AI と NHI：増え続ける非人間 ID の管理がセキュリティの強化と効率化のカギになる

How agentic AI and non-human identities are transforming cybersecurity

2025/05/08 HelpNetSecurity — 平均的な企業において、NHI (non-human identities) の数と、従業員／請負業者／顧客の数を比較すると、10対1 〜 92対1 の割合で、前者が上回っているという。それに加えて、人間のアイデンティティ管理における断片化という問題もある。具体的に言うと、オンプレミス／クラウド／ハイブリッドなど複数の環境へのアクセスを、１人の人物に対して許可することで生じる問題であり、それにより、企業の IAM (identity and access management) は、きわめて困難な時代を迎えている。

誰も信用しない

企業の IT 環境へ向けた不正アクセスのリスクを軽減するために、ゼロトラスト・ポリシーを適用するという概念は、約20年にわたって推進されてきた。これは、企業資産およびアプリケーションへの、すべてのユーザーからのアクセスを日々削除し、新たな勤務日の開始時に、それらの権限を復元することで、万全の態勢を整えることを意味している。

ゼロトラスト・ポリシーは単なる妄想ではない。サイバー攻撃は、小売店の HVAC 空調ユニットへの侵害や、米国のカジノにおける水槽サーモスタット侵害といった、多様な NHI (non-human identities) 介して開始されている。

不正な行動をブロック

IAM プラットフォームの設定に応じて、エンタープライズ SIEM からの情報を利用し、アイデンティティ／ガバナンス／マネージメントの一環として、特定のエンティティへのアクセスを回復するかどうかの判断を支援できる。この IAM と SIEM の統合を用いる組織は、異常な行動に基づき特権アクセスを迅速にブロックできる。同様に、IAM は SIEM 環境にデータを送信し、監査証跡に貢献することも可能だ。

誰もが平等だが、中には、他の人よりも平等な人もいる。人間だけの職場におけるゼロトラストの問題は、階層構造や政治的な対立により、ポリシーの完全な実装が、必然的に遅れることだ。

IT 管理者は、上級管理職へのアクセスを拒否し難い場合が多く、その結果として、システムに抜け穴が生じ、特権 ID に対するスピアフィッシングやホエーリング攻撃により、徹底的に悪用される可能性が生じる。

経験からの学び

15年前の話になるが、多くの特権アカウントでは静的パスワードが使用され、それらのアカウントでのアクティビティは積極的に監視されていなかった。そのため、アカウントが侵害された場合に、大きなリスクが生じていた。広く報道された例としては、フロリダ州の水処理施設の SCADA システムのインシデントがある。そのときは、共有パスワードを悪用する身元不明の人物からリモート・アクセスが生じ、町の飲料水に添加される苛性ソーダの濃度を高められてしまった。幸いなことに、鋭い観察力を持つ従業員が、この不正行為をすぐに発見し、アクセスを遮断した。

このようなインシデントをきっかけに、特権アクセス管理ツールの導入が進んだ。これらのツールは、アクティビティの監査証跡を提供し、特権アクセスの取り消しにも対応している。

コンピューターは No と言う

NHI の管理は、一見すると非常に複雑に思えるかもしれない。しかし、組織がエージェント AI と機械学習を適用すれば、対象となる人間以外のアイデンティティ基盤はゼロトラストのルールに従うだけで済み、はるかに迅速に対応するシステムを構築できる。アクセスの削除と回復のプロセスを処理するエージェント AI は、たとえ最も高い権限を持つ個人であっても、ルールを曲げるよう強要されることはない。

エージェント AI と機械学習を適用することで、ゼロトラストを実現し、企業はパスワードレス技術の ROI を向上させることが可能となる。

AI 管理によるゼロトラスト・アクセスの注意点は、ルールを明確に定義し、制限を適切に設定する必要があることだ。しかし、エージェント AI に加えて機械学習を適用することで、セキュリティ状況への迅速な対応が可能となり、大きなメリットが期待できる。

RPA による ROI の実現

一般的な企業において、少なくとも 1,000人の従業員のシステム・アクセスであれば、組織の入社／異動／退職のモデルにより管理できる。しかし、より複雑な環境では、その方式が管理上の大きな負担となる可能性が生まれる。この問題に対処するため、組織におけるパスワードのリセットなどの反復的なタスクを、RPA (robotic process automation) で処理するようになってきた。

例えば、私たちが支援したある大手金融機関は、パスワード管理を迅速に自動化し、当社製品を API を介して利用する、監査証跡 RPA ソリューションを導入した。RPA を活用することで、同組織は複雑なパスワードの自動作成とリセットを迅速に導入し、生産性向上を実現した。

AI による ROI の実現

次のフロンティアは、AI の認可／認証に関する企業ガバナンスポリシーに適用し、より合理化されたモデルを構築することである。これは、ネットワーク分野における AI の適用が、企業のセキュリティ態勢の測定に利用されているのと、同じ考え方を持つものだ。

ITIL における継続的なサービス改善や、Agile／DevOps における周期的な改善プロセスも、AI の恩恵を受ける可能性がある。企業エコシステム全体を分析することで、誰が何を、いつどこで使用しているのかを把握し、AI と機械学習を用いてポリシーとガバナンスを修正／適応させることで、自動化された周期的な改善プロセスを実現できる。

すでに、企業内の委員会による監視があるのなら、システムを継続的に再設計する必要がなくなり、ゼロトラストとパスワードレス技術の完全な導入による、セキュリティ強化と効率化により、より大きな ROI が実現する。

AI による NHI と ID スプロールの管理

AI を活用する IGA (Identity, governance and administration) テクノロジーは、それぞれの個人と、それぞれの NHI によるアクセスを継続的に分析し、個人または組織の行動に応じて、アクセスを動的に調整するものだ。たとえば、誰かが退社したときには、その人がオフィスへ戻るか、自宅の IP アドレスから再ログインするまで、その人のアクセスを無効化できる。このような AI が強化する IGA を用いることで、AI が侵害されない限り、職場環境への不審者の侵入を厳格に阻止できる。

すでにシステムは、物理的に不可能な時間のなかで地球上の異なる２地点から、同じシステムにログインしようとする ID などを、異常として検知できるようになっている。しかし、継続的な監視がなければ、こうした事態は見逃されてしまう。

一般的な企業環境において、これらすべての要因を考慮し、各人が日常業務を遂行するために必要とする、すべてのアクセスに関してリクエストを求めることは、あまりにも負担が大きすぎる。このような煩わしいユーザー・エクスペリエンスは、機密性の高いアプリケーションを使用した後にも、それを開き続けるといった、不適切な回避策や慣行につながるだけだ。

しかし、AI が、すべての日常的なチェックを処理するなら、明確に定義されたルールの設定に、管理者は集中できる。たとえば、午前６時前のアクセスを禁止するルールを設定したとする。ただし、それよりも早くアクセスする必要のある従業員に対しては、その従業員だけが答えられる質問を、AI によりプログラムできる。さらに、特定のアプリケーションへのアクセスを再承認するために、指紋認証や物理的なトークンを要求することも可能になる。

その後に、すべての情報を確認したシステムは、すべてを元に戻す。非公開の AI と機械学習による自動化は、生産性とセキュリティに大きなメリットをもたらす。AI は、文書や平文の変換といった、きわめて基本的な機能にも適用できる。

もちろん、サイバー攻撃者も AI を悪用し、防御を回避するための、より高度な手法を開発している。AI で AI に対抗することは、アナリスト企業 Kuppinger Cole が Identity Fabric と呼ぶ、高度な機能の一つである。この Identity Fabric とは、AI と機械学習のアルゴリズムが、新たに出現する脅威脅威に合わせて、セキュリティ対策を動的に調整することで、リスク・ベース認証の適用を強化するものだ。

将来のフレームワーク：NHI と、人間と、AI と

Identity Fabric は、効率的で堅牢なアイデンティティ管理における、多種多様な要素をオーケストレーションし、自動化する。そこに含まれるものを挙げると、パスワード・リセットやアクセスの問題に関する、ヘルプデスクへの問い合わせを削減するための、ユーザー向けセルフ・サービス・オプションの提供などもある。

つまり、自動化／セルフサービス／ベストプラクティスの適用を組み合わせることで、運用効率が向上していく。IT チームは、断片化されたアイデンティティを手動で管理する必要がなくなり、オーバーヘッドが削減される。統合された Identity Fabric により、冗長なアイデンティティ管理ツールや、断片化されたソリューションへの費用と管理が不要になるため、運用の効率化がコストの効率化へと変化していく。

アイデンティティの集中管理により、アイデンティティ・サイロが削減され、セキュリティ・ギャップが解消される。AI 主導のモニタリングは、インシデントが発生する前の早期に、アイデンティティ攻撃を検知するのに役立つ。内部からの脅威に対しては、ゼロトラストの適用とアダプティブ認証による軽減が達成され、その結果として、機密データが保護される。

これまでの IAM の進化を踏まえると、NHI (non-human identities) の数が増え続けるにつれて、AI モデルが統合され、アイデンティティ資産の可視性と監視機能が向上すると予測している。NHI を管理するセキュリティ・インフラのモデリングは、まず AI により実施され、その後に、人間の管理者により改良されるのだろう。

あまり聞き慣れない “Agentic AI” ですが、Wikipedia では「人間の介入なしに意思決定やタスクを実行できる、自律型システムに焦点を当てた人工知能の一種である。独立したシステムは、状況に応じて自動的に反応し、プロセスの結果を生成する」と説明されていました。まるで SF のような世界ですが、これからの展開が楽しみですね。その一方で、NHI (non-human identities) という、現実の問題でありながら、対処しきれていない難題が眼の前に横たわっています。なんとなく、怖いものは見ないというトレンドを感じてしまいます。よろしければ、カテゴリ NHI を、ご参照ください。

2025/04/29：Gen AI とジェイルブレイク：リスクと影響
2025/05/23：AI によるエクスプロイト開発の自動化
2025/03/04：AI 駆動型の SOC：Pathfinder AI とは？
2025/01/29：Google、Agentic AI の攻撃対策を公開
2025/01/27：OWASP の NHI Top-10 とは？ リスクを可視化