PAM (特権アクセス管理) 
ランサムウェアと盗まれた認証情報は、金融機関を標的と
組織が、重要な業務の遂行のために人工知能 (AI) への依存を高めるにつれ、AIの開発およびデプロイメントを支えるインフラストラクチャは、サイバー犯罪者にとって価値の高い標的となりつつあります。 モデルのトレーニングやデータパイプラインから、クラウドワークロードやAPIまで、AIの運用には、特権認証情報と重要なシステムへのアクセスが不可欠です。
現実的に、AI環境は人間のユーザーだけでなく、AIエージェント、コンテナ、サービスアカウントなどの非人間アイデンティティ (NHI) によっても操作されています。 人間が使用するIDと比較すると、NHIは、動的で自動化されたパイプラインにおいて、監視および保護することが特に困難です。 AIを利用したサイバー攻撃のリスクを軽減するには、組織は最小権限アクセスを適用し、常時特権を排除し、ゼロトラストのセキュリティ原則を適用して、人間が使用するすべてのIDとマシンIDを保護する必要があります。
以下では、AIセキュリティリスクへの対策においてアイデンティティセキュリティが不可欠である理由と、Keeper®が人間および非人間の両方のアイデンティティをどのように保護するかをご紹介します。
アイデンティティセキュリティが重要な理由
AIベースのシステムは、分散したインフラと重要な環境への高度なアクセスに依存しています。 エンジニア、DevOpsチーム、データサイエンティストなど人間のユーザーは、通常、データベース、Kubernetesクラスタ、GPU、本番環境のワークロードを管理するために管理者権限を必要とします。 しかしアクセスを必要とする人間のユーザーは、社内従業員だけではありません。 多くの組織は、インフラ管理や基盤プラットフォームの維持のために、外部ベンダーに特権アクセス管理を付与することがあるため、厳格な管理を必要とする外部リスクが生じています。ベンダー特権アクセス管理 (VPAM) は、サードパーティからのアクセスを制御および監視することで、このリスクに対処します。 VPAMは、内部システムへの外部アクセスのセキュリティ確保と管理に重点を置いて設計されており、最小権限アクセスを徹底し、監査可能な可視性を維持します。
AIを運用する上で、人間が使用するIDは非常に重要ですが、AIエージェント、サービスアカウント、API、自動化スクリプトのようなNHIも同様に重要です。 NHIは、データを移動したり、AIモデルを導入したり、自動パイプラインを実行したりするために、特権アクセスと認証情報を必要とします。 人間のユーザーとは異なり、NHIは通常、大規模で継続的に稼働するため、サイバー犯罪者にとって価値の高い標的となっています。 人間のIDやマシンIDが侵害された場合、その影響は、データの窃取や認証情報の悪用から、横方向への侵入拡大やコンプライアンス違反にまで及ぶ可能性があります。
人間および非人間アイデンティティに関する課題
AI環境におけるアイデンティティ管理は、急速に変化するインフラストラクチャ全体にわたって、人間のユーザーと自動化されたプロセスの両方を保護する必要があるため、困難を伴います。 特に、迅速な開発のためエンジニアやデータサイエンティストが常時アクセスを与えられているようなスピード感のある環境では、時間の経過とともに、人間のユーザーが過剰な権限設定を蓄積してしまうことがよくあります。
人間ユーザーにとってアクセス管理がどれほど複雑であるにせよ、NHIにはまた別の課題が伴います。 サービスアカウント、AIエージェント、スクリプト、APIは、スクリプトにハードコードされたり、コンテナに埋め込まれたりしたシークレットに依存していることが多いため、追跡、ローテーション、取り消しが困難です。 NHIがどう運用されているか、どのシステムがNHIに依存しているか、NHIがどのようなアクセス権を持っているかについて、把握できていない傾向があります。 AIインフラがマルチクラウド環境に拡大するにつれ、シークレットの散逸を制御することが困難になり、自動化のための監査証跡は実質的に存在しなくなります。 適切な監視や管理が行われない場合、侵害されたIDは検出されないままとなり、重要なシステムやAIモデルへの不正アクセスを許すことになりかねません。 この問題に対処するには、AIワークフロー全体で異常なアクティビティを検出し、人間およびマシンの両方のIDが承認されたアクセス制限内で動作していることを保証する必要があるため、行動分析と継続的な検証が重要になります。
AI環境全体でアイデンティティを保護するためのベストプラクティス
機密データおよび重要インフラを保護するには、組織はアイデンティティを第一に考えたセキュリティ戦略を採用し、人間と非人間アイデンティティの両方を守らなければなりません。 ここでは、AIライフサイクルのあらゆる段階において、アイデンティティを保護するためのベストプラクティスをいくつか紹介します。
- 最小権限アクセスを適用: 特定のロールやタスクごとに必要な範囲のアクセスのみを付与し、状況に応じてそのアクセスを継続的に検証することで、IDの侵害による影響を軽減します。
- 認証情報の自動ローテーションを使用したシークレット管理: 認証情報がハードコーディングされるのを排除し、定期的に自動ローテーションすることで安全に保管します。これは、複数のパイプラインで継続的に動作するマシンIDにとって非常に重要です。
- ロールベースのアクセス制御 (RBAC) と多要素認証 (MFA) の適用: RBACを実装し、ロールやチームごとに詳細なアクセスポリシーを定義します。また不正アクセスを防ぐため、すべてのシステムにおいて特権操作を行うアクセスには多要素認証 (MFA) を要求します。
- 特権セッションの監視と記録: すべての人間とマシンによるアクセスのセッションアクティビティを記録します。これによって責任の所在が明確になり、異常なアクティビティの検出が容易になり、監査業務が簡素化されます。
- ジャスト・イン・タイム (JIT) アクセスで常時特権を排除: アクセスをプロビジョニングし、タスクが完了すると自動的に取り消します。JITアクセスは、サイバー犯罪者による攻撃の機会を大幅に減らし、ゼロトラストセキュリティをサポートします。
- アイデンティティセキュリティをCI/CDに統合: シークレット管理とアクセス制御を開発ワークフローに直接組み込み、AI環境においてセキュリティが自動化を妨げないようにします。
- VPAMによってベンダーの一時アクセスを強制: サードパーティによる社内システムへのアクセスには、VPAMを使用したポリシーベースの一時アクセスを許可することで、アクセスが追跡可能かつ限定したものになります。
Keeperが、人間と非人間アイデンティティを保護する方法
Keeperは、人間のIDとマシンIDのためのゼロトラストコントロールプレーンで、現代のAI環境のアイデンティティセキュリティの要求を満たすように構築されています。 Keeperは、組織のエコシステムにおけるすべてのアイデンティティを以下の機能で保護します。
- シークレット管理: Keeperは、SSHキー、トークン、証明書などのシークレットを暗号化されたボルトに安全に保管し、ローテーションすることで、平文のシークレットが漏洩しないようにします。
- JITアクセス: Keeperを使用することで、アクセスが必要な時のみプロビジョニングされ、その自動取り消しによって常時アクセスが排除されるため、変化の速いAI環境で認証情報が負の資産になることを防ぎます。
- セッション録画: 社内のセキュリティポリシーやコンプライアンス要件に対応するため、すべての特権セッションを記録し、監査できます。これにより、誰がいつ何にアクセスしたかを完全に把握できます。
- AIによる脅威検知と対応: KeeperAIは、アクティビティを詳細に分析し分類することで、高リスクのセッションを特定し、自動的に終了させます。
- マルチクラウド環境に対応: Keeperは、AWS、Azure、GCP、オンプレミス環境でのアクセスをサポートしており、自動化されたワークフローで一般的に使用される分散型インフラストラクチャにおいても、一元的な管理を可能にします。
- 開発者ツールの統合: Keeperは、Terraform、Kubernetes、SQLクライアントなど、最新のAI開発を促進する多くのツールとの統合をサポートしています。これらの統合により、開発者のワークフローにセキュリティを組み込みながら、作業の妨げとなる手間は発生しません。
- VPAM: Keeperは、請負業者やサードパーティーに対し、ポリシーに基づいた詳細な監査証跡のある時間限定のアクセスを適用することで、ベンダーのアクティビティを厳格に管理・監視します。
Keeperで、AIのセキュリティリスクからすべてのIDを保護
AIの導入が加速する中で、管理されていないIDや監視されていないアクセスなど、適切に保護されていない場合、あらゆる人間のユーザーとマシンユーザーは、新たなセキュリティリスクに直面する可能性があります。 従来のアクセス管理方法では、現代のインフラストラクチャの急速な拡大に追いつくことができません。そこで必要になるのは、Keeperのような最新のアイデンティティセキュリティプラットフォームです。 Keeperにより、運用スピードを損なうことなくAI環境を強固に保護し、急速に拡大するAIインフラにもスケーラブルに対応するゼロトラストセキュリティを実現できます。
