見えないアクセス、見えるリスク

AIと自動化による技術革新によって、企業はこれまでにないスピードと洞察、そして持続的な競争優位性を得ています。こうした変革とデジタルプラットフォーム、エコシステムの拡大が重なり、NHI（Non-Human Identity：非人間アイデンティティ）は現在、人のIDを82対1の比率で上回るまでに増加しています。これらのNHIは、人の関与をほとんど必要とせず、自律的に動作し、機械速度で重要なシステムへアクセスします。その結果、企業の認識が及ばないまま、従来のセキュリティモデルやガバナンスでは対処できない、目に見えない攻撃対象領域（アタックサーフェス）が急速に拡大しています。

この状況を踏まえると、ライフサイクルのあらゆる段階にセキュリティとプライバシーを組み込み、NHIを能動的に統制するとともに、セキュリティ標準やAIガードレールを活用してリスクを管理して信頼を維持することは、サイバーセキュリティ担当者にとって不可欠な取組みとなっています。

NHIとは何か、そしてなぜ新たな課題や脅威を生むのか

企業のID管理環境の変化に自律型AIの登場が重なり、NHIはこれまでにないスピードで増え続けています。企業はいま、従業員や委託先といった人のIDだけでなく、APIキー、サービスアカウント、OAuthトークン、資格情報、自律型AIエージェントなど、重要なシステムや業務を動かすための多数のNHIに依存しています。これらのNHIは、SaaS、クラウド、オンプレミス、外部サービスをまたいで常時稼働しており、多くの場合、高い権限を持ちながらも十分な監視や統制が行われていません。

この問題の規模は極めて大きくなっています。NHIはすでに人のIDを大幅に上回り、把握できていない領域や管理されていない攻撃対象が広がっています。さらに、NHIの増加は処理しきれないほどの認可要求を生み出すことで、反射的な承認を招き、セキュリティリスクを高めます。人のIDと異なり、NHIには意図や文脈、ライフサイクル管理の概念がありません。そのため、認証情報の窃取、横方向への侵入、そして大規模なデータ持ち出しを行うため、NHIは格好の標的となっています。

なぜ今すぐ対応すべきなのか

不正に利用されたNHIは、すでに多くの重大なセキュリティ侵害で確認されています。たとえば、CI/CDパイプラインで外部に公開されたトークンやボットアカウント、過剰な権限を持つOAuthアプリケーションが悪用され、メールやデータへの不正アクセスに利用される事例が発生しています。

こうした事例が増加している背景には、エージェント型AIの普及があります。従来の自動化とは異なり、エージェント型AIは人の介入を伴わず、機械速度で自律的に動作し、認証情報を生成・変更・利用します。さらに、新たなNHIを次々と生成し、異なる信頼ドメインをまたいでツールを連携させるなど、結果を事前に予測できない動作を実行します。そのため、業務成果を得るために広範な権限が付与されるケースも少なくありません。

このような自律的な挙動は、人の利用を前提として設計された従来のIAM（Identity and Access Management）フレームワークでは十分に想定されておらず、新たな攻撃経路やガバナンス上の課題を生み出します。その結果、侵害のハードルは大きく下がり、攻撃者は高速かつ精緻に、複数の層にまたがる高度な攻撃を組み立てることが可能になります。

AIの導入が加速するにつれて、こうした挙動を把握・統制できていない領域が拡大しています。このような統制が及ばない領域を放置すれば、リスクはさらに増大します。したがって、今この段階で、NHIの継続的な発見と可視化、最小権限の徹底、シークレット管理の高度化といった予防的な対策を講じることが不可欠です。これらの対策を講じることで、NHIは「見えないリスク」から「統制された資産」へと転換し、安全なイノベーションを支える基盤となります。

対応を怠れば、技術的なリスクにとどまらず、深刻な事業上の影響、信頼の失墜、金銭的な制裁、そして回復に長い時間を要する評判の低下につながる可能性があります。NHIを能動的に管理することは、すでに規制対応の基盤要件となりつつあります。取締役会や規制当局は、マシン間通信やエージェント型AIの振る舞いについて、より高い透明性と説明責任を求めるようになっており、企業にはそれに応える管理態勢が必要となっています。

NHIの急増により、従来のセキュリティモデルでは対処できない新たなリスクや課題が生まれています。

CyberArk社のプロダクトマーケティング担当ディレクターであるピーター・ビアドモア氏は、「すべてのNHIを自動的に検出し、そのリスクをリアルタイムで分析し、脅威に対して迅速かつ自動的に是正措置を講じることで、セキュリティチームを支援することを戦略の中核に据えています。また、KPMGはじめとするグローバルなコンサルティングファームと連携しながら、NHIを「見えないリスク」から「統制された資産」へと転換し、スケール可能な形で安全なイノベーションを実現できるよう、クライアントを支援しています。」と語ります。

サイバーセキュリティリーダーが検討すべき主要な問い

進化するこのリスクに対してレジリエンスを確保するために、サイバーセキュリティリーダーは、まず適切な問いを立てることから始めることが重要です。

自社のすべての環境に存在するNHIを、十分に可視化できているか。
AIエージェントから機密システムへのアクセスを、どのように統制しているか。
自社のIAMおよびPAM（特権アクセス管理）フレームワークは、スケールするNHIを管理できる設計になっているか。
異常なNHIの挙動を検知し、是正するための統制手段は整備されているか。

課題への対応：NHIガバナンスをエンタープライズID戦略に組み込む

エンタープライズのアイデンティティ基盤を強化するためには、NHIに対するガバナンスを中核要素として組み込むことが重要です。NHIの作成・利用・廃止に関する明確な基準を定義したガバナンスフレームワークを確立することで、NHIセキュリティを、アイデンティティ管理、リスク管理、コンプライアンスの各フレームワークにおける重要な柱として位置付けることが可能になります。

すべての環境に存在するNHIを継続的に発見・可視化し、そのリスクを評価したうえで最小権限を適用することは、NHIセキュリティの要となります。さらに、NHI管理を、IAM（Identity and Access Management）、SIEM（Security Information and Event Management）、SOAR（Security Orchestration, Automation, and Response）、ITDR（Identity Threat Detection and Response）といった他のサイバーセキュリティソリューションと連携させ、アイデンティティ、認証情報、外部連携に関する情報を単一の信頼できる管理基盤に集約することで、環境ごとのサイロ化を解消できます。また、セキュリティ方針ポリシーは、攻撃対象領域の削減、インシデント対応の迅速化、監査対応力の向上といった、測定可能な成果と結び付けるべきです。

今後を見据えると、ガバナンスはエージェント型AIの普及を前提に設計される必要があります。自律エージェントが定義された範囲のなかでのみ動作するよう、セキュリティポリシーによる制限と継続的な監視を適用することが重要です。加えて、AIエージェント向けのガードレールを設け、モデルとのやり取りにおいて機密データをマスキングし、安全な運用範囲を強制することで、NHIガバナンスを補完できます。

これらの対策を統合することで、企業はイノベーションとセキュリティ、コンプライアンスのバランスを取りながら、将来に耐え得るアイデンティティ戦略を策定できます。継続的な発見と可視化、最小権限や認証情報の管理を徹底することで、NHIは「見えないリスク」から「統制された資産」へと転換し、安全なイノベーションを支える基盤となります。