人間だけで大丈夫？これからの非人間アイデンティティ（NHI）の管理の重要性

はじめに

昨今、私たちが仕事をするうえで、IDの利用は欠かせません。
そんな中、「非人間アイデンティティ（＝Non-Human Identity、略してNHI）」の数と種類が急増しています。ノンヒューマンアイデンティと聞いても、あまり聞きなじみのない方が多いとは思いますが、企業における脆弱性となる可能性が十分に高いです。
この記事では、非人間アイデンティティの定義と人間アイデンティティとの比較、どう管理していくべきかを解説します。

目次

1. 「私はロボットなんですけど...」
2. 急増する人間以外のID
3. 人間アイデンティティ vs 非人間アイデンティティ
4. 非人間アイデンティティをどう守る？
5. まとめ

1. 「私はロボットなんですけど...」

皆さんは、WebサイトでIDやパスワードを入力すると「私はロボットではありません」という表示が出てきたことはありませんか？
他にも「タクシーの画像をタップしてください」や「道路を選択してください」など、いろいろな表現があります。

この認証により、私たちはロボットではない、つまり人間であることが証明されます。
ある時はキャプチャ認証、またある時は指紋認証や虹彩認証などを使用し、人間である私たちはこのような複雑な認証を使用して、自分が自分であることを証明しています。
この証明があって初めて、社内リソースやクラウドサービスへアクセスできるようになります。

では、私たち人間以外の、ロボットはどのようにして認証を行っているのでしょうか。
ロボットにはキャプチャ認証でマウスをドラッグすることができませんし、指紋も虹彩も持っていません。
そもそも彼らのアイデンティティ自体がどのような形式で存在しているのでしょうか。
また、どのように特定のロボットであるか証明したらいいのでしょうか。

2. 急増する人間以外のID

一般的に人間以外のIDは、人間アイデンティティと対比して「非人間アイデンティティ（＝Non-Human Identity、略してNHI）」と呼ばれます。
非人間アイデンティティはさまざまな形で存在し、使用されています。

【非人間アイデンティティの例】
・APIキー
・トークン
・デバイス識別子（UUIDなど）
・クラウドサービスのリソースID
・コンテナやVMのID
・SSL/TLS証明書
・セキュリティ証明書
・データベース内のレコードID
・サービスアカウント

非人間アイデンティティはこのような形で存在しており、デジタル環境における信頼性の確保、自動化の促進、効率的なリソース管理に貢献しています。
特に、システム間での自動化が進む現代のIT環境では、非人間アイデンティティの重要性は増してきていると同時に、それ自体の数も増加してきています。
非人間アイデンティティの数は人間アイデンティティの約45倍にも上ると言われています。

人間アイデンティティはシステム上で適切に管理されている一方、非人間アイデンティティはWebサービスやIoTデバイス、データベースなどさまざまな場所に点在し、監視されていないのが現状です。

この散らばった非人間アイデンティティは適切な監視がないことから、セキュリティ脆弱性になり得て、認証情報の漏洩や不正アクセスなどにつながります。

では、この非人間アイデンティティを適切に管理するにはどうすればいいのでしょうか。

3. 人間アイデンティティ vs 非人間アイデンティティ

非人間アイデンティティの管理方法を議論する前に、まずは人間アイデンティティと非人間アイデンティティの特徴を比較してみましょう。

特筆すべきは、人間アイデンティティと非人間アイデンティティの利用用途の違いです。
人間アイデンティティは、個々のユーザーがシステムにアクセスするためのものである一方、非人間アイデンティティはシステム間の自動化されたプロセスや通信に使用される資格情報です。

人間アイデンティティが侵害された場合は、不正アクセスなどの被害が想定されます。
対して、非人間アイデンティティが侵害された場合、単なる不正アクセスではなく、システムやクラウド環境などへの侵害が引き起こされ、クラウドサービスの停止や情報漏洩、データの削除、スパムメールの踏み台、Webの改ざんなど、多くの深刻な被害が発生することとなります。

4. 非人間アイデンティティをどう守る？

それではようやく本題に入ります。この、多種多様でかつ膨大な非人間アイデンティティを適切に管理するには何をすべきなのでしょうか。
以下の5つの観点が挙げられます。

1. 最小権限の原則
   非人間アイデンティティに対しても、ソース、宛先、プロトコル、時間などを基に最小権限を設定します。
   これにより、非人間アイデンティティが必要な機能を実行するために、最低限の権限のみを持つようにします。
   また、定期的な監査を行い、権限とIDのアクティビティが最新かつ適切であることを確認し、セキュリティリスクと潜在的な不正使用を最小限に抑えます。

2. 発見と保管管理
   組織はシステム内のすべての非人間アイデンティティと秘密情報を識別する必要があります。
   要するに、非人間アイデンティティがどこで作成され、どこに保管され、どこで使用されているかを把握することが重要です。

3. 正常な動作の定義と異常な活動の検出
   各非人間アイデンティティに対して「正常な動作」を定義し、それに違反する異常な活動を検出し警告します。
   異常な活動が検出された際には、自動で活動をブロックする仕組みを導入します。
   これにより、セキュリティ侵害を示唆する異常な行動を迅速に対応できます。

4. 安全な認証情報管理
   機密情報を保護するために、専用の格納庫または鍵管理システムを使用します。
   スクリプトやアプリケーションに認証情報を直接ハードコーディングすることは避け、代わりに安全な方法を使用して認証情報を動的に挿入します。
   これにより、セキュリティ上の脆弱性を防ぎます。

5. ログ記録、監視、インシデント対応
   非人間アイデンティティの利用を監視し、ログ記録を行い、インシデント対応計画に統合します。
   これにより、セキュリティの問題に迅速かつ効果的に対処できます。

5. まとめ

この記事では、非人間アイデンティティの定義と人間アイデンティティとの比較、さらにはどのように守るべきかを解説しました。
今後、非人間アイデンティティに対するセキュリティソリューションが注目されることとなります。
この記事が、非人間アイデンティティのセキュリティ対策の足掛かりになることを期待しています。
また、非人間アイデンティティのセキュリティ対策に関してお悩みがある方は、是非マクニカまでご相談ください。

ID管理関連ソリューションのご紹介

CyberArk
特権ID管理で、最小権限を実現。特権アカウントの適切な制御と監査で、不正アクセスを防止。
ゼロトラスト時代の、企業のコンプライアンス強化や運用負担を軽減します。

Okta
ID管理・IDaaSで、Office 365, G Suite, Boxなど様々なクラウドへのログインを一元管理し、SSO（シングルサインオン）。
プロビジョニング機能で、ユーザーアカウントの自動作成・管理します。

Saviynt
IDの運用管理に関するリスクマネジメント・ガバナンス・運用効率化するIGA（Identity Governance & Administration）。
監査や規制コンプライアンス対策に有効です。