アイデンティティスプロールとは?
- IAM 用語集
- アイデンティティスプロールとは?
アイデンティティスプロールは、日本語ではアイデンティティの散逸や拡散とも呼ばれ、組織内におけるデジタルIDやアカウントが無秩序に増加し、可視性の低下とセキュリティリスクの増大を招く状態を指します。クラウド環境の拡大や新しいアプリケーションの導入に伴い、デジタルIDの数は、適切に管理・保護できる速度を上回って増加していきます。この問題は、人間のユーザーアカウントだけでなく、サービスアカウントやAIエージェントなどの非人間アイデンティティ (NHI) にも影響します。NHIの利用は増加している一方で、多くの場合、人間の従業員アカウントほど定期的にレビューや管理が行われていません。その結果、可視性の欠如が長期的にアイデンティティを悪用したサイバー攻撃のリスクを高めます。また、アイデンティティスプロールはシークレットスプロール (シークレットの散逸) を伴うことが多く、APIキーやトークンなどの認証情報が中央管理されないまま増殖していく傾向があります。
アイデンティティスプロールが発生する仕組み
アイデンティティスプロールは、組織の拡大やクラウドサービスの導入、新たな技術の採用が進む中で、統合的なアイデンティティおよびアクセス管理 (IAM) が十分に導入されない場合に、徐々に進行していきます。
急速な拡大
クラウドの普及により、組織のアクセス管理は大きく変化し、新しいアプリケーションを数分で展開できるようになりました。しかし、統合的なIAM (アイデンティティおよびアクセス管理) が整備されていない状態でSaaSツールを導入すると、セキュリティチームの可視範囲外でアカウントが作成されてしまいます。このような分散化は、重複アカウントの発生やアクセス制御の不整合、さらにはプラットフォーム間でのデータ分断を引き起こします。さらに、シャドウITもアイデンティティスプロールを加速させます。従業員が正式な承認を得ずにツールを利用すると、管理されていないユーザーアカウントやアイデンティティが増加し、組織の攻撃対象領域が拡大します。
不適切なIDライフサイクル管理
IDライフサイクル管理 (ILM) は、ユーザーの入社・異動・退職といったライフサイクルに応じて、適切なアクセス権を付与・管理するための仕組みです。オンボーディングやオフボーディングのプロセスに一貫性がない場合、アイデンティティスプロールが発生しやすくなります。よくあるILMの課題としては、オンボーディング時に過剰なアクセス権を付与してしまうこと、従業員の役割変更時にアクセス権の見直しが行われないこと、オフボーディングの遅延などが挙げられます。一貫したポリシーの適用や自動プロビジョニングが行われていないと、退職後もユーザーのアクセス権が残り続ける可能性があり、アクティブなアイデンティティに不要なリスクをもたらします。
特権アカウントの蓄積
特権アカウントは、一時的なプロジェクトやベンダー対応、運用上の必要性に応じて作成されることがよくあります。しかし、組織の成長に伴い、これらのアカウントは共有された特権認証情報の増加や、重要システムへの常時アクセス、特権アクセスのレビュー不足といった問題を引き起こす可能性があります。特権アカウントが定期的に管理・統制されていない場合、サイバー犯罪者にとって格好の標的となります。特権環境におけるアイデンティティスプロールは、データ侵害が発生した際の影響を大きく拡大させます。
サービスアカウントとNHIの増加
クラウドネイティブ環境では、NHIの数が人間ユーザーを上回ることも珍しくありません。DevOpsパイプラインや自動化ツールにより、マシン間通信を実現するためのサービスアカウントが継続的に作成されます。このような急速な増加は、サービスアカウントの管理が分散している場合や、スクリプト内に認証情報がハードコードされている場合、トークンが更新されていない場合などに、セキュリティリスクを高めます。NHIの認証情報が監視、ローテーションされず、中央のボルトで安全に管理されていない場合、サイバー犯罪者にとって重要な攻撃経路となります。また、NHIは人の介在なしに動作することが多いため、侵害されても長期間にわたり検知されない可能性があります。
アイデンティティスプロール、シークレットの散逸、特権クリープの違い
アイデンティティスプロール、シークレットスプロール、権限クリープはいずれもアイデンティティセキュリティに関連する概念ですが、それぞれ異なるリスクを表しています。アイデンティティスプロールは、システム全体におけるアイデンティティの増加に焦点を当てたものです。主に、分散したSaaS導入や、統合的なIAMが整備されていない状態でのクラウド拡張、管理されていないアカウント作成などによって発生します。この問題の本質は「数の増加」にあります。環境全体に多数のIDが存在し、その中には非アクティブなものや十分に監視されていないものも含まれます。例えば、組織が多数のプラットフォームを導入し、それぞれに個別のアカウントが必要な場合、時間の経過とともに数千ものIDが蓄積される可能性があります。これらのIDは非アクティブであっても、適切な監視が行き届かないほど数が増えることで、攻撃対象領域を拡大させてしまいます。
シークレットの散逸は、パスワード、APIキー、トークンなどのシークレットがシステム全体に無秩序に拡散する状態を指します。認証情報がソースコードにハードコードされていたり、APIキーが平文ファイルに保存されていたり、メールなどの安全でない手段で共有されることで発生することがよくあります。この問題の本質はアイデンティティの数ではなく、アクセスを可能にする認証情報が適切に管理されず拡散している点にあります。露出した、または管理されていないシークレットは、それだけでサイバー犯罪者に重要システムへの直接的なアクセス手段を与えてしまいます。例えば、APIキーがコードリポジトリに埋め込まれたままローテーションされていない場合、攻撃者はアカウントを侵害することなく、そのシークレットを利用してクラウドリソースにアクセスできてしまいます。
これに対して、特権クリープは、特定のアイデンティティに過剰なアクセス権が付与されている状態に焦点を当てたものです。これは主に、役割変更や一時的なプロジェクト、アクセス権のレビュー不足などにより、付与された権限が適切に削除されない場合に発生します。権限クリープでは、IDの数自体は管理可能であっても、各アカウントに必要以上のアクセス権が蓄積されていくことが問題となります。例えば、ある従業員がマーケティングチームに所属しCRMツールへのアクセス権を持っていたとします。その後オペレーション部門に異動し、重要なシステムへのアクセス権も付与された場合でも、CRMツールへの不要なアクセス権が残ったままになることがあります。こうした状態でアカウントが侵害されると、本来の業務範囲を超えて機密情報が漏洩するリスクが高まります。
アイデンティティスプロールのセキュリティリスク
環境全体でアイデンティティが増加するにつれ、組織は可視性を失い、ガバナンスも弱体化していきます。以下は、アイデンティティスプロールに伴う主なセキュリティリスクです。
アイデンティティスプロールの防止方法
アイデンティティスプロールを防ぐには、人間およびマシンの両方のアイデンティティに対して、可視性の確保、ライフサイクル管理、最小権限アクセスの徹底に重点を置く必要があります。
プロビジョニングとデプロビジョニングの自動化
アイデンティティの増加を抑制するには、IDおよびアクセス管理 (IAM) ソリューションによる一元的なID管理が不可欠です。組織は、手動で広範なアクセス権を付与するのではなく、ロールベースのアクセス制御 (RBAC) を活用し、役割や職務に応じてアクセス権を自動的にプロビジョニングする必要があります。また、プロビジョニングと同様にデプロビジョニングの自動化も重要です。従業員が退職した際には、アクセス権を即座に無効化する必要があります。手動でのアカウント管理を排除することで、未使用または過剰な権限を持つIDの削減につながります。
IDガバナンスおよび管理 (IGA) の導入
IDガバナンスおよび管理 (IGA) は、アクセス権が継続的に組織のニーズと整合していることを確保するための仕組みです。定期的なアクセスレビューにより、ユーザーが現在の業務に必要な範囲のアクセス権のみを保持していることを確認できます。また、IGAが組織にとって役立つのは、放置されたアカウントや非アクティブなアカウントを、セキュリティ上の脆弱性となる前に特定できる点です。継続的なガバナンスが行われない場合、IDは管理の限界を超えて増加し、急速にアイデンティティスプロールの要因となります。
最小権限アクセスの徹底
組織は、最小権限アクセスを徹底し、ジャストインタイム (JIT) アクセスを導入することで、可能な限り重要システムへの常時アクセスを排除する必要があります。ユーザーやシステムに必要最小限のアクセス権のみを付与することで、権限昇格のリスクを低減し、アカウントが侵害された場合の影響を最小限に抑えることができます。
特権アカウントの保護
特権アクセス管理 (PAM) は、アイデンティティスプロールが大規模な情報漏洩に発展するのを防ぐ上で重要な役割を果たします。特権アカウントは暗号化されたボルトで保護し、すべての管理者アクセスに対して多要素認証を適用する必要があります。また、説明責任と可視性を確保するために、特権セッションの監視および記録も不可欠です。さらに、認証情報の自動ローテーションを実施することで、漏洩リスクを低減し、不適切な共有を防ぐことができます。特権的なIDを適切に保護することで、過剰なアクセスがアイデンティティスプロールのセキュリティリスクにつながるのを防ぐことができます。
NHIとシークレットの管理
クラウド環境では、NHIの数が人間のユーザーを上回る傾向があるため、アイデンティティスプロールを防ぐには、人間とマシンの両方のアカウントを同等のセキュリティレベルで扱う必要があります。組織はサービスアカウントの棚卸しを行い、認証情報をコードに埋め込むのではなく安全に管理し、シークレットの自動ローテーションを実施する必要があります。また、人間および非人間アイデンティティの双方に最小権限アクセスを適用し、常時アクセスを排除するとともに、マシンによる認証が適切な管理範囲を超えて拡大しないようにすることが重要です。これには、APIキーやトークン、証明書といったNHIの認証情報を、IDに紐づくシークレットとして管理し、ローテーション、スコープ設定、監視を行うことが含まれます。
