「非人間ID」保護が急務に 46%が侵害を経験、データ漏えいも相次ぐ可視化されないIDが新たな侵入口に

「ノンヒューマンアイデンティティー」(NHI)を巡るセキュリティリスクが顕在化している。人間以外のIDが攻撃対象領域となる中、企業はその可視化と管理体制の強化を迫られている。

2025年07月18日 07時00分 公開
[Todd ThiemannTechTarget]

 増加の一途をたどる「ノンヒューマンアイデンティティー」(NHI:Non-Human Identity、非人間ID)に対するセキュリティ対策が、近年大きな注目を集めている。非人間IDは、攻撃者にとって“侵入口”や“経路”となり得る「攻撃対象領域」(アタックサーフェス)の一部であり、そのリスクに気付き始めた企業が対策強化に乗り出している。

 「ID」(アイデンティティー)と聞くと、多くの人は従業員や一般ユーザーがシステムやアプリケーションにログインする際に使う認証情報を思い浮かべるだろう。だが実際には、IDを利用するのは人間に限らない。クラウドサービスやデータリソースに接続するマイクロサービスベースのアプリケーション、自動化されたDevOps(開発と運用を連携させた手法)ツールなど、人間以外の要素もIDを保持している。こうした非人間IDの増加に伴い、企業の攻撃対象領域が拡大し、対策が求められている。

「非人間ID」が関与したインシデントとその教訓

 非人間IDによる影響が指摘される最近のインシデントを見てみよう。2023年には、ID管理ベンダーのOktaとWebセキュリティ企業のCloudflareでデータ漏えいが発生した。2024年には、BI(ビジネスインテリジェンス)プラットフォームを提供するSisenseの顧客データ漏えい、米紙「The New York Times」のソースコード漏えい、さらには世界中のWebページや書籍、動画、音声などのデジタルコンテンツを長期保存し、公開している非営利団体Internet Archiveでのデータ漏えいも報じられた。

 非人間IDとは、人間ではないエンティティーが保持するIDを指す包括的な用語だ。「マシンアイデンティティー」や「ワークロードアイデンティティー」と呼ばれることもある。非人間IDには、以下が含まれる。

  • API(アプリケーションプログラミングインタフェース)
  • サービスアカウント(自動化されたプロセスやアプリケーション専用のアカウント)
  • bot
  • RPA(ロボティックプロセスオートメーション)の認証情報
  • 認証プロトコルOAuth(Open Authorization)のアクセストークン
  • デジタル証明書
  • パスワードやAPIキーなどの機密情報(シークレット)
  • ワークロード(アプリケーションが実行する処理単位)

 米Informa TechTargetの調査部門であるEnterprise Strategy Group(ESG)は、2024年12月に非人間IDのセキュリティと管理に関する調査レポートを発表した。対象となったのは、北米のIT、セキュリティ、DevOps、プラットフォーム運用、セキュリティエンジニアリングの各分野で非人間IDセキュリティに関わる専門家367人だ。調査では、企業内に存在する非人間IDの数、非人間IDを保護・管理するために導入している製品やサービス、非人間IDに関連するインシデントの発生状況、意思決定に関わる関係者、予算の規模と配分について尋ねた。

 この調査ではさまざまな事実が判明したが、特に目立ったのは非人間にID関係するインシデントの発生頻度だ。実際、調査対象者の46%が、非人間IDが侵害されたと回答した。26%は侵害の可能性ありと回答した。ただし、非人間IDの侵害が必ずしもデータ漏えいに直結するとは限らない。非人間IDに対する攻撃の状況について掘り下げた質問では、66%が「何らかの攻撃を受けた」と回答し、25%は「複数回攻撃を受けた」としている。

取締役会は問題に気付いている

 非人間IDの侵害は、企業にとって深刻な懸念事項となり、取締役会レベルで注目を集める問題となり始めている。非人間IDに関連するインシデントは、重大なビジネス損失に直結する可能性があるからだ。経営陣の多くは、非人間IDに関わるリスクを認識し、その影響を最小限に抑えたいと考えている。こうした背景を踏まえ、セキュリティチームには非人間IDリスクの軽減に向けた明確な戦略を策定することが求められる。

 新たなアタックサーフェスとして非人間IDが浮上し、非人間IDの可視性が不足していることや、リスク軽減のためには非人間IDの適切な管理が不可欠であることが明らかになるにつれ、非人間IDセキュリティは企業にとって急速に優先度の高い課題となりつつある。

 セキュリティやID管理に携わる責任者や実務者は、もしまだ対策を講じていないのであれば、非人間IDを保護するための方策を早急に検討する必要がある。非人間IDは種類も数も非常に多岐にわたるため、その保護と管理には多様なツールや技術が必要になる。既存のID管理ツールを提供するベンダーが解決の糸口を示してくれる可能性もあるし、非人間IDセキュリティ分野で台頭するベンダーの支援を得るという選択肢もある。

関連キーワード

API | 脆弱性対策 | ID管理


Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方