CISOに夜眠れない理由を聞くと、通常の答えは「ツール不足」ではありません。それは不確実性です。
見えていないものに関する不確実性。
攻撃者が内部に侵入した後、どこまで移動できるかについての不確実性。
アイデンティティプログラムが実際にリスクを削減しているのか、それとも単に症状を管理しているだけなのかについての不確実性。
アイデンティティ検出はこの不確実性の中心に位置しています。これは華やかではありません。AI駆動の検出やゼロトラストイニシアチブと同じ注目を集めることはありません。しかし、それは意味のあるリスク削減の基礎です。
環境全体のすべてのアイデンティティに対する包括的な可視性がなければ、アイデンティティセキュリティプログラムは死角を持った状態で動作します。そして死角は侵害が始まる場所です。
最新のアイデンティティセキュリティにおける可視性ギャップ
ほとんどのアイデンティティセキュリティプログラムは、より単純な世界を想定して設計されました:中央ディレクトリ、定義されたワークフォース、内部と外部の明確な境界。その世界はもはや存在しません。
ワークロードは現在、マルチクラウド環境全体で動的にシフトします。開発チームはコードを通じてインフラストラクチャをデプロイします。CI/CDパイプラインはリソースを自動的に作成および破棄します。SaaSアプリケーションは事業部門全体に広がります。そして今、AIエージェントとLLM統計が前例のないスピードで本番環境に導入されています。
これらのシフトのそれぞれがアイデンティティを生成します。
人間のユーザーだけでなく、サービスアカウント、クラウドロール、ワークロードアイデンティティ、APIキー、トークン、証明書、自動化ボット、およびAI駆動エージェント。これらのアイデンティティはプログラムで作成され、機能性を確保するために広い権限が付与されることがよくあります。これらは環境全体に複製され、ネストされたロールを通じて継承され、プロジェクトが終了するときに残される場合があります。
セキュリティチームはこのアクティビティの一部を確認できます。彼らはAWSの新しいロールに気づきます。彼らはEntraの新しいサービスプリンシパルを見ます。彼らは新しいKubernetesサービスアカウントを検出します。しかし、何かが存在することを見ることは、それが何ができるかを理解することと同じではありません。
本当の問題は「このアイデンティティが存在するのか?」ではなく、「それは何にアクセスでき、次に何にアクセスできるか?」です。
攻撃者はまさにこの曖昧性を悪用します。最新の侵害はしばしばゼロデイエクスプロイトで始まるのではなく、認証情報の侵害または権限の設定ミスで始まります。そこから、攻撃者は横方向に移動し、過度な権限、信頼関係、およびセキュリティチームが完全にマップしなかったアイデンティティ継承パスを活用します。
リスク削減が目的であれば、可視性が最初に来る必要があります。
アイデンティティ爆発は一時的ではなく構造的です
アイデンティティ問題の規模は段階的ではありません。それは構造的です。
Delinea Labsによると、2025年に平均的な企業は1つの人間アイデンティティごとに約46の非人間アイデンティティを持っています。その比率は、組織がアイデンティティリスクをどのように考える必要があるかを根本的に変えます。
非人間アイデンティティは現在、人間の数を桁違いで上回っています。これらには、クラウドワークロードアイデンティティ、サービスアカウント、自動化スクリプト、APIトークン、コンテナ、RPAボット、およびますますAIエージェントが半自律的に動作することが含まれます。彼らは認証を行い、リソースをリクエストし、APIを呼び出し、機密システムにアクセスします。多くの場合、直接的な人間の操作なしに。
しかし、多くの組織はそれらを管理するためにレガシーツールのパッチワークに依存しています。特権アクセス管理(PAM)は特定の管理アカウントを処理します。IAMプラットフォームはワークフォースアクセスを管理します。エンドポイント保護はデバイスを保護します。アイデンティティ脅威検出と対応ツールは疑わしい動作を監視します。
各ソリューションは目的を果たします。しかし、各ソリューションは独自のサイロ内で動作します。すべてのアイデンティティ、人間、マシン、およびAIをコンテキストで見ることができる統一された共通のアイデンティティプレーンはありません。
その結果、組織はエクスポージャーに関する基本的な質問に答えるのに苦労しています。彼らはコンソール間をピボットします。複数のプラットフォームからデータを手動で調整します。クラウドプロバイダーとアイデンティティシステム全体のアクセス関係を一緒にステッチしようとします。一方、アイデンティティは増殖し続けます。
問題はツール不足ではなく、統一された可視性の欠如です。
可視性と照明への移動
戦略的なアイデンティティ検出には、定期的な監査や静的インベントリ以上のものが必要です。アイデンティティライフサイクル全体にわたる継続的で普遍的なカバレッジが必要です。
これを実現するために、組織はまず包括的なアイデンティティカバレッジを達成する必要があります。IT管理者、開発者、ワークフォースユーザー、サービスアカウント、ワークロードアイデンティティ、またはAIエージェントであるかどうかにかかわらず、すべてのアイデンティティは作成された瞬間に検出可能でなければなりません。可視性はデプロイから数週間または数か月後に始めることはできません。それは即座でなければなりません。
しかし、検出だけでは十分ではありません。各アイデンティティについて、組織はそれらの姿勢を理解する必要があります。それは過度に特権されていますか?それは古いまたは非アクティブですか?それは管理されていないか、非ボールトですか?それはポリシーに違反していますか?それは横方向の動きのリスクを生成していますか?
姿勢は可視性をインテリジェンスに変えます。セキュリティリーダーが仮定ではなくリスクに基づいて修復を優先順位付けすることができます。
第二に、アイデンティティの可視性はハイブリッド環境全体に拡張する必要があります。最新のエンタープライズはマルチクラウドプラットフォーム、オンプレミスのインフラストラクチャ、SaaSエコシステム、およびDevOpsパイプラインに及びます。Okta、Ping、Microsoft Entraなどのアイデンティティプロバイダーは、それぞれ独自のアクセスモデルと権限階層を保持しています。クラウドプロバイダーは独立したロールとポリシー構造を実装します。
環境間の可視性がなければ、フラグメントのみが見えるため、組織はリスクを誤認識します。アカウントはあるシステムでは準拠しているように見えるが、別のシステムでは過度な権限を保持している可能性があります。サービスアイデンティティはオンプレミスで管理されている可能性がありますが、クラウドテナントで管理されていません。AIエージェントは1つのプロバイダーを通じて認証する可能性がありますが、複数のプラットフォーム全体で権限を継承します。
真のハイブリッド可視性はこれらのサイロを崩壊させ、完全なアイデンティティ攻撃面を公開します。
第三に、最も重要なことは、組織はアイデンティティ関係を理解する必要があります。リスクは個別のアカウントに存在するのではなく、アイデンティティの接続方法に存在します。
アクセス継承、ネストされたグループメンバーシップ、信頼関係、ポリシー添付、およびクロスアカウント権限は隠された昇格パスを作成します。これらの関係は従来のダッシュボードでは見えないことがよくあります。
ここがアイデンティティグラフィングが不可欠になる場所です。
アイデンティティグラフは、アイデンティティが互いにどのように関連するか、そしてアクセス可能なリソースにどのように関連するかをマップします。これは、アイデンティティが直接アクセスできるだけでなく、間接的にアクセスできるものを明らかにしています。昇格チェーン、横方向の移動パス、および有毒なアイデンティティの設定ミスを表示します。
これは共通のアイデンティティプレーン、アイデンティティ、アクセスパス、および姿勢がコンテキストで見える統一されたモデルを形成します。
重要なことに、この可視性はアイデンティティスペシャリストだけのためのものではありません。明確に提示されると、アイデンティティグラフはインシデントを調査しているSecOpsチーム、エクスポージャーを評価しているリスクチーム、およびコントロールを検証している準拠チームによって使用できます。これはアイデンティティインテリジェンスを組織全体に民主化します。
ボードレベルでのアイデンティティ検出
アイデンティティセキュリティはボードレベルに到達しています。ガートナーは、84%の組織がアイデンティティセキュリティをテクノロジー上の懸念ではなくボードレベルの懸念と見ています。
取締役会はますますCISOにサイバーリスクを数値化するよう求めています。彼らはエクスポージャー、進歩、レジリエンスの測定可能な指標が必要です。彼らはAI採用とマシンアイデンティティリスクについて明確性が必要です。彼らは技術的説明以上のものを期待しており、戦略的洞察を期待しています。アイデンティティ検出により、CISOはエンタープライズ内のすべてのアイデンティティについて2つの重要な質問に答えることができます。
- このアイデンティティは何にアクセスできますか?
- そして、次に何にアクセスできますか?
特権は時間とともにドリフトします。ロールが蓄積されます。ポリシーがオーバーラップします。AIシステムは追加の権限をリクエストします。開発者は認証情報を再利用するか、アプリケーションに外部にハードコードします。一時的なアクセスが永続的になります。アクセスの進化方法を継続的に可視化しなければ、組織は侵害の影響を正確にモデル化することはできません。
ボードはすべての技術的詳細を理解する必要はありません。しかし、アイデンティティエクスポージャーが測定、監視、および時間とともに削減されることへの確信が必要です。彼らは過度に特権されたアカウントが修復されていることを示す証拠が必要です。彼らはマシンおよびAIアイデンティティリスクへの透明性が必要です。彼らはアイデンティティの姿勢が停滞していないで改善していることを見る必要があります。
アイデンティティの姿勢への完全な可視性は、アイデンティティセキュリティを運用管理から戦略的リスク管理規律に変えます。
検出がなぜ最初に来る必要があるのか
多くの組織は、包括的な検出を確立する前に、最小限の特権を実行しようとする、秘密をローテーション、または脅威検出ツールをデプロイしようとします。これらのコントロールは価値がありますが、可視性がなければ、それらは不完全です。
- それが存在する場所がわからない場合、過度な特権を削減することはできません。
- それらを見ることができない場合、シャドウ管理者を排除することはできません。
- AIアイデンティティが検出可能でない場合、AIリスクを管理することはできません。
アイデンティティ検出は、オートメーション、ガバナンス、および有意なメトリクスの前提条件です。ベースラインを確立します。ギャップを明らかにします。修復の優先順位を付けます。そして時間とともに改善を実証するために必要なデータを提供します。
ソフトウェアエクスプロイトではなく認証情報の誤用によってますます定義される脅威の景色では、アイデンティティの可視性はオプションではありません。それは基礎的です。
不確実性から戦略的自信へ
セキュリティリーダーはより多くのツールを望んでいません。彼らは明確さを望んでいます。彼らはボードの前に立ち、アイデンティティエクスポージャー、マシンアイデンティティの成長、AIガバナンス、および測定可能なリスク削減について自信を持って話したいと考えています。
アイデンティティ検出はその明確さを提供します。
すべての人間、機械、およびAIアイデンティティを照らし、ハイブリッド環境全体のアクセス関係をマッピングし、時間とともに姿勢を追跡することにより、組織は統一されたアイデンティティプレーンを作成します。そのプレーン内では、リスクが見えるようになります。そして一度見える、それは管理可能になります。
アイデンティティ検出は機能ではありません。それは戦略です。
翻訳元: https://www.helpnetsecurity.com/2026/04/29/delinea-identity-discovery-strategy/
