AIエージェントなど
常に増減するNHIによるリスクを低減!
ISPM(アイデンティティセキュリティ
ポスチャ管理)とは
DX(デジタルトランスフォーメーション)の進展により、企業のIT環境はオンプレミスからクラウドへと主軸を移しています。Microsoft 365、 Google Workspace 、Amazon Web Servicesといったプラットフォームの導入が加速する中、サイバーセキュリティの概念が変わりつつあります。かつての「社内と社外を分けるネットワークの境界線」ではなく、「アイデンティティ(ID)」が、新たなセキュリティの境界線となりました。しかし、多くの企業が多要素認証(MFA)を導入して「入り口」を固める一方で、認証を通過した後の「権限(認可)」の妥当性や、プログラム同士の連携を行う「人以外に付与されたID(NHI:Non-Human Identity)」の管理については形骸化しているケースが多いのではないでしょうか。本稿では、アイデンティティ管理における「空白地帯」を埋める新たな概念「ISPM(Identity Security Posture Management)」について、動的に増加するNHIのリスク管理を中心に、その技術的背景と実務上の必要性を解説します。
アイデンティティ管理は、現代のサイバーセキュリティにおいて防衛の要です。しかし、クラウド利用の加速や自動化の進展に伴い、従来の管理手法にはいくつかの「構造的な限界」が顕在化しています。
認証(Authentication)の強化と認可(Authorization)の形骸化
多くの企業は、ID・パスワードにくわえて多要素認証(MFA)やシングルサインオン(SSO)を導入し、「認証」の強度は飛躍的に向上しました。しかし、一度システムに入った後の「認可」、すなわち「どのリソースに、どの程度の権限でアクセスできるか」の制御は、依然として各アプリケーション(SaaS・IaaS)個別の設定に委ねられています。この「認証」と「認可」の乖離が、以下のリスクを招いています。
- 過剰権限の常態化
業務の停滞を防ぐため、必要最小限ではなく「とりあえず何でもできる」強い権限が付与される。 - 認可のブラックボックス化
統合認証基盤(IdP)からは、SaaS内部のどのフォルダに書き込み権限があるかといった詳細な階層までは見えず、ガバナンスが及ばない。 - NHI(人以外に付与されるID)の未管理
プログラム間の連携に用いられるAPIキーやサービスアカウントなどのNHIは、人間に紐付かないためMFAが適用できず、一度漏洩すると「認可」された権限を攻撃者にフル活用されるリスクがある。
権限の累積と休眠アカウントの放置
職務変更やプロジェクト移動の際、新しい権限は追加されるものの、以前の権限が削除されない「権限の累積」は、多くの組織が抱える慢性的な課題です。これは人間だけでなく、かつて自動化のために作成されたまま忘れ去られたNHIにも当てはまります。また、退職者や契約終了後の外部ベンダーによる「休眠アカウント」は、攻撃者にとっての「永続的なバックドア」となります。これらは有効な認証情報を保持しているため、従来の境界防御では検知が極めて困難です。
現代のアイデンティティセキュリティにおいて、急速に拡大している脅威が、前の章でも触れた、人以外に付与されるアイデンティティであるNHIです。本章では、NHIについて詳しく解説します。
NHIとは何か
NHIには、AIエージェント、サービスアカウント、APIキー、OAuthトークン、証明書などが含まれます。これらはアプリケーション同士の連携や自動化プロセスのために作成されますが、アプリケーションを導入するたびに、その裏側でAPIキーなど複数のNHIが発行されるため、その数は一般的に人間用IDの数十倍にも及ぶと考えられています。
NHIが抱える固有のリスクは以下のとおりです。
- 多要素認証が不可能
プログラムによる自動実行であるため、対話的な認証が利用できず、IDとシークレットが流出した時点で即座に侵害に直結します。 - ライフサイクル管理の欠如
人間と異なり「退職」がないため、一度発行されたAPIキーは明示的に無効化されない限り、数年間にわたって有効なまま放置される傾向にあります。 - 特権の付与
バックアップやデータ同期などの目的で、NHIには非常に広範な権限(全データの読み取り・削除など)が与えられがちです。
AIエージェントによる動的なリスク増殖
また、昨今の生成AIの台頭により、リスクは新たなフェーズに入りました。NHIの一つ、AIエージェントは自律的に複数のSaaSをまたいでタスクを遂行するため、その過程で動的に新しいNHIを作成したり、既存のAPIを通じて権限を拡張したりします。
- 侵害例
従業員が利便性のために導入したAI連携ツールが、特定のタスクを実行するために「Microsoft 365の全フォルダへのフルアクセス」を要求。AIが自律的にこの認可を承認し、外部のAIプラットフォームへデータが常時流出する経路が完成する。
「常に増減する」ことの管理コスト
運用面でもNHIの管理には課題があります。NHIはCI・CDパイプラインや自動化スクリプトによって日々生成され、破棄されます。この「動的な増減」をExcelなどの手動管理で追うことは不可能です。
ISPM(アイデンティティセキュリティポスチャ管理)は、爆発的に増え続けるNHIや、ブラックボックス化した認可設定など、従来の手法では把握しきれなくなった「アイデンティティ管理の空白地帯」を排除し、セキュリティ設定の不備を継続的に是正するための新しい考え方です。
既存ツールとの機能的分担
ISPM(アイデンティティセキュリティポスチャ管理)は、既存のアイデンティティ管理ツールと競合するものではなく、補完関係にあります。アイデンティティ管理のライフサイクルにおいて、それぞれが担う役割と、ISPM(アイデンティティセキュリティポスチャ管理)が解決する領域を整理します。
- IdP(Identity Provider)
・役割: IDパスワードの検証や多要素認証、シングルサインオンを司り、「誰がシステムに入れるか」という入り口の統制において中心的な役割を果たします。
・どのように補完できるか: ログイン後のアプリケーション内部における詳細な認可ロジック(どのデータに、どのような操作ができるか)や、日々変化する詳細設定の脆弱性を常時モニタリングします。
- IGA(Identity Governance and Administration)
・役割: 入退社や異動に伴うワークフローの整備、アカウントのプロビジョニングなど、「正しい権限を、正しい人に、正しい期間付与する」ための管理に長けています。
・どのように補完できるか: 実運用の中で、「付与された権限が実際にどの程度使われているか」という実態ログまでを紐づけ、動的にリスク評価を行います。
- ISPM(Identity Security Posture Management)
・役割: IdPやSaaSからAPI経由で設定情報とアクティビティログを直接収集し、「設定上の権限」と「実際の利用状況」のギャップを可視化します。
・特長: リスクを動的にスコアリングし、未使用の特権や過剰な権限、管理外のNHIを特定することで、組織全体を「最小権限の原則」にもとづいた健全な状態(ポスチャ)へと導きます。
安全性を担保するための3つの観点
ISPM(アイデンティティセキュリティポスチャ管理)は、以下の3つの観点でアイデンティティの安全性を継続的にスキャンし、組織の防御力を高めます。
- 認証設定の健全性
全アカウントでMFA(多要素認証)が適切に有効化されているか、あるいはサイバー攻撃に対して脆弱な旧式の通信プロトコルが許可されたままになっていないかを監視します。 - 権限付与の妥当性
実際のアクティビティログ(利用実態)を分析し、付与されているものの長期間使われていない「ゾンビ権限(過剰な特権)」を特定します。 - アプリケーション間連携のリスク
SaaS間で結ばれたOAuth連携における「データへのアクセス許可範囲(スコープ)」を分析します。本来の業務範囲を超えて、メールの全件読み取りやファイルの削除といった過剰な権限を取得しているサードパーティアプリケーションを特定・排除します。
ISPM(アイデンティティセキュリティポスチャ管理)は、これらの観点で「認証・認可・連携」の3層を横断的に監視することで、管理者の目が届きにくいアイデンティティ管理の空白地帯を埋めます。これにより、変化の激しいクラウド環境においても、セキュリティ品質を一定に保ち続ける「自動化されたガードレール」としての役割を果たします。
技術的な「認可」管理の壁
なぜ、入り口を守るIdP(統合認証基盤)の管理だけでは不十分なのでしょうか。その最大の理由は、Microsoft 365やSalesforceといった現代の主要SaaSにおいて、「誰が何を実行できるか」を決めるルール(認可モデル)が、極めて高度に多重化しているからです。
例えば、あるユーザーの権限は、単一の設定ではなく以下のような複数の要素が複雑に組み合わさって決定されます。
- 役割(ロール)
作業内容やシステム上の責任範囲に応じて定義された、一連の権限の集合体 - 基本的な権限
アカウント作成時に一括で付与される、標準的な利用権限 - 一時的な権限
特定のプロジェクトや期間限定の業務のために、個別に追加された特別な権限 - 条件ベースの権限
データの所有関係や特定の条件に応じて、動的に作用する「例外」的な権限
これらはパズルのように何層にも重なり合っており、「最終的にそのユーザーがどのデータに触れる状態なのか」という実態は、IdPの管理画面から見渡せる範囲を大きく超えています。
各アプリケーションの内部深くにあるこれらの「要素」を把握するには、表面的な連携だけでは不可能です。ISPM(アイデンティティセキュリティポスチャ管理)は、各アプリケーションのAPIと直接対話することで、複雑に組み合わさった権限の要素を把握、隠れた過剰権限を洗い出します。
ここでは、企業が直面する具体的な課題と、ISPM(アイデンティティセキュリティポスチャ管理)による解決のアプローチを紹介します。
組織の流動性による「権限の負債」の解消
多くの企業で採用されている「春・秋の定期異動」や「大規模な組織改編」は、アイデンティティ管理における最大の脆弱性となります。
- 「念のため」という権限の累積
現場では、業務の円滑化を優先して「前部署の権限も残しておく」という属人的な判断がなされがちです。これが繰り返されることで、一人の社員に権限が集中する「特権の肥大化」が起きています。 - 解決策
単に「異動したから消す」という一律のルールではなく、「異動後30日間、一度も使われていない旧部署の権限」をログから特定するなど、条件をつけた可視化が可能です。客観的な「利用実態」というエビデンスを示すことで、現場の抵抗を抑えつつ、リスクを低減します。
棚卸の形骸化を打破する「継続的モニタリング」
アイデンティティの棚卸しは最も工数がかかる作業の一つです。しかし、従来の手法には致命的な欠陥があります。
- 「点」の管理による限界
年2回など、時期を決めた棚卸しは、あくまで「その瞬間」の状態を確認するだけです。棚卸しの翌日に作成されたAIエージェントや、一時的に発行されたAPIキーといったNHIは、次の半年後まで放置されることになります。 - 解決策
ISPM(アイデンティティセキュリティポスチャ管理)が提示する客観的なデータの活用により、管理者が「リスクの所在を的確に把握し、承認や是正の判断を下す」ことができるようになります。監査対応が「膨大なリストを手探りで照合する作業」ではなく、「定常的な自動プロセス」で支えられるようになるため、情報システム部門はより付加価値の高いDX戦略の策定へとリソースをシフトすることが可能です。
アイデンティティ保護の重要性が増す中、ISPM(アイデンティティセキュリティポスチャ管理)は単独のツールとしてではなく、広範なセキュリティフレームワーク(特にNIST CSF 2.0やサイバーセキュリティ・メッシュ・アーキテクチャ)の中で中心的な役割を果たします。
NIST CSF 2.0への準拠とガバナンスの強化
2024年に公開されたNIST CSF 2.0では、新たに「ガバナンス(GV)」機能が独立しました。ISPM(アイデンティティセキュリティポスチャ管理)はこの新基準に適合するための、技術的な裏付けとしても有効です。
| NIST CSF 2.0におけるカテゴリー | ISPM(アイデンティティセキュリティポスチャ管理)の機能 |
|---|---|
| ID.AM(資産管理) | 人間用IDだけでなく、増殖し続けるNHI(APIキー、サービスアカウント)をすべてインベントリ化し、所在を明確にします。 |
| PR.AC(アクセス制御) | 付与された権限が「最小権限の原則」にしたがっているかを継続的に評価します。 |
| GV.SC(サプライチェーンリスク管理) | サードパーティ製SaaSやAIエージェントへのOAuth認可状況を可視化し、外部ベンダー経由の侵害リスクを低減します。 |
関連ソリューションとの守備範囲の違い
クラウドセキュリティの世界には似た名称のソリューションが多く存在しますが、ISPM(アイデンティティセキュリティポスチャ管理)が焦点を当てるのは「インフラ」でも「アプリケーションの設定」でもなく、「アイデンティティ(誰が何を行使できるか)」という実権そのものです。
各ソリューションの役割を比較することで、ISPM(アイデンティティセキュリティポスチャ管理)が「予防」において果たす独自の重要性が明確になります。
| カテゴリー | 主な管理対象 | 検知・管理の焦点 | 役割の例 |
|---|---|---|---|
| ISPM(アイデンティティセキュリティポスチャ管理) | アイデンティティ設定、権限、NHI | 過剰権限、MFA設定不備、危険なOAuth連携、休眠NHI | 攻撃を受ける前の「脆弱な状態」を解消する。 |
| ITDR(アイデンティティ脅威検知・対応) | ID攻撃の予兆・振る舞い | ブルートフォース、セッションハイジャック、権限昇格の試行 | 進行中の攻撃を検知し、リアルタイムに応答する。 |
| CSPM(クラウドセキュリティポスチャ管理) | クラウドインフラ(Azureなど) | ストレージ(Blob)の公開設定、NWセキュリティ群 | クラウド基盤側の設定ミスを防ぐ。 |
| SSPM(SaaSセキュリティポスチャ管理) | SaaSアプリケーション設定 | 外部共有設定、パスワードポリシー、監査ログ無効化 | SaaSアプリケーション固有のセキュリティ設定を最適化する。 |
上の表のように、ISPM(アイデンティティセキュリティポスチャ管理)を活用し、アイデンティティに関連した脆弱な状態を解消しておくことで、インシデントへの備えを強化。万が一IDが侵害された際の被害範囲を限定することができます。
アイデンティティ管理におけるリスクは、目に見えないところで静かに蓄積されていきます。自社の現在のポスチャ(セキュリティの構え)が、現代の巧妙な攻撃やAIによる変化に対応できているか、以下の5つの項目でセルフチェックを行ってみてください。
NHIのインベントリ把握状況
自社が各アプリケーションで発行しているAPIキーやサービスアカウントの正確な総数を、1時間以内にリストアップできるか?
特権IDの常時保有率
24時間365日、強力な権限(Global Adminなど)を持ち続けているユーザーは誰か。その中で、過去1カ月間にその権限を実際に行使しなかったユーザーは何名いるか?
シャドーOAuth連携の可視化
従業員が「利便性のために」個別に承認したサードパーティアプリケーション(特に生成AI関連)のうち、メールやカレンダーへのフルアクセス権限を持つものがいくつあるか把握しているか?
退職・異動処理の「ラストマイル」管理
IdP(SSO)連携されていないSaaSのローカルアカウントや、共有アカウントに含まれる個別のNHIが、退職時に確実に無効化される仕組みがあるか?
MFA例外アカウントの監視
レガシーシステムや自動化スクリプトのために「MFAを意図的に無効化」しているアカウントのリストと、その利用場所をリアルタイムで監視できているか?
ISPM(アイデンティティセキュリティポスチャ管理)の実装において最も避けるべきは、現状を把握しないまま一律に権限を制限し、現場の業務を停滞させてしまうことです。成功の鍵は、優先順位にもとづいた「フェーズ分け」を行い、「可視化→特定→是正」のサイクルを段階的に回していくことにあります。
Step 1:可視化とリスクの数値化
まず、各アプリケーションのテナントとISPM(アイデンティティセキュリティポスチャ管理)をAPI連携させ、現状を把握します。
- 現状分析
「過剰権限」「休眠ID」「危険なNHI」の総数を可視化し、リスクスコアを算出します。 - 上申資料の作成:
「これだけの未使用権限が放置されている」という客観的事実にもとづき、経営層に対しポスチャ改善の予算と体制を確保します。
Step 2:リスクの特定と優先順位にもとづいた是正(リスクの選別と処置)
Step 1で可視化された膨大なアラートの中から、「どのリスクが組織にとって致命的か」を特定し、順次対処します。
【最優先:侵入口の特定】外部に露出したシークレットの特定・無効化
GitHubなどの公開領域に誤って流出したAPIキーや、有効期限のないサービスアカウントを特定します。これらは「今この瞬間」も悪用されるリスクがあるため、即座に失効・再発行を行います。
【重要:特権の特定】MFA未設定の特権アカウントの保護
管理者権限を持ちながら、多要素認証(MFA)が設定されていない、あるいはバイパス可能な状態にあるアカウントを特定します。攻撃の最大の標的となるため、直ちにMFAを強制適用するか、不要な特権を剥奪します。
【波及リスクの特定】過剰なスコープを持つOAuth認可の整理
導入したAIツールや外部SaaSのうち、「実際には使われていないが、全データへのアクセス権を保持している」連携を特定します。将来的なデータ流出防止のため、認可範囲を必要最小限に縮小するか、連携を解除します。
Step 3:自動修正とガバナンスの定着
ISPM(アイデンティティセキュリティポスチャ管理)のポリシーを定義し、違反が検知された際に「自動的に権限を剥奪」または「ユーザーに再確認の通知を飛ばす」ワークフローを有効化します。これにより、アイデンティティ管理は「担当者の努力」から「システムの自律的なガードレール」へと昇華します。
これまでのアイデンティティ管理は、「正しい人に、正しいIDと権限を付与する」という、いわば静的な「帳簿管理」でした。しかし、クラウドの利用が日常的となり、AIエージェントが自律的に動作し、人間を遥かに凌ぐ数のNHIが生成される現代において、その手法は限界を迎えています。
ISPM(アイデンティティセキュリティポスチャ管理)の導入は、単なるツールの追加ではありません。それは、「見えない権限」という最大の脆弱性を可視化し、攻撃者が悪用できる隙を先回りして埋めていく、動的な防御への転換を意味します。
「どのIDがどのような権限を持っているか」を常に最適化し続ける仕組みは、セキュリティレベルを向上させるだけでなく、過重な棚卸し業務から情報システム部門を解放し、DXを加速させるための安全な土台となります。
アイデンティティという新たな境界線を、無防備な「空白地帯」にするか、それとも強固な「防衛線」にするか。AI時代における企業のレジリエンス(回復力)は、このポスチャ管理をいかに自動化・仕組み化できるかにかかっています。
※ Google Workspace は、 Google LLC の商標です。
※ 本ページの一部は、生成AIにより生成されたコンテンツを使用しています。
Okta Identity Security Posture Management
組織に点在する ID(人/Non‑Humanを問わず)を横断的に把握し、リスクのある設定や不適切なポリシーが適用されていないかを継続的に可視化・監視。リスクを検知した場合には、対応優先度とともに推奨される対策を提示します。
