AIエージェントと非人間アイデンティティの時代におけるアイデンティティの拡散を管理する方法

非人間アイデンティティ (NHI) とAIエージェント (サービスアカウント、CI/CD認証情報、クラウドワークロードアイデンティティを含む) は、エンタープライズアイデンティティシステムにおいて、人間のアイデンティティを50対1から100対1の割合で上回るようになりました。 最新のアイデンティティセキュリティプラットフォームは、これらのアセットにアイデンティティを割り当て、さらにロール、アクセス制御ポリシー、可視性、ガバナンスを適用して、現代の企業を保護する必要があります。

AIエージェントと自動化がクラウド、CI/CD、SaaSの環境で拡大するにつれて、ボット、サービスアカウント、ワークロードのアイデンティティがセキュリティチームがそれらをインベントリ管理できる速度を超えて急速に増殖し、アイデンティティの拡散に拍車がかかっています。 これはシークレットの散逸と組み合わされることが多く、APIキー、トークン、証明書が明確な所有者やローテーションがないまま増加し、過剰な権限と限られた可視性しかない特権アクセスパスをさらに生み出す結果を生み出しています。

このブログでは、アイデンティティの拡散が加速している理由、それによりもたらされるセキュリティおよびコンプライアンス上のリスク、そして組織がKeeperのようなアイデンティティセキュリティとガバナンスのプラットフォームを利用して拡散を制御する方法について詳しく説明します。

アイデンティティの拡散が増加している理由

AIエージェントは、誰かが「承認」をクリックするのを待つのではなく、ほとんどの場合、指定されたことを実行するように設計されています。 「新しい環境のプロビジョニング」のような目標を1つ与えるだけで、クラウドリソースの稼働、APIの呼び出し、CI/CDジョブの開始、リポジトリからのプル、データベースのクエリ、管理コンソールでの設定の確認といった作業を開始します。 しかし、高速に動作するには、マシン間でのアクセスが必要です。これは通常、サービスアカウント、ワークロードID、クラウドロール、証明書、その他のNHIの作成 (または再利用) を意味します。

そこにアイデンティティのスプロールとも呼ばれる、アイデンティティの拡散が忍び寄ってきます。 人間と非人間アイデンティティは、ツールやプラットフォームを横断して、チームが明確な所有権を割り当て、一貫した管理の適用、または作業終了後のアクセスの取り消しを実行するよりも速いスピードで広がっています。

アイデンティティの拡散によるリスク

NHIが増加するにつれ、特権アクセスはパイプライン、クラウドロール、統合、スクリプト全体に分散され、その所有権や有効期限に一貫性がないままになることが多く発生しています。 そのため、攻撃者は侵入経路が増え、横方向に移動し、権限を昇格させて悪用しています。その結果、監査や調査が必要以上に困難になります。

ほとんどの問題は、いくつかの予測可能なパターンで現れます。

• サービスアカウントは、プロジェクトやワークロードのために作成され、所有者が変更になると、孤立し、管理の目が届かない状態になります。 キーとトークンを無効にする責任者がいないため、それらは有効な状態のままで放置されます。
• 自動化では、障害を回避するために権限が過剰に設定されることが多く、その結果、ジョブが完了した後もそれらの権限が長期間そのままにされることがあります。スタンディング特権がいつの間にかデフォルト設定になっています。
• 共有された認証情報やコード、設定ファイル、パイプラインにハードコードされたシークレットは、追跡するためのアクセスが困難で、再利用が容易になります。
• エージェントや自動化ツールが機密性の高いシステムにアクセスした場合、チームは、それが何にアクセスしたのか、何を変更したのか、なぜそのレベルのアクセス権限を与えられたのかといった基本的な質問に答えるのに苦労します。

これらの技術的な失敗は、すぐに実際の運用リスクへと変わります。

• 長期にわたるシークレットとスタンディング権限があると、攻撃者にアクセスを拡大する時間と余地を与えるため、認証情報が窃取されると、ラテラルムーブメントが可能になり、特権昇格が容易になります。
• 所有権が不明確で、アクセス経路がツール、チーム、環境に分散している場合、インシデント対応に時間がかかります。
• 承認手続きに一貫性がなく、証拠が不完全な場合、特に特定のIDに関連付けられた明確なログやセッション活動を得られない場合、監査への準備態勢が損なわれます。

Keeperを利用して、アイデンティティの拡散を削減する方法

アイデンティティの拡散を減らすことは、出現するすべての新しいアイデンティティを追跡するということではありません。 これは、たとえアイデンティティの数が増えても、特権アクセスが一貫して管理されるようにシステムを変更することを意味します。 以下のようにKeeperを利用してこの問題を解決できます。

1. 集中型特権アクセス制御

クラウドコンソール、CIツール、踏み台サーバー、共有シークレットなどに特権アクセスが分散していると、全体像を把握できません。 特権アクセスワークフローを集中管理することで、次のような基本的な質問に即座に回答できます。

• どのアイデンティティが特権アクセス権を持っているのか？
• どこで認証されているのか？
• アクセスを承認したのは誰で、どのくらいの期間許可されたのか？
• セッション中に何が起こったのか？

KeeperPAM^®は、SSH、RDP、VNC、HTTPS、一般的なデータベースなどのプロトコルへのサポートに対応し、クラウドおよびオンプレミスの環境にわたるサーバー、データベース、ウェブアプリなどへの特権アクセスを集中管理します。

2. 時間制限付きのアクセスで最小権限を強制

常時付与される特権アクセス権である、スタンディング特権は、アイデンティティの拡散に最も大きく寄与している要因の一つです。 AIエージェントやその他のNHIは継続的に実行する必要があることが多く、チームは自動化を壊さないように幅広い権限を与えることがよくあります。 時間の経過とともに、そうした「一時的な」アクセス許可は、誰も再びアクセスしない恒久的なアクセス経路へと変化していきます。

KeeperPAMを利用すると、リソースへのアクセス時間を制限して、ジャストインタイムアクセスへの移行とスタンディング権限の削減を促すことができます。 承認された期間が終了すると、アクセス権は自動的に取り消されるため、タスク完了後も権限が長期間にわたって気づかれないまま保持されることはありません。

3. 可能な限り認証情報の露出を回避

AIエージェントに作業を任せるために、チームはAPIキーやトークンなどのシークレットを提供することがよくあります。 そのようなシークレットは急速に広まり、アイデンティティの拡散の危険に及びます。

KeeperPAMは、人間とAI駆動の自動化の両方に対する特権アクセスを仲介することで、そのリスクを軽減します。 リモート特権セッションでは、ユーザーやエージェントが本質的な認証情報やSSHキーに触れることはありません。 人間、エージェント、ワークロード間でシークレットを分散させるのではなく、アクセス権がプラットフォームを通じてルーティングされるため、認証情報は保護され、すべての活動を可視化でき、監査に対応できます。

4. ローテーションとライフサイクル管理を自動化

たとえ強力な検出機能があっても、漏洩したシークレットが有効なままであれば、根本的な問題を解決することはできません。 認証情報の有効期間が長いほど、再利用、コピー、忘れられる可能性が高くなります。特に、NHIが短期間のワークロード用に作成される一方で、その背後にあるシークレットは長期間有効である場合、この傾向は顕著です。GitGuardianレポートでは、2022年に公開リポジトリで晒されたシークレットの70%は現在もなお有効で、ローテーションと修復のギャップが指摘されています。

KeeperPAMは自動認証情報ローテーションをサポートしているため、特権認証情報が固定されたままになることを防ぎます。 これにより、露出期間が短縮され、漏洩した認証情報が長期的なアクセス経路になるリスクが軽減されます。

5. セッションの活動とログを取得し、説明責任と監査への対策固め

AIエージェントや自動化パイプラインが機密システムに触れる場合は、証拠が必要です。

KeeperPAMは特権アクセスセッションのセッション録画と再生を提供します。 リモートセッションは、SSH、RDP、VNC、データベースセッション、ウェブブラウザセッションなど、プロトコル全体で画面とキーボードの操作を記録できます。これにより、ハイブリッド環境でも一貫した証拠を作成できます。

コンプライアンスやインシデント対応に関しては、KeeperPAMは録画、詳細なログ、自動レポートを組み合わせて、誰がいつアクセスを開始し、どのリソースにアクセスしたか、どのような活動が行われたかなどの監査上の質問に迅速に回答できるようにします。KeeperAIは、活動に関して暗号化されたサマリーを提供し、リスクの高いセッションを自動的に終了します。 また、イベントは主要なセキュリティ情報とイベント管理 (SIEM) のプラットフォームにも記録されます。これは、特権セッションの活動とエンドポイント、クラウド、ネットワークツールからのアラートを関連付けるのに役立ちます。

アイデンティティの拡散をコントロール

AIエージェントは企業全体の自動化を加速するとともに、サービスアカウント、ワークロードID、クラウドロール、証明書などのNHI (非人間アイデンティティ) の作成も加速しています。同時に、これらのアイデンティティが使用するシークレット (APIキーやトークンなど) の作成も加速しています。 こうしたアイデンティティの増加が管理のペースを上回ると、特権アクセスが広がり、スタンディング特権がそのままになり、セキュリティチームは何にアクセスされたのか、そのアクセスの理由を把握できなくなります。

KeeperPAMは、特権アクセスの集中管理、期間を限定した最小権限の強制、認証情報の露出の削減、監査対応のセッション証拠の取得を行うことで、アイデンティティの拡散を抑制します。

デモをリクエストして、KeeperPAMを利用して、どのようにアイデンティティの拡散を抑制できるかを確認してください。