サイバー攻撃の多くは、今やシステムの脆弱性を直接突くものにとどまらず、外部の攻撃者が盗み取った正規の資格情報を悪用して企業内の最深部へと入り込む形でも行われている。そのため、セキュリティ対策の重点は境界防御からアイデンティティの統制に移っている。

ここでいうアイデンティティとは、人間やシステムなどの主体を識別するためのID（ユーザー名やアカウント、APIキーなど）に加え、そのIDを利用する際の認証要素や、職務・権限・利用環境といった属性情報を含む全体像を指す。かつて攻撃者が狙っていたのは例えば特定のWebサービスの単一の認証情報に過ぎなかったが、現在は複数サービスの認証情報や行動履歴、権限情報などを突き合わせ、標的のアイデンティティ全体を模倣しようとする動きが強まっている（図表1）。対象の行動や立場を再現可能にすることで、より精緻かつ効率的に内部システムへ侵入できるようになるからだ。

図表1　アイデンティティが狙われる意味

マシンIDは“人間の10倍”にも

ガートナーでは、アイデンティティの統制と保護を「アイデンティティ／アクセス管理」として体系的に捉えている。ガートナージャパンの矢野薫氏は、日本のセキュリティ対策が長らくインフラ防御に偏ってきたと指摘する。例えば、エンドポイントにEDRを導入・運用する場合、その作業はIT部門で完結しやすく、技術的な対処が中心となる。

ガートナージャパン シニアディレクター アナリスト 矢野薫氏

対してアイデンティティ管理では、アカウントの発行や権限の付与・削除、利用状況の監査などを部門横断で運用することが求められる。企業には正社員のほか、派遣社員や協力会社など多様な人材が混在しており、人事情報と現場業務の変更などの情報のすり合わせが必要だからだ。

「アイデンティティを実効的に保護するには、ユーザー部門との調整や、人事や外部委託の契約に伴う人材の受け入れなどの手続きと、ID発行や権限付与の仕組みを結び付ける業務プロセスの統合が不可欠だが、他の分かりやすいセキュリティ施策が優先されるなどして、こうした取り組みが後回しにされてきた」。矢野氏がそう指摘する通り、現状多くの企業はアイデンティティを適切に管理できていない。

さらにここ数年、人の代わりに自律的に動作する“非人間（non-human）”のアイデンティティ（いわゆるマシンID）が急速に増加していることが、アイデンティティの統制の難度をより上げている。マシンIDには、APIキーやクラウドサービスが外部システムにアクセスするためのサービスアカウントなどがあるが、大部分はAIエージェントだ。AIエージェントは生成AIのAPIを利用して作業を自動化するが、これらの多くは業務担当者がさまざまなアプリケーションに対し個別に作成・設定するため、統合的な管理が難しい。さらに、最近のAIエージェントはタスクに応じて自ら別のエージェントを生成し、複数のツールと連携して動作するものも登場している。結果として、アカウント総数は急速に膨張し、既存の管理体制では把握が追いつかなくなっている。

SailPoint テクノロジーズジャパンの松本修也氏も、マシンIDの急増を「企業が抱える新しい影の資産」と表現する。SailPointの調査によれば、すでに7割以上の企業で人間のアイデンティティよりもマシンIDのほうが多く、なかには10倍以上に達するケースもあるという。

SailPoint テクノロジーズジャパン ソリューションエンジニアリング本部 本部長 松本修也氏

ガートナージャパンの矢野氏は、こうした状況の背景に「データオーナーシップの不在」を挙げる。データオーナーとは、部門やシステムごとに存在する情報資産の責任者を意味し、本来はその所有範囲に応じてアクセス権限を設定・管理する立場にある。しかし実際には、この責任の所在が曖昧なまま、アクセス制御の技術的整備が優先されてきたという。矢野氏は「データオーナーが自らの管理下にある情報資産を正確に把握し、誰がどの範囲までアクセスできるかを判断できなければ、いくら技術を整えても統制は効かない」と警鐘を鳴らす。