセス障害の多くは十分なコンテキストなしに下された決定に由来するようになっており、その一方で組織はアイデンティティツールに多大な投資を行っています。
アイデンティティとリスク管理プログラムを指導してきた私の約20年間の経験から、あるいは悲劇的な真実を学びました。それはすべてのCISOが最終的に直面する現実です:ハッカーは不正に侵入するのではなく、ログインするのです。私たちは境界防御と技術的エクスプロイトの高度さにしばしば夢中になっていますが、私が目撃した最も深刻なセキュリティ障害の多くは、ゼロデイ攻撃や高度な技術を伴うものではありませんでした。それは完全に「正当な」認証されたアクセスリクエストであり、それを許可した人物がそれが引き起こすリスクについてほとんど理解していなかったのです。
これが高価値本番データベースから、セキュリティチームのレーダーにほとんど引っかからないような見掛け上低リスク補助システムまで、様々なケースで起こるのを見てきました。すべてのケースで結果は同じでした:有効なユーザー、有効なセッション、有効な承認が、静かに侵害への扉を開いたのです。
これは現代的なアイデンティティセキュリティにおける2つの不快な真実を露呈しています。認証—誰かが誰であるかを証明することは—MFAとSSOを通じてほぼ対処されています。認可—誰かが何をすることを許可すべきかを決定すること—はより一層脆弱なままです。より深い問題は、アクセスがどのように許可されるかではなく、組織が実際に何を管理していると信じているかです。
本当の分母は何ですか?
多くのエンタープライズでは、アイデンティティプログラムは「管理されたアプリケーション」の慎重に定義された範囲内で動作しています。チームはIGAツールが見ることができるアプリケーション(ほとんどの場合、最大でも数百個のシステム)のためのオンボーディングワークフローに多大な投資を行っています。しかし、有意義なリスク評価は、はるかに不快な質問から始まります:組織は環境全体を通じて誰がどのようなアクセスを持っているかどのようにして知ることができるのでしょうか?
これは真の分母問題を生み出しています。組織が自身のアプリケーション、クラウドテナント、サービスアカウント、環境の完全な範囲を説明することができない場合、MFAカバレッジやアクセスレビューに関するメトリクスはほぼパフォーマティブになります。既知のサブセット全体で「100%カバー」されていることは、そのサブセットが実際の資産のほんの一部しか表していない場合、ほとんど保証を提供しません。
2025年MuleSoftコネクティビティベンチマークレポートによると、平均的なエンタープライズは約1,000個のアプリケーションを管理していますが、3分の1未満が中央統合プラットフォームと記録システムに統合されており、これらは同じシステムです。セキュリティチームは多くの場合、可視性とガバナンス範囲を確立するために依存しています。これらのシステムに入ることのないアプリケーションは、一貫して在庫、レビュー、またはアクセスの観点からの管理を行われる可能性がはるかに低いです。
攻撃者はこれを直感的に理解しています。彼らは検索をよく管理された本番システムに限定しません。彼らはエッジをプローブします—レガシーポータル、テスト環境、シャドーITツール—正にそれらの資産がしばしば正式なガバナンスの外にあるためです。マイクロソフトの「Midnight Blizzard」侵害はこのダイナミクスを強調しました。初期の足がかりはミッション・クリティカルな本番システムではなく、管理された資産に適用された保護を欠いているレガシー本番以外のテストテナントでした。
SSOの落とし穴:認証がなぜ保証ではないのか
ビジネスおよび技術リーダーから、「SSOが有効な場合、きめ細かいアクセス制御について心配する必要がないのですか?」と聞かれることがよくあります。根底にある仮説は、ユーザーが中央の安全なポータル経由で認証されたら、難しい作業は完了しているということです。
実際には、SSOは周辺防御に似ています。それを包括的なセキュリティ制御として扱うと、2つの戦略的な盲点が導入されます—どちらか一方が悪用された場合、重大な下流への結果を公開します。
カバレッジの溝
ほぼ完全なSSOカバレッジで動作するエンタープライズはほとんどありません。すべての資産が近代的で、対象となるか、またはフェデレーテッド認証に対応しているわけではありません。レガシーなオンプレミスシステム、特化したプラットフォーム、非標準アプリケーション、シャドーSaaSツールはしばしばSSOの傘の外に存在します。
アクセス決定がSSOの存在に主に依存する場合、これらの未現代化資産は多くの場合、より少ない精査を受けます。その結果、セキュリティチームが管理していると信じている環境と、攻撃者が積極的にターゲットにしている環境の間の溝が広がります。
バイパスの現実
SSOが存在する場合でも、それは脆弱ではありません。攻撃者はますます中央認証を完全に迂回するパス、つまりローカルアカウント、サービス認証情報、またはセッションハイジャック技術にフォーカスしています。Snowflakeの侵害は、敵がフェデレーテッド制御をバイパスし、それ以外の有効なアクセスパスを使用して動作する方法の明確な例を提供しました。
これらのシナリオでは、認証は成功します—またはまったく回避されます—そしてセキュリティの結果は、その認証されたアイデンティティが次に何をすることを許可されるかに依存します。
ブラストラディウス:暗黙の信頼の結果
有効なアカウントが侵害される場合—「ログイン」ではなく「ハック」—損害に対する唯一の有意な制約はそのアイデンティティのブラストラディウスです。広大で蓄積された権限は、単一の侵害されたアカウントをエンタープライズ全体の露呈に変えます。狭く、よく理解されたアクセス境界は、一度内部に侵入した場合、攻撃者がどこまで移動できるかを制限します。
この文脈では、アクセスガバナンスはアクセスの拒否ではなく、影響の制約についてです。成功したログインが包含されたインシデントになるか、システムの失敗になるかを決定します。
拡大する非人間攻撃面
分母はSaaS成長だけでなく、非人間アイデンティティとサードパーティアクセスの増殖を通じて拡大し続けています。サービスアカウント、APIキー、シークレット、オートメーションアイデンティティは多くの組織では人間ユーザーを大きく上回っていますが、同じリゴール度で管理されることはめったにありません。
同時に、現代的なエンタープライズは内部システムへの継続的なアクセスが必要な請負業者、ベンダー、パートナーにますます依存しています。Okta サポートシステム侵害は、管理されていないサードパーティアクセスがどのようにしてエントリーポイントになる可能性があるかを示しました。侵害は、サードパーティサポート環境内のサービスアカウント—組織の主要なガバナンスフォーカスの外に存在していた資産に由来しました。侵害されたら、そのアカウントはセッションハイジャックと下流への露呈を可能にしました。
これらのインシデントは反復的なパターンを強調しています:認識された分母の外に落ちるアクセスは、多くの場合、より少ない精査、より少ないコントロール、より弱い説明責任を受けます。
「デジタル従業員」の台頭
組織がAI駆動のオートメーションと仮想ワーカーとして機能するエージェントシステムを展開する際に、分母は再び拡大しています。これはもはや単純なスクリプトではありません。彼らは金融システム、データプラットフォーム、運用ツール全体で多段階のタスクを実行します。
AIエージェントに財務報告書の生成やシステム全体のワークフロー調整が任されている場合、それは広大なアクセスを継承します。そのエージェントが不適切なアクセス決定を下す場合、説明責任は曖昧になります。元の管理者による承認は多くの場合、作成時のみに適用され、範囲と振る舞いの進化に適用されません。
同時に、シャドーAI使用は問題を複合化させます。従業員はしばしば個人認証情報を使用して、管理されていないAIツールを機密データソースに接続し、正式なアイデンティティシステムに表示されない並列アクセスパスを作成します。アイデンティティガバナンスは、歴史的には人間の従業員を中心としていましたが、現在は従来の可視性を超えて動作している増大するデジタルアクターの人口に直面しています。
マネージャーがゴム判を押す理由
アイデンティティプログラムの最も脆弱なポイントが物理的な場所を持っていたとしたら、それは金曜日の夜遅くのマネージャーのインボックスになるでしょう。
ゴム印承認は多くの場合、怠慢の兆候ではありません。通常、システミックなコンテキスト障害の結果です。アイデンティティワークフローは定期的に、濃密な技術的な短縮形で説明されたアクセスリクエストで承認者に提示します—解釈するには専門知識を必要とするグループ名と権利コード。
FIN-PRD-DB-USR-RWのような文字列はIAMエンジニアには完全に明確かもしれません。ビジネスマネージャーにとっては、それは解読不可能です。複数のそのようなリクエストに直面して、マネージャーは暗黙の選択肢を残されます:不慣れな技術的詳細を調査するために彼らの仕事を一時停止するか、リクエストが正当であると仮定して進めるか。高速化環境では、信頼がデフォルトになり、承認が反射的になります。
アクセスリクエストが明確な、人間が読める可能性のあるコンテキストなしに提示される場合、承認は判断ではなく信頼の行為になります。決定は記録されていますが、リスクは決して真に評価されていません。
潜在的な権利と最小権限の侵食
アクセスガバナンスの中核的な目標の1つは、最小権限の原則を実施することです。実際には、現代的なワークフローは潜在的な権利の蓄積を通じてその目標を損なうことがしばしばあります。
組織全体で繰り返される馴染みのあるパターン。従業員は特定のプロジェクトのためにアクセスをリクエストし、それを受け取り、無期限にそれを保持します。その後のアクセスレビュー中に、マネージャーは長期間存在しているように見える権利に遭遇し、したがって暗黙的に正当化されます。実際の使用状況への可視性がなければ、「問題を引き起こしていない」アクセスを取り消すほとんどインセンティブはありません。
このダイナミクスは定期的なレビューをリスク評価ではなく行政的な継続性の運動に変えます。アクセスは必要であるためではなく、それが存在するために保存されます。時間の経過とともに、権利が蓄積し、最小権限は操作的ではなく志向的になります。
問題がなぜ複合化し続けるのか
これらの課題は環境が分散化し、変化が加速するにつれて激化しています。新しいシステムはガバナンスモデルが適応するより速く現れます。非人間アイデンティティが増殖します。サードパーティの関係が拡張されます。各追加層は、付与されたアクセスと理解されたアクセスの間の溝を増やします。
より多くのツールまたはより多くのプロセスチェックポイントを追加することは、本質的に決定品質を改善しません。多くの場合、それは断片化を増幅し、信頼を増加させることなく応答を遅くします。
決定を取り戻す
今日のアクセス障害はほとんどのの場合、足りないコントロールから由来していません。十分なコンテキスト、所有権、または説明責任なしに下された決定から由来します。アイデンティティ環境が従業員を含むより先に請負業者、オートメーション、機械駆動プロセスを含むように拡大する際に、付与されたアクセスと理解されたアクセスの間の溝は拡大し続けています。
CISOにとっての課題は、もはやポリシーを実施することではなく、アクセス決定がリスクを有意に減らすか—または単にそれを文書化するかを決定することです。組織が誰がアクセス決定の責任を持つ、どのようなコンテキストがそれらに知らせるか、そしてそれらの決定がどの程度の時間有効であるか、どのように明確に答えることができるまで、アイデンティティガバナンスは保証なしに承認を生成し続けるでしょう。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
