非人間アイデンティティ (NHI) を保護する方法

非人間アイデンティティは、現代の企業において見落とされがちな一方で、悪用されやすい攻撃対象領域となっています。 非人間アイデンティティとは、システムやサービスとやり取りをするものの、物理的なユーザーには結び付けられないエンティティを指します。 ハイブリッドおよびマルチクラウド環境の拡大に伴い、何千ものマシンベースのアイデンティティが重要な業務を静かに支えています。しかし、その多くは管理されておらず、可視化もされないまま、悪用されるリスクにさらされています。

最新のシークレット管理を導入し、最小権限を徹底するとともに、認証情報のローテーションや機密システムへのアクセス監視を行うことで、非人間アイデンティティを保護できます。

管理されていない非人間アイデンティティのリスク

平均的な企業は、数千の非人間アイデンティティを管理しています。 その多くは、恒常的なアクセスや過剰な権限を持ったまま、十分な監視が行われていません。 適切なガバナンスがなければ、非人間アイデンティティは、サイバー犯罪者にとって少ない労力で大きな利益を狙える格好の標的になります。

多くの脆弱性は、いくつかの共通するパターンに起因しています。

• コードリポジトリや設定ファイルに埋め込まれたハードコード化されたシークレット
• 管理主体や追跡性が不明確な共有サービスアカウント
• ローテーションや失効が行われていない静的認証情報
• デフォルトで過剰に付与され、その後も取り消されていないアクセス権限

非人間アイデンティティの安全確保における課題

非人間アイデンティティは人間のユーザーとは根本的に異なるにもかかわらず、多くの組織はいまだに、人間中心のID管理とアクセス管理 (IAM) ツールで保護しようとしています。 その結果、可視性のギャップが拡大し、制御も一貫しないまま、マシンの認証情報がリスクにさらされています。

従来のIAMシステムは、ワークロード、コンテナ、サービスアカウント、短命なクラウドインフラストラクチャを前提に設計されていません。 従業員のアクセス管理には優れている一方で、非人間アイデンティティの挙動や、それによって生じるリスクは見落とされがちです。

非人間アイデンティティの安全を確保する際に直面する課題は次のとおりです。

• 限定された可視性: 非人間アイデンティティは、目に見えず把握されにくいことがあります。 ユーザーアカウントのようにオンボーディングやオフボーディング、追跡が行われないため、数や所在、アクセス先を把握することが困難です。
• 明確でない所有権: マシン (非人間) アイデンティティの責任は、DevOps、IT、セキュリティ、エンジニアリングの各部門に分散しがちで、その結果、責任の所在が曖昧になり、ポリシーの一貫性が保たれなくなることがあります。
• 断片化される認証情報: シークレットは環境ごとに異なる方法で管理されています。 あるチームはプレーンテキストの設定ファイルを使用し、別のチームは認証情報をCI/CDパイプラインに保存し、クラウドネイティブのサービスでは、最小限の監視で組み込みのID機能に依存しているといった場合があります。
• 過剰かつ恒常的なアクセス: 非人間アイデンティティには広範な権限が付与され、作成時の認証情報でそのまま無期限に実行されることがあります。これは最小権限 (PoLP) の原則やゼロスタンディング特権に反する状態です。
• ポリシーの隙: 人間向けに設計されたIAMポリシーは、マシンアイデンティティにそのまま当てはめることができません。 人の操作を伴わないコンテナやスクリプトにアクセス制御、多要素認証 (MFA)、監査ログを適用するには、専用のツールと自動化が必要です。

こうした隙により、非人間アイデンティティはサイバー犯罪者に悪用されやすくなり、IT部門による検出や対応が難しくなります。

非人間アイデンティティを保護する5つの方法

ここでは、リスクを軽減し、環境全体でマシンベースのアクセスを制御する5つの方法を紹介します。

1. シークレットの一元管理システムを利用する

シークレットは、プレーンテキストで保存したり、ソースコードにハードコード化したり、システム間で手動で渡したりしてはなりません。 一元化されたシークレット管理プラットフォームにより、認証情報は暗号化され、アクセス制御され、ライフサイクル全体にわたって安全に管理されます。

Keeperシークレットマネージャー®を使用すると、認証情報をAPI経由で安全に保管、取得、ローテーションできるため、シークレットの散逸を削減し、ワークフローを自動化し、クラウド環境とオンプレミス環境全体で一貫したポリシーを適用できます。

2. 認証情報を自動でローテーションする

永続的な認証情報は、長期にわたる攻撃対象領域を生み出します。ローテーションを自動化すると、パスワード、APIトークン、SSHキーなどのシークレットを短い有効期間で定期的に更新するため、安全な状態を維持してリスクを軽減できます。 Keeperシークレットマネージャーを含むKeeperPAM®のようなプラットフォームでは、使用後、システムの更新時、再展開時、設定されたスケジュールなどで認証情報を自動的にローテーションできます。

これは、認証情報の使い回しを排除し、環境全体でゼロスタンディング特権モデルを強制するために重要なステップです。

3. 非人間アイデンティティに最小権限を適用する

各マシン (非人間) アイデンティティには、そのジョブを実行するために必要なアクセス権のみを与える必要があり、過剰な権限を付与するべきではありません。 まず特定のロールに基づいて、各アプリケーションまたはワークロードの最小権限ポリシーを定義します。 不要なデフォルトまたは継承された権限を削除し、ロールベースのアクセス制御 (RBAC) を使用して、環境全体で一貫したきめ細かいアクセスを適用します。

4. 時間制限付き監査アクセスを強制する

非人間アイデンティティは継続的に実行されることが多いですが、常時アクセスが必要なわけではありません。ジャストインタイム (JIT) アクセスを使用すると、必要なときにのみ認証情報をプロビジョニングし、使用後は即座に取り消すので、悪用されるリスクが軽減します。

KeeperPAMは、特定のタスクやセッションに紐づく時間制限付きアクセスを付与することで、これを可能にします。 すべてのアクティビティはリアルタイムで記録され、セッション録画と組み合わせることで、完全な可視性と監査性を確保できます。

5. 非人間アイデンティティを継続的に検出し管理する

非人間アイデンティティを効果的に管理するには、組織はサービスアカウント、クラウドID、ワークロード認証情報を継続的に検出し、評価し、適切に管理する必要があります。 これには、孤立した認証情報や古くなった認証情報の特定、権限と使用パターンの監査、自動化を使用して、使用されなくなったIDにフラグを付けたり削除したりすることが含まれます。

非人間アイデンティティの無秩序な拡大を防ぐのは一度きりの取り組みではなく、あらゆる環境にわたる継続的な監視とライフサイクル管理が必要です。

非人間アイデンティティを見落とさない

非人間アイデンティティは数が増え、複雑さを増すにつれて、管理されなければ重大な脅威となります。 これらの非人間アイデンティティの安全を確保できない組織は、認証情報の盗難、データ漏洩、ラテラルムーブメントの危険に晒されます。

KeeperPAMは、組織が人間と非人間のすべての特権アクセスを完全に可視化し、制御できるように支援します。 KeeperPAMは、ハイブリッドインフラに対応し、シークレットマネージャー、認証情報のローテーション、特権セッションの記録、JITアクセスをクラウドネイティブなプラットフォームとして統合しています。