非人間アイデンティティとは
非人間アイデンティティ (NHI) とは、アプリケーション、サービス、デバイスのデジタルアイデンティティのことです。組織は自動のマシンツーマシン操作を実行するために、これらのアイデンティティを使用します。組織はNHIに特定の権限を付与しますが、多くの場合、最小特権の原則 (POLP) を無視します。そのため、NHIによってセキュリティの脆弱性が生じる可能性があります。
最も一般的な3つのタイプのNHIは、次のとおりです。
- ワークロード:別のサービスまたはリソースを認証するために、ソフトウェアのワークロードに割り当てられる、またはソフトウェアのワークロードによって使用されるアイデンティティ。例えば、タスクを自動的に実行するために、データベース、API、他のシステムにアプリケーションを接続するサービスアカウントです。
- APIトークン:アプリケーション間でのデータ交換を認証し、機密情報に対する承認済みのアクセスのみを許可します。
- マシンアイデンティティ:仮想マシン、コンテナ、IoT(モノのインターネット)デバイスによって広く使用される、ネットワーク内のデバイスのアイデンティティを保護します。
組織におけるクラウド、DevOps、IoT技術の導入が進むにつれ、NHIも広く使用されるようになっています。NHIは、分散型クラウドサービス間での安全な通信を促進し、DevOpsにおけるワークフローの自動化をサポートして、何千台ものIoTデバイスを管理します。
NHIの急速な増大に伴い、インフラストラクチャを不正アクセスやセキュリティリスクから保護するためにはNHIの管理が不可欠となりました。
アイデンティティ保護戦略策定の完全ガイド
レジリエンスの高いアイデンティティセキュリティポスチャに向けた第一歩を踏み出し、アイデンティティ保護戦略策定の完全ガイドをダウンロードして、組織のデジタルアイデンティティ環境を今すぐ保護しましょう。
今すぐダウンロードサイバーセキュリティに対する非人間アイデンティティの影響
各サービスアカウント、APIトークン、マシンアイデンティティが攻撃者のエントリポイントとなり得るため、NHIは本質的に攻撃対象領域を増大させます。特に多数のNHIが存在する環境では、セキュリティの甘いアイデンティティは格好の標的となります。現代の組織では数えきれないほどのNHIが導入されているため、NHIはセキュリティ戦略で見過ごされやすく、不正アクセスのリスクを高めています。
一般に、NHIには特権アクセスが付与されています。NHIは、複数のネットワークにわたってタスクを実行するために幅広い権限を必要とするため、魅力的な標的となります。特権が付与されたNHIの制御を獲得した攻撃者は、データへのアクセスやデータの操作、権限昇格を行えるようになり、検知されることなくネットワーク内でラテラルムーブメントすることができます。
NHIの数が増大していることで、コンプライアンスとリスク管理も複雑になっています。規制によって、自動アクセスを含む機密データへのすべてのアクセスを追跡し、セキュリティで保護することが義務付けられることが増えてきました。
組織は、コンプライアンス違反、罰則、データ侵害を回避するために、堅牢なNHIセキュリティポリシーを必要としています。そのため、強力なセキュリティポスチャを実現し、企業コンプライアンスを向上させるには、NHIの管理が重要です。
非人間アイデンティティの管理における主要な課題
NHIの管理は往々にして困難です。NHIの管理に関する4つのよくある課題を見ていきましょう。
量と複雑さ
自動プロセスによって生じる大量のNHIは、セキュリティ制御を飽和させかねません。多くのユーザーが、POLPやセキュリティへの影響を考慮することなく、サービスアカウント、APIトークン、マシンアイデンティティを作成します。この管理の欠如によって、設定ミスが生じ、不正アクセスのリスクが高まります。十分に可視化されていないことで、これらのアイデンティティの管理は極めて困難になり、セキュリティギャップを生む可能性があります。
アクセス管理
NHIはさまざまな程度のアクセス権限を必要としますが、過剰な権限が付与されたアカウントは悪用のリスクを高めかねません。しっかりとしたガバナンスがない場合、過剰な権限が検知されない可能性があります。IAM(アイデンティティおよびアクセス管理) 内でのアクセスの管理も複雑です。これは、多要素認証 (MFA) やSSO(シングルサインオン) などの機能が常に対応しているとは限らず、NHIアカウントに人間を対象としたポリシーを適用するのは難しい場合があるためです。そもそも、人間でなければ、6桁の確認コードを受信できる携帯電話を持っていません。
モニタリングと監督
多くのツールで人間のユーザーによる不審なアクティビティが検知されますが、NHIのアクティビティは見逃されます。これらのアイデンティティは絶え間なく機能し、正当なアクションと脅威を区別するプロセスを見えにくくする可能性のある高レベルのアクティビティを生成します。OAuthトークンが外部サービスにアクセスする際、組織はトークンストレージに対する制御を欠いているため、誤用が検知されにくくなります。
アイデンティティスプロール
アイデンティティスプロールは、リソースが複数のプラットフォームにまたがるクラウド環境やハイブリッド環境では特に困難を伴います。NHIは作成されて忘れられることが多く、オフボーディングで未使用のトークンが削除されることはめったにありません。一元的なモニタリングが行われないと、これらのアイデンティティは蓄積され、隠れた脆弱性を生み出し、ポリシーの適用を複雑にし、不正アクセスのリスクを増大させます。
非人間アイデンティティを保護するための主な戦略
NHIを保護するには、過剰な特権や可視性の欠如など、NHI固有の脆弱性に対処するための的を絞った戦略が必要です。以下に示す4つの戦略は、組織がアクセスを制御し、リスクを軽減し、NHIのセキュリティギャップを防ぐのに役立ちます。
最小特権の原則
組織は、NHIに対しタスクに必要な権限のみを付与してリスクを最小限に抑えるために、POLPを適用する必要があります。このアプローチにより、攻撃対象領域が縮小し、不要なアクセスが防止され、侵害されたアイデンティティの潜在的な影響が制限されることでセキュリティが強化されます。
定期的な監査とレビュー
定期的な監査は、NHIの過剰な権限を防ぐのに役立ちます。アクセスを定期的にレビューすることで、組織は過剰な権限を持つアカウントを特定し、未使用の権限を取り消すことができ、アクセスが現在のニーズに合っていることを確認できます。このプロセスは、制御を維持し、リスクを軽減するのに役立ちます。
アイデンティティのライフサイクル管理
効果的なライフサイクル管理は、作成から廃止まで、非人間アイデンティティの使用のあらゆる段階に対処します。アイデンティティの慎重なプロビジョニング、権限のレビュー、未使用アカウントの迅速な非アクティブ化によって、アイデンティティスプロールを防ぎ、アクティブなアイデンティティのみがリソースにアクセスできるようにすることができます。
振る舞いの継続的モニタリング
NHIの継続的モニタリングによって、異常なアクティビティや潜在する脅威を検知できます。振る舞いのベースラインを確立し、逸脱に対するアラートを設定することで、組織は不正アクセスを迅速に特定して対応し、重要なリソースの保護を強化できます。
非人間アイデンティティのセキュリティを組み込むための実践的なステップ
組織がワークフローに組み込むNHIが増えるにつれて、システム全体の制御を維持し、リスクを最小限に抑えるために、組み込みを安全に行う必要があります。これには、次の3つの主要なステップが含まれます。
アイデンティティのライフサイクル管理の一元化
アイデンティティのライフサイクル管理を一元化することで、組織は環境全体でNHIを追跡および制御できます。セキュリティチームは、統合プラットフォームを使用して、アクセスのモニタリング、権限の管理、一貫性のないアクセス制御の回避が可能です。一元化により、監査が簡素化され、セキュリティポリシーの一貫した適用が保証されます。
トークンと証明書の管理
APIキー、トークン、証明書を安全に処理するには、トークンと証明書の効果的な管理が不可欠です。組織は、トークンを安全に保管し、定期的にローテーションし、暗号化を使用して不正アクセスを防ぐ必要があります。
証明書の管理には、有効期限をモニタリングすることと、機密性の高い認証情報を保護し、侵害のリスクを最小限に抑えるために必要に応じて証明書を更新することが含まれます。また、これは、POLPが適用されていることを確認し、NHIによるシークレットの使用をリアルタイムで可視化して、組織がアクセスポリシーを作成できるようにすることも意味します。
セキュリティフレームワークとの統合
NHI管理を、ゼロトラスト、IAM、CIEM(クラウドインフラストラクチャエンタイトルメント管理) などのセキュリティフレームワークやプロセスと統合することで、セキュリティが強化されます。これらのフレームワークとプロセスは、厳格なアクセス制御を強制し、アイデンティティを継続的に検証し、振る舞いをモニタリングすることで、環境全体のNHIに包括的なセキュリティを提供します。
企業の全体的なアイデンティティアプローチの保護
NHIの効果的な管理は、組織のデジタルインフラストラクチャを保護するために重要です。NHIにより自動化が促進されますが、セキュリティ侵害の可能性も大幅に高まります。
CrowdStrike Falcon® Next-Gen Identity Securityは、リアルタイムの可視性とプロアクティブな脅威検知を実現し、リスクを特定して、潜在的な攻撃を阻止するのに役立ちます。
さらに、クラウドストライクのアイデンティティ保護サービスは、堅牢で階層化されたセキュリティを提供し、組織がアクセスを管理し、アイデンティティ関連の脆弱性を低減するのに役立ちます。クラウドストライクは、NHIに関連するリスクの評価と対処を支援するアイデンティティセキュリティリスクレビューも提供しており、コンプライアンスの確保とセキュリティポスチャの強化を支援します。これらのソリューションを組み合わせることで、自動化された環境におけるNHIのセキュリティが強化されます。
自動化された環境を保護するには、Falcon Next-Gen Identity Securityなどのツールの採用を検討してください。
非人間アイデンティティに関するFAQ
Q:非人間アイデンティティとは何ですか?
A:NHI(非人間アイデンティティ)とは、アプリケーション、サービス、デバイスのデジタルアイデンティティのことです。マシンツーマシン操作を自動で実行するためには、こうしたアイデンティティを使用します。NHIに特定の権限を付与するものの、POLP(最小特権の原則)が無視されることがよくあります。そのため、NHIによってセキュリティの脆弱性が生じる可能性があります。
Q:非人間アイデンティティの例にはどのようなものがありますか?
A:NHIのよくあるタイプとして、APIトークン、ワークロード、マシンアイデンティティなどがあります。
Q:非人間アイデンティティはサイバーセキュリティにどのような影響を及ぼしますか?
A:攻撃者にとってはNHIのいずれも潜在的なエントリポイントとなるため、本質的に攻撃対象領域が拡大します。特にNHIが多数存在する環境では、セキュリティの甘いアイデンティティは格好の標的となります。また、NHIの数が増大していることで、コンプライアンスとリスク管理も複雑になっています。
Q:組織に非人間アイデンティティのセキュリティポリシーは必要ですか?
A:コンプライアンス違反、罰則、データ侵害を回避するためには、堅牢なNHIセキュリティポリシーが必要です。そのため、強力なセキュリティポスチャを実現し、企業コンプライアンスを向上させるには、NHIの管理が重要です。
Q:非人間アイデンティティはどのように保護できますか?
A:アクセスを制御し、リスクを軽減して、NHIのセキュリティギャップを防ぐ上で有用な対策として、最小特権の原則の適用、定期的な監査とレビューの実施、アイデンティティライフサイクルの効果的な管理、NHIの継続的モニタリングによる異常なアクティビティの検知といったベストプラクティスがあります。
ヴェヌ・シャストリはIDおよびサイバーセキュリティ製品のマーケティング担当として経験を積み、CrowdStrikeで統合エンドポイントおよびID保護の製品マーケティングでディレクターを務めています。OktaおよびOracleで10年以上にわたりID、製品マーケティングおよび管理機能を推進した経験があり、パスワードレス認証に関する米国特許を取得しています。ID関連業務の経験を積む前には、企業向けにソーシャルソフトウェアを立ち上げる製品管理を共同設立して経営していました。ノースカロライナ州ローリーの出身で、サンタクララ大学でMBAを取得し、MITスローンでエグゼクティブ認定を取得しています。
