Learning Center/
ヒューマン・アイデンティティとマシン・アイデンティティ:現代のアイデンティティ・ペリメーター

ヒューマン・アイデンティティとマシン・アイデンティティ:現代のアイデンティティ・ペリメーター

IdP、SSO、クラウド、ワークロード全体にわたってヒューマンアイデンティティとマシンアイデンティティを保護する方法と、SOCチームが今すぐ活用できる検知アイデアを解説します。

デモをリクエストする
MDR の専門家に相談する

ネットワークはもはや境界ではありません。今や境界となるのはアイデンティティです。実際のインシデントの多くでは、攻撃者はシステムへ侵入するというよりも、正規の認証情報を使ってログインします。だからこそ、セキュリティリーダーは、現代の防御における中核的なコントロールプレーンとして、ヒューマンアイデンティティとマシンアイデンティティを見直しています。

本記事では、ヒューマンアイデンティティとマシンアイデンティティの違い、それぞれが実務上どのようなリスクを抱えているのか、そしてSOCおよびITチームがアイデンティティスプロールを測定可能なリスク低減へと転換する方法について解説します。

ヒューマンアイデンティティとマシンアイデンティティが今や主要な攻撃対象領域となっている理由

多くのセキュリティプログラムは、エンドポイント、ネットワーク、アプリケーションを中心に構築されてきました。しかし、クラウドとSaaSの普及により、重要な価値はAPIやセッショントークンへと移り、DevOpsと自動化によって非人間主体のアクセスが急増しました。その結果、アイデンティティをめぐる二重の課題が生じています。

  • **ヒューマンアイデンティティ:**従業員、管理者、請負業者、パートナー、場合によっては顧客など。IdPを通じて認証され、多くの場合はSSOを通じてフェデレーションされます。
  • **マシンアイデンティティ:**サービスアカウント、ワークロード、ボット、スクリプト、CI/CDランナー、アプリケーションなど。APIキー、OAuthクライアント、証明書、またはワークロードアイデンティティフレームワークを介して認証されます。

攻撃者がアイデンティティを好むのは、攻撃を拡大しやすいからです。認証情報が侵害されると複数のアプリケーションにアクセスできるようになり、正規アカウントは通常のアクティビティに紛れ込みます。

この変化は、ゼロトラストのガイダンスとも一致しています。ゼロトラストでは、アイデンティティが基盤となる柱であり、アクセス判断は前提に頼るのではなく、継続的に評価される必要があります。

ヒューマンアイデンティティに含まれるもの

リーダーが「アイデンティティ」と言うとき、通常はディレクトリとIdPを指します。実際には、ヒューマンアイデンティティは入社から退職までのライフサイクル全体にわたり、複数のシステムや状態にまたがっています。

NISTのデジタルアイデンティティガイダンスは、保証レベル、認証強度、ライフサイクルに関する要件を明確にするうえで有用です。

ヒューマンアイデンティティが実務上問題になる箇所

ヒューマンアイデンティティは、システム間の境界で破綻しがちです。時間の経過とともに、組織には特権のドリフト、MFA例外、SSOを通じてフェデレーションされたSaaSアプリケーション全体での一貫性のないエンタイトルメントモデルが蓄積されます。調査時にはSOCがその複雑さを引き受けることになり、アクセスが正当なものだったのか、それとも単に許可されていただけなのかを確認することが難しくなります。

多くの環境では、セッションリスクの監視が不十分です。これは重要な問題です。特に、機密性の高い操作に対してステップアップ確認を強制するポリシーがない場合、セッションの窃取やトークンリプレイによって、本来は強力な認証制御が回避される可能性があるためです。

マシンアイデンティティに含まれるものと、その管理が難しい理由

ヒューマンアイデンティティの管理が複雑なら、マシンアイデンティティの管理はさらに桁違いに複雑です。

単一のアプリケーションでも、クラウドIAMロール、Kubernetesサービスアカウント、OAuthクライアント、さらに外部サービスとの連携に使用する複数のシークレットを利用している場合があります。これらのアイデンティティの多くはIaC(Infrastructure as Code)やCI/CDパイプラインによって生成されるため、ガバナンスプロセスが追随できない速度で作成・変更されることがあります。

SPIFFEのようなワークロードアイデンティティフレームワークは、サービス向けの暗号学的に検証可能なアイデンティティと短寿命認証情報を重視しており、静的シークレットの運用上の脆さを根本的に解消します。

マシンアイデンティティが実務上問題になる箇所

マシンアイデンティティの問題は、多くの場合、所有者の不明確さやライフサイクル管理のギャップに起因します。サービスアカウントやアプリケーション登録は、本来利用されるべきアプリケーションよりも長く残存することがあります。一時的に付与された権限が恒久化されることもあります。また、シークレットは複数の場所へコピーされた後、何に影響が出るのか誰にも分からないため、ローテーションされないまま放置されることがあります。

防衛機関や政府機関が公開しているクラウドアイデンティティ関連のガイダンスでは、非人間アイデンティティの認証と証明書の適切な管理の重要性が一貫して強調されています。マシンやサービスによるアクセスを適切に管理できない場合、組織全体に影響を及ぼすリスクにつながるためです。

重要なコントロールの違い

セキュリティチームは、両者に同じプレイブックを適用しがちですが、そこがプログラム停滞の原因になります。ヒューマンアイデンティティには、強固な認証、セッションリスク管理、ロールガバナンスが必要です。一方、マシンアイデンティティには、暗号学的証明、短命な認証情報、厳格なシークレット管理が必要です。

以下は実務的な比較です。

Dimension Human identities Machine identities
Authentication goal Strong, phishing-resistant user auth + session trust Strong, non-replayable, workload-bound auth
Credential lifetime Hours to weeks (sessions) Seconds to days (tokens/certs)
Ownership HR / IT + manager App team / platform / nobody
Common weakness MFA gaps, session hijack Static secrets, over-privilege
Best control lever IdP policy + JIT/JEA Short-lived creds + rotation
SOC detection focus Anomalous logins + access to sensitive apps Abnormal service-to-service calls + token misuse

要点は、ヒューマンアイデンティティとマシンアイデンティティは相互に関連しているものの、同一のものとして扱うべきではないということです。使用するツール、収集するテレメトリ、そしてガバナンスには、その違いを反映させる必要があります。

SOCが重視すべきアイデンティティテレメトリ

SOCチームは、可視化できないものを防御することはできません。ヒューマンアイデンティティとマシンアイデンティティのいずれについても、調査時に次の4つの問いへ迅速に答えられるだけのテレメトリが必要です。誰が、または何が認証されたのか。何にアクセスしたのか。何が変更されたのか。それは想定された動作だったのか。

この要件は、ゼロトラストのガイダンスとも明確に対応しています。ゼロトラストでは、アイデンティティシグナルと継続的な評価が基盤となるためです。

実際の攻撃者の行動に基づく検知エンジニアリングのアイデア

まず1つの手法に注力するなら、有効なアカウント(Valid Accounts)から始めるのがよいでしょう。攻撃者は、初期アクセス、永続化、権限昇格のために、正規の認証情報を日常的に悪用しています。

以下は、SOCをルールの量産工場にすることなく、ヒューマンアイデンティティとマシンアイデンティティを観測可能なシグナルへ結び付けるための、実践的な検知アイデアです。

アイデンティティ検知を運用するためのチェックリスト

  1. ヒューマンアイデンティティについて、役割や地域ごとの通常のサインインパターンをベースライン化し、高い確度で異常と判断できるイベント(新しいデバイス、新しい場所、機密性の高いアプリへのアクセスの組み合わせなど)に対してアラートを生成する。
  2. 新しい管理者ロールの割り当て、新たなOAuthアプリ権限の付与、広範なアクセス権を付与するグループ変更など、特権アクセス経路の変更を検知する。
  3. 想定外のランタイムからのトークン利用や、サービスの通常のコールグラフと一致しないAPIコールなど、マシンアイデンティティにおける不自然なワークフローシーケンスを検知する。
  4. 特に重要なAPIに対して使用される認証情報については、ポリシーで定められた期間内にローテーションされていないAPIキーやトークンなど、長期間有効な認証情報を検出する。
  5. アイデンティティイベントと影響を示すシグナルを相関分析する。例えば、権限変更の後に発生するデータアクセスの急増、メールボックスルールの変更、不審なエクスポート、インフラストラクチャ変更などを関連付ける。

このチェックリストは意図的に簡潔にしています。脆弱な検知ルールを大量に運用するよりも、確実に運用し、継続的にチューニングと改善を行う方が容易だからです。

ビジネスのスピードを損なうことなくリスクを低減するコントロール設計

アイデンティティプログラムは、制限を課すことだけに終始すると失敗します。目標は、セキュリティ侵害の影響範囲(blast radius)を縮小し、状況を信頼できると判断するまでの時間を短縮することです。

ヒューマンアイデンティティ:保証レベルを高め、恒常的な特権を削減する

フィッシング耐性を備えたMFA、条件付きアクセス、セッション制御は最低限必要な対策です。さらに重要なのは、恒常的な特権を最小限に抑え、ヒューマンアイデンティティが侵害された場合でも直ちに被害につながらないようにすることです。影響の大きいロールには、Just-in-TimeアクセスやJust-Enough Administration(JEA)の導入を検討してください。

マシンアイデンティティ:可能な限り静的シークレットを排除する

マシンアイデンティティにおける理想像は、長期間有効なシークレットを削減または排除することです。短命なトークンやワークロードに紐付いたアイデンティティを活用し、やむを得ず保持するシークレットについては、ローテーションと監査が可能な管理システムで保管してください。

SPIFFEを含むワークロードアイデンティティフレームワークは、サービス向けの強力に証明されたアイデンティティを基盤として設計されています。これは、「設定ファイルにAPIキーを保存する」問題への直接的な対策となります。

多くの組織で有効な実践的ガードレール

  • マシン認証については、承認済みの少数のパターンに標準化する(例:実行環境ではワークロードアイデンティティ、例外対応ではシークレットマネージャーを利用する)。
  • マシンアイデンティティに対して、サービス名、担当チーム、環境、有効期限などの明確な所有者メタデータを必須とする。
  • 残存する静的認証情報にはローテーションSLAを適用し、違反時にはアラートを生成する。
  • ステップアップ認証やデバイスポスチャなどの強力なシグナルを条件として、ヒューマンアイデンティティによる機密操作を保護する。
  • アイデンティティの変更は、単なる管理者イベントではなく、SOCの相関分析における高シグナルイベントとして扱う。

これだけでも、数か月規模のプラットフォーム刷新を行うことなく、十分な改善効果を生み出すことができます。

アイデンティティを境界として扱い、その両側を管理する

侵害の可能性を大幅に低減している組織は、ヒューマンアイデンティティとマシンアイデンティティによって生じる攻撃対象領域を体系的に縮小し、残された経路に計測・監視を組み込むことで、SOCが意図を迅速に確認できるようにしています。

まずは、コントロール戦略を分けることから始めます。ヒューマンアイデンティティには、より強固な認証と恒常的な特権の最小化を適用し、マシンアイデンティティには、短命でワークロードに紐付いた認証情報と、ローテーションの徹底を適用します。検知は、有効なアカウントなどの攻撃者の行動に紐付け、迅速な調査を支えるアイデンティティテレメトリを必須とします。

SaaS、クラウド、ワークロード全体にわたるアイデンティティ起点のインシデントを、自社チームがどれだけ迅速に調査できるかを評価する場合は、Agentic SOCアプローチの体系的な評価を検討してください。

移動

Text Link
Giga Om Report 2025

理想のSOCチーム。
24時間365日、お客様とともに稼働します。

お客様の環境を一元的かつリアルタイムに把握する4つのエクサボットが、検出、トリアージ、調査、対応をカバーします。プラットフォームを自社で運用することも、エクサフォースに運用を任せることもできます。
デモをリクエスト
MDRの専門家に相談
アイテムが見つかりません。
アイテムが見つかりません。