非人間アイデンティティ (NHI) とは

• IAM 用語集
• 非人間アイデンティティ (NHI) とは

非人間アイデンティティ (NHI) とは、デジタル環境でやり取りを行うマシン、サービス、アプリケーション、その他のシステムに割り当てられるデジタル認証情報です。ユーザー名やパスワード、生体認証を通じて個人ユーザーに紐づく人間のアイデンティティとは異なり、NHIはネットワークやデータへの安全かつ自動化されたアクセスを必要とする非人間主体を指します。自動化されたタスクやプロセスが人の介在なしで増え続ける現代のIT環境において、NHIは不可欠な存在となっています。

非人間アイデンティティの種類

非人間アイデンティティにはさまざまな形があり、それぞれ自動化プロセスの中で異なる役割を担っています。代表的なNHIの種類には次のものがあります。

• サービスアカウント:\ アプリケーションやサービスが、人の介在なしにリソースへアクセスしたりタスクを実行したりするために使用されます。
• システムアカウント:\ オペレーティングシステムによって作成され、バックグラウンドプロセスを実行します。
• マシンアイデンティティ:\ デバイスやワークロードを認証するTLS/SSL証明書、APIキー、トークンなどの認証情報が含まれます。
• 証明書:\ マシンやアプリケーションを検証するために使用されます。
• ボット:\ チャットボットなど、反復的なタスクを実行しシステムにアクセスする自動エージェントです。
• IoTデバイス: カメラやスマート家電など、認証情報を使って他のデバイスと安全に通信するネットワーク接続デバイスです。
• 自動化ツール:\ 通常は保存された認証情報を使用して、スケジュールされたタスクを実行します。

非人間アイデンティティがサイバーセキュリティに与える影響

自動化やクラウド環境の拡大に伴い、非人間アイデンティティへの依存度は高まり続けています。あらゆるコンテナや仮想マシンには、APIキー、トークン、サービスアカウントといった形で固有のアイデンティティが必要です。NHIはシームレスな自動化を実現するうえで不可欠ですが、同時に攻撃対象領域を大幅に拡大させます。適切に保護されていなければ、各認証情報がサイバー犯罪者にとっての潜在的な攻撃ベクトルとなり得るのです。

サイバーセキュリティ上の最大の懸念のひとつが、過剰な権限を持つ非人間アイデンティティです。NHIはさまざまな自動化タスクを実行するために幅広いアクセス権を与えられるのが一般的ですが、その多くは本来必要な範囲を超えています。さらに、このアクセス権が見直されることはほとんどなく、侵害されたNHIをサイバー犯罪者に悪用され、権限を昇格されたり、機密データへのアクセスを気づかれずに行われたりするリスクが高まります。NHIを効果的に管理することは、今やアイデンティティ・アクセス管理 (IAM) の重要な要素です。きめ細かなアクセス制御がなければ、監視されていない過剰権限のNHIは深刻なセキュリティリスクを招きます。

非人間IDのセキュリティリスクと課題

増え続ける非人間アイデンティティによって、多くの新たなセキュリティリスクと課題が生じています。その内容は、過剰な権限付与から複雑な環境における監視の不十分さまで多岐にわたります。

過剰な権限付与

非人間アイデンティティは、特にスピードが重視されるDevOpsやクラウド環境において、利便性のために幅広く恒久的なアクセス権を与えられるのが一般的です。しかし、こうしたアイデンティティが侵害されると、サイバー犯罪者はネットワーク内を横方向に移動し、機密性の高いシステムやデータへアクセスできてしまいます。さらに、常時アクセス権を持つ非人間アイデンティティが侵害された場合、影響範囲は一気に拡大し、単一の侵害が大規模なデータ侵害へと発展する恐れがあります。

可視性の欠如

多くの組織は、自社環境全体で非人間アイデンティティの完全かつ最新のインベントリを維持することに苦労しています。この可視性の欠如は「シャドウアイデンティティ」を生み出します。これは既存のセキュリティ管理の枠外にあり、追跡されていない非人間アイデンティティのことです。NHIの活動を完全に把握できなければ、これらのシャドウアイデンティティが盲点となり、サイバー犯罪者に悪用されて重要システムへの侵入を許してしまう可能性があります。

認証情報管理の不備

非人間アイデンティティは、APIキー、トークン、証明書などの認証情報に依存してシステムへの認証やアクセスを行いますが、これらの認証情報は適切に管理されていないことが少なくありません。認証情報がコードリポジトリにハードコードされていたり、ほとんどローテーションされなかったり、複数のサービス間で共有されていたりするケースもあり、いずれも侵害リスクを高めます。こうした認証情報が流出・漏洩すると、サイバー犯罪者に機密情報への直接的なアクセスを許してしまう可能性があります。

監視・ログ管理の不備

非人間アイデンティティは多くの場合、バックグラウンドで静かに稼働し、人の監視なしに大半のタスクを実行します。NHIの挙動が適切に監視・記録されていなければ、異常な動作や悪意ある活動が見逃される可能性があります。さらに、通常の行動基準や詳細な監査証跡がなければ、組織は侵害されたNHIや権限の不正利用を効果的に特定できず、気づいた時には手遅れになっている恐れがあります。

非人間ID管理のベストプラクティス

組織は、以下のベストプラクティスを実施することで、NHIのセキュリティ確保に積極的に取り組む必要があります。

最小権限アクセスを適用する

最小特権の原則 (PoLP) を適用し、NHIが業務を遂行するために必要最小限のアクセス権のみを持つようにします。NHIに広範かつ恒久的なアクセス権を付与することは避け、侵害発生時のリスクを最小化するために定期的に権限を見直すことが重要です。

認証情報のローテーションと有効期限ポリシーを実施する

APIキー、トークン、証明書などの認証情報を定期的にローテーションし、侵害された可能性のあるNHIの有効期間を制限します。認証情報のローテーションは、不正アクセスが見過ごされるのを防ぎ、可能な限り自動化することで利便性も確保できます。KeeperPAM®は、サービスアカウントやインフラストラクチャに対する認証情報の自動ローテーションと時間制限付きアクセスをサポートしています。

シークレット管理を活用する

信頼できるシークレット管理システムを利用して、認証情報のアクセス、保管、監査を一元化します。これにより、APIキーやトークンなどのシークレットは暗号化され、コードや設定ファイル内で露出することがなくなります。Keeperシークレットマネージャーのようなソリューションは、シークレットを保護し、DevOpsパイプラインやクラウド環境全体での統合をサポートします。

NHIライフサイクル管理を自動化する

NHIの作成、レビュー、失効のための自動化ワークフローを確立します。これにより、ヒューマンエラーを減らし、孤立したIDが環境内で放置されることを防ぎます。

すべてのNHIアクティビティを監視・ログ記録する

ログイン、リソースアクセス、認証情報の使用など、すべてのNHIの挙動を追跡します。行動のベースラインを確立することで、予期しないアクティビティや行動の異常を迅速に検知できます。KeeperPAMのようなプラットフォームは、すべてのNHIアクティビティを監視し、ゼロトラストアクセスを徹底し、リモートセッションを保護するのに役立ちます。