最新のアイデンティティセキュリティプラットフォームの3つの柱

最新のアイデンティティセキュリティプラットフォームを評価するためには、次の3つの中核となる柱を検討することが重要です。強力な認証制御とアクセス制御、無制限のスタンディング特権を排除する、特権アクセス管理 (PAM)、継続的な可視性を備えた安全な認証情報とシークレット管理。

このブログでは、この3つの柱が何を意味し、この3つの柱がどのように連携して機能するのか、そして自動化やエージェント駆動のワークフローを拡張する際にどのように評価し、ギャップやストレスを生じさせることなく展開する方法について、詳しく解説します。

最新のアイデンティティセキュリティプラットフォームの構成と、その重要性

アイデンティティセキュリティプラットフォームは、人間と非人間アイデンティティ (NHI) の保護、アプリケーションとインフラストラクチャへのアクセス制御、クラウド環境とハイブリッド環境全体で可視化されたポリシーの強制を実施するのに大きな役割を果たします。 アイデンティティベースの不正アクセスは一般的な初期アクセス経路です。実際、アイデンティティ駆動型の攻撃は2025年前半だけで32%増加したと、Microsoftは発表しています。 攻撃者は認証情報を盗み、脆弱な認証フロー (特に一部の環境での多要素認証消耗攻撃を含む) を悪用し、再利用可能な特権アクセスを探します。

同時に、クラウドの拡大とリモートアクセスにより、アイデンティティによるサインインが可能な場所やアクセスできるコンテンツも広がり続けています。

これはもはや人間のユーザーだけに限られるものではありません。 多くの環境では、サービスアカウント、API、CI/CDジョブ、自動化スクリプト、そして最近ではチームに代わって作業を実行するAIエージェントなど、非人間アイデンティティ (NHI) への依存が増加の一途をたどっています。 これらのアイデンティティは、無人操作が必要なため、広範な権限と長期間有効なシークレットを持つ傾向があります。

制限的な作業で利用できるポイントツールは個々のユースケースでは効果的ですが、アイデンティティおよびアクセス管理 (IAM ) 、PAM、シークレット管理、ロギングの間にギャップを生む可能性もあります。 プラットフォームを利用すると、ポリシー、ポリシー適用、監査証拠間での整合性をとれ、チームは全行程を通してアイデンティティリスクを管理できるようになり、NHIとAIエージェントの活動も含めて対応できるようになります。

最新のアイデンティティセキュリティプラットフォームで検討すべき3つの柱

ベンダーを比較したり導入計画を立てる前に、実際にアイデンティティリスクを軽減する機能を定義しておくと役に立ちます。 以下の3つの柱が実用的な基盤になります。 それぞれの柱が互いを支え合い、どれか1つでも欠けると、他の部分に問題が生じることが多々あります。

第1の柱: 強力なアイデンティティ保証とアクセス制御

この柱では、他人になりすますことを困難にすることと、容易にユーザーの権限を制限することを目的としています。 まず、多要素認証のような強力な認証と、必要に応じて高リスクのアクセスでは、フィッシング耐性の高い方法を使用することから始めます。 また、これはリスクとコンテキストを活用して、より適切な判断を行うことを意味します。たとえば、機密性の高いアプリケーション、不審なデバイス、または通常とは異なるサインイン動作に対して、より強力な本人確認を要求します。

そこからのアクセス制御では、ロールと条件付きアクセスポリシーによって最小権限を強制する必要があります。 ここでの目標は、アクセスした人が必要な情報に、必要な期間だけアクセスできるようにすることです。 これは、従業員や請負業者だけでなく、NHIやAIエージェントにも適用されます。

ライフサイクルの自動化は、アクセス制御が時間の経過とともに劣化していくのを防ぐのに役立ちます。JMLワークフロー (入社から退職までのワークフロー) でアクセスのプロビジョニングとデプロビジョニングを確実に行う必要があります。 NHI側では、ライフサイクル制御でサービスアカウント、統合、APIクライアント、AIエージェントを対象にする必要があります。その作成方法、権限の付与方法、シークレットのローテーション方法、ワークロードが変化した場合の廃止方法などです。

第2の柱: スタンディング特権を排除する特権アクセス管理

PAMについては、永続的な管理者権限の削減、高リスクのアクセスパスの隔離、重要システムへのアクセス制御、そしてその間のすべてに対する詳細な監査証跡の成果を評価することが重要です。 最新のPAMでは、権限は永続的に割り当てるのではなく、一時的で制御すべきものとして捉えています。

特権は、特定の目的と期間に限定して付与し、その後は自動的に失効させるようにすべきです。 認証情報の分離も同様に重要です。それは、ユーザー、ワークロード、AIエージェントが特権パスワードやキーを直接付与されるべきではないからです。 特権認証情報が漏洩すると、コピー、キャッシュ、ログ記録、または盗難され、再利用される可能性があります。

セッション録画とセッションをリアルタイムで終了する機能は、何か問題が発生した場合のリスクを抑えるのに役立ちます。 適切な場合には、コマンド追跡で調査をスピードアップする詳細を追加でき、特定のPAMプラットフォームでAIを使用して、高リスクセッションの終了を自動化できます。 承認やワークフローを強制して、高リスクの行動を防止できます。自動ローテーションは、特権認証情報が使用後に意図したよりも長く有効なままにならないように、ループを閉じるのに役立ちます。

第3の柱: シークレット、認証情報、そして継続的な可視性

認証情報とシークレットは異なりますが、この2つを重ね合わせることができます。 認証情報は通常、人間のアクセスをサポートし、シークレットはマシンのアクセスをサポートします。シークレットには、自動化を可能にするAPIキー、トークン、証明書、AIエージェントの認証情報が含まれます。 重要なのは、認証情報とシークレットの両方を安全に管理することです。 多くの組織では、パイプラインや統合が増えるにつれて、シークレットの散逸が急速に拡大しています。

最新のプラットフォームでは、認証情報を安全に集中管理するボルト機能と、暗号化された共有機能により、チームがチャットのメッセージやスプレッドシートに頼らずに済むようにします。 アプリケーションとCI/CDパイプラインのシークレットを管理する機能も備えている必要があります。その自動化フックにより、ワークロードやAIエージェントがリポジトリやビルドスクリプトにシークレットをハードコーディングすることなく、安全にシークレットを取得できます。

ローテーションはポリシー駆動で自動化される必要があります。特にマシンのシークレットやエージェント認証情報においてそれが重要です。 長期間有効なシークレットは盗まれやすく、追跡が難しく、意図した期間よりもはるかに長く有効である可能性があります。

可視性がそのすべてを結びつけます。 中央集中型の監査ログとコンプライアンス対応のレポートでは、人間のアクションとマシンのアクションを横並びで表示されているはずです。レポートには、どのNHIまたはAIエージェントが実行されたか、何にアクセスしたか、どのポリシーが許可したか、何が変更されたかが含まれている必要があります。セキュリティ情報およびイベント管理 (SIEM) とチケット管理との統合により、これらのログは監査やインシデント対応時だけでなく、日常の運用にも役立てることができます。

最新のアイデンティティセキュリティプラットフォームの動作を実際にご確認ください

Keeper^®は、特権アクセスワークフローの統合、認証情報とシークレットの保護、監査対応のレポートの有効化により、チームがこれらの3つの柱を実現するのに効果的です。 具体的には、高リスクのシステムへの時間制限付きアクセス、特権認証情報とシークレットをユーザーやスクリプトに配布するのではなく中央での保護、インシデント対応とコンプライアンス要件をサポートするためのセッション活動の可視化を意味します。

KeeperPAM^®のデモをリクエストして、実際に最新のアイデンティティセキュリティプラットフォームをご覧ください。