マシン識別情報、AIエージェント、シークレットの管理という課題は、成長している識別情報とアクセス管理市場、およびCISO のIAM戦略を揺さぶっている。
識別情報とアクセス管理(IAM)市場は、従来の「ログインとMFA」メカニズムから、識別情報をセキュリティ制御プレーンとして扱うことへと焦点をシフトさせている。
CSOが市場の発展について質問した多くの専門家によれば、買い手はパスキーを含むフィッシング耐性認証と非人間識別情報の管理を優先している。
「ワークフォースアクセスはまだアンカーですが、より多くのプログラムが今、ガバナンス、特権付きアクセス、および非人間識別情報の制御を組み込んでいます。なぜなら、これらのギャップは、攻撃者と監査人が継続的に足がかりを見つけている場所だからです」とパスワード管理ツールベンダー1Passwordのグローバルアドバイザリー CISO であるDave Lewisは述べています。
業界アナリストのContextによれば、2025年の全体的なヨーロッパサイバーセキュリティ市場は7.5%成長した一方、IAMは10.8%急増した。
2026年1月現在、市場はさらに加速し、最初の月だけで24%の前年比(YoY)増加を示している。
ContextのグローバルディレクターであるResearch and Business Development Joe Turnerは、市場成長が、多くのエンタープライズセキュリティプログラムで「ユーザーの保護」がどのように支出の優先事項になったかを反映していると述べています。
エージェンティックAIがIAMの未来を変える
非人間識別情報(マシン識別情報、AIエージェント、シークレット)の管理の必要性の増加は、テクノロジーと市場の両方として、IAMの進化を形作る1つのベクトルです。
「非人間識別情報(サービスアカウント、APIキー、AIエージェント、IoTデバイス)は大幅に増加しており、ほとんどの企業ではすでに人間のユーザーを約3対1の割合で上回っています」と、安全で複雑なデジタルインフラストラクチャのプロバイダーであるConscia UKのCTOであるPaul Hanaganは述べています。
IT業界は、AIテクノロジーの導入を超えて、エージェンティックAIへと移行しています。エージェンティックAIでは、自律的なエージェントがユーザーに代わってますます高い自律性を持って行動します。この変革には、セキュリティ制御が識別情報とリソースへのアクセスをどのように管理するかの再考が必要です。
「これらの[AI]エンティティのボリュームと独立性は、細心の注意を払った監視、最小権限の適用、およびシークレットキーの定期的なローテーションが必要です。これは非人間識別情報が確実に保護されるためです」と、Hanaganは述べています。「ハッカーはますます非人間識別情報を標的にしてアクセスを獲得しているため、これらのサービスは人間のアカウントと同じ厳密さでセキュリティされなければなりません。」
AIは、セキュリティとガバナンスを橋渡しするアイデンティティファブリックの構築を支援することで、行動分析、エンタイトルメント管理、および構成管理において大きな役割を果たすべきです。
「効果的に機能するために、AIエージェントはあらゆる種類のデータへの継続的なアクセスが必要になります。これは急速な動作の変化につながるでしょう」と、SiliconAngleとtheCUBEのアナリスト・イン・レジデンスであるJon Oltsikは述べています。「ここでは、ポリシーとガードレールが必要になります。」
パスワードレス認証の台頭
パスワードは長い間、ほとんどのセキュリティアーキテクチャの最も弱いリンクでした。
多くのモバイル電話とノートパソコンはすでに認証に生体認証を使用しており、ユーザーエクスペリエンスは通常、長く複雑なパスワードをインターフェイスに入力するより遠かに優れています。
「多くのエンタープライズはまだパスキーとFIDO2の展開の初期段階にあり、生体認証はより広いMFA戦略の一部として展開されることが多く、ハードウェアコストと管理オーバーヘッドは広範な採用への障壁のままです」とConscia のHanaganは述べています。
規制がIAMアーキテクチャを揺さぶる
規制環境は、コンプライアンスのチェックボックス演習から、企業の規制への準拠を実証するためのガバナンスと継続的なテストへと進化しました。Conscia のHanaganによれば、このシフトは、組織がIAMプログラムをどのようにアーキテクチャするかを積極的に再形成しています。
「かなりの量の規制作業が進行中です」と彼は述べています。「GDPR、NIS2、DORA、PCI DSS 4.0、およびセクター固有のフレームワークはすべて、誰が何にアクセスするのか、いつ、そしてなぜかに焦点を当てています。」
Hanaganは次のように述べています:「EUはしばしば英国とは異なるアプローチを取ります。たとえば、eIDAS 2.0は、ヨーロッパ全体でデジタルアイデンティティウォレットの採用を推進しています。これにより、複数の地域にまたがる多国籍企業の場合、コンプライアンスが特に困難になります。」
ソベリン IAM と eIDAS 2.0 が識別情報を分散化する
ヨーロッパデジタルアイデンティティ(EUDI)ウォレットの導入により、企業は分散型識別情報アーキテクチャを検討しています。
「ユーザーデータを保存する代わりに、ヨーロッパの企業は「頼りになる当事者」になりつつあります。政府が支援するデジタルウォレットを介して暗号化証拠を通じて識別情報を検証し、PII[個人識別可能情報]責任を軽減し、特にデータ最小化に関してEUデータ法に準拠しています」とContextのTurnerは述べています。
マネージドIAMサービスが提案をしている
サイバーセキュリティ労働力不足や現代のエンタープライズにおけるIAMの技術的複雑さなどの問題は、CISO の識別情報とアクセス戦略とIAM市場の方向の両方に影響を与えています。
「ほとんどの組織はハイブリッドエステートを SaaS スプロール と並行して運用しており、識別情報の表面は複数のディレクトリ、レガシーアプリ、および矛盾したエンタイトルメントモデル全体に分散しています」と1PasswordのLewisは述べています。
Conscia のHanaganによれば、才能不足に直面したこの複雑さがもたらす課題を橋渡しするために、多くの組織はマネージドIAMサービスに頼りつつあります。
「最新のIAMソリューションはセットアップするのが複雑で、深い知識と専門知識が必要です」と彼は述べています。「これがAIが役割を置き換える可能性があるという懸念と結びついている場合(これは業界への新規参入者を阻止します)、そして規制の強化、それは現代のIAMプロジェクトがペースで進むのに苦労している理由に大きな影響を与えます。」
IAM業界は統合される
IAM市場は統合の時期を経ており、ベンダーはマシン識別情報とAIエージェントを管理する問題に対処しながら、最も包括的なプラットフォームを構築するために競争しています。
翻訳元: https://www.csoonline.com/article/4148282/6-key-trends-reshaping-the-iam-market.html
