非人間アイデンティティ(NHI)のライフサイクルとは、非人間アイデンティティとそれらを表す認証情報の作成から廃棄までのエンドツーエンドの管理を指します。これには、サービスアカウント、APIキー、トークン、証明書、AIエージェントに対する安全なプロビジョニング、アクセスガバナンス、継続的なモニタリング、および制御された廃棄が含まれます。
なぜNHI Lifecycle Managementが重要なのか
アイデンティティ環境全体の調査によると、平均的なエンタープライズ環境において、非人間アイデンティティ(NHI)の数は現在、ヒューマンユーザーの50倍に達しています。しかし、多くの組織はこれらの認証情報を後回しに管理しており、全く管理していない場合もあります。
この問題は、マシンアイデンティティの作成方法に起因しています。人的従業員は、人事システムを通じて組織に入り、プロビジョニングのワークフロー、アクセスレビュー、およびオフボーディングプロセスが開始されます。マシン認証情報は、developerがインフラストラクチャを起動する際、CI/CDパイプラインがコードをデプロイする際、または自動化スクリプトがアクセスを必要とする際に現れます。多くの場合、これらの認証情報を追跡するための一貫したライフサイクルプロセスが確立されておらず、不要になったときに認証情報を無効にするための信頼できるトリガーもありません。
このギャップが、継続的なセキュリティ上の脆弱性を生み出します。OWASPの非人間アイデンティティ(NHI)トップ10によると、不適切なオフボーディングは、常に最も重大なリスクとしてランク付けされています。サービスアカウントは、有効期限が切れるべき数か月後も、本番環境へのアクセス権を持ったまま残ります。APIキーは、放棄されたコードリポジトリに残され、一時的なプロジェクトのためにプロビジョニングされた認証情報は、無期限にアクティブなままです。
マシン認証情報を異質にするもの
非人間アイデンティティ(NHI)には、人間のユーザーを保護するためのセキュリティ制御がありません:
- 多要素認証(MFA): インタラクティブなMFAの代わりに、NHI管理は証明書ベースの認証やワークロードアイデンティティ連携などの非インタラクティブな制御に依存します。一部の環境では、ハードウェアまたはプラットフォームによって裏付けられた構成証明が、アクセスを許可する前にワークロードの整合性を検証します。
- スケジュールされたアクセスレビュー: 従業員は四半期ごとに認定を受けることが多いですが、マシン認証情報は正式なレビューを受けることがほとんどありません。NHIの許可は時間とともに蓄積する可能性があり、過剰な特権アクセス (NHI5:2025)につながります。
- 自然な終了点: 人間のアクセスは雇用が終了した時点で終了します。マシンの認証情報には同等のトリガーがありません。プロジェクトが完了しても、関連付けられた認証情報は「ゾンビ」認証情報としてアクティブなままになることがよくあります。
ライフサイクルにおけるギャップ:人的アイデンティティと非人間アイデンティティ(NHI)
従来のアイデンティティとアクセス管理(IAM)のアプローチは、マシン認証情報向けに設計されていませんでした。以下に両者の比較を示します。
項目 | 人間のアイデンティティ・ライフサイクル | 非人間アイデンティティ(NHI)のライフサイクル |
|---|---|---|
作成トリガー | 人事システムがプロビジョニングを開始します。 | 開発者またはスクリプトがオンデマンドで認証情報を作成します。 |
アクセスレビュー | 四半期ごとの認定が必須 | レビューがほとんど行われず、許可が残存します。 |
終了 | 雇用終了時に自動的に処理されます。 | トリガーなし;認証情報を忘却 |
後 | MFA(FIDO、生体認証) | mTLS、証明書ベース認証、ワークロードアイデンティティ連携、自動化された認証情報のローテーション |
ワークロードID管理:専門的な焦点
ワークロードID管理(WIM)は、非人間アイデンティティ(NHI)の特定の部分集合に対応します。NHIのライフサイクルは、すべてのマシン認証情報(サードパーティSaaSの静的なAPIキーを含む)を包含します。WIMは、コンテナ、仮想マシン、サーバーレス機能などの実行中のソフトウェアコンポーネントに割り当てられたアイデンティティを対象とします。
WIMプラットフォームは、ワークロードアイデンティティが作成されると継続的に検出を行い、動的な環境全体で最小権限ポリシーを適用します。これは特に、ポッドが自動的にスケールアップおよびスケールダウンするKubernetesクラスターや、関数が数秒間しか存在しないサーバーレスアーキテクチャにおいて不可欠です。
NHIライフサイクルの4つの段階
効果的なライフサイクル管理は、各認証情報のライフサイクルをその目的に結び付けます。
フェーズ1:ディスカバリーと評価
マシンアイデンティティを管理する前に、セキュリティチームは完全な可視性を必要とします。このディスカバリープロセスは、developerが日々作成する認証情報を考慮して、継続的に実行する必要があります。
ディスカバリーのインベントリ:
- クラウドIAMプラットフォームおよびActive Directoryにおけるサービスアカウント
- ソースコード、CI/CDツール、およびdeveloperのワークステーションにあるAPIキーとトークン。
- コンテナ、Kubernetes、およびサーバーレスリソースのワークロードアイデンティティ
- 統合認証情報(OAuthアプリやサードパーティのウェブフックを含む)
フェーズ2:アクティブな管理とガバナンス
ディスカバリーにより、ポリシー主導の制御の実装につながります。
- Infrastructure-as-code (IaC) にアイデンティティを組み込む:アプリケーションを作成するのと同じ構成(Terraformなど)でサービスアカウントを定義すると、リソースが破棄されたときにアイデンティティが自動的に取り消されるようになります。
- 静的なシークレットを動的な認証情報に置き換える:アイデンティティ連携またはトークンエクスチェンジを通じて発行される短期間有効なジャストインタイム認証情報に移行することで、アクセスが自動的に期限切れになるようにします。
- 明示的な所有権の適用:すべてのマシンアイデンティティは、そのライフサイクルに責任を持つ指定された人間の「スポンサー」(通常はDevOpsまたはプラットフォームエンジニア)を必要とします。
- プロビジョニングワークフローの標準化:自動化された承認ゲートは、管理されていない認証情報の拡散を防ぎます。開発者がIAC経由で新しいサービスアカウントを要求すると、自動化されたポリシーは、プロビジョニング前に組織の標準に照らして要求を評価します。
- ポリシーアズコードによる強制自動化の実装:ポリシーエンジンはマシンアイデンティティを継続的に評価してコンプライアンスを確保します。サービスアカウントの許可が承認された範囲を超えた場合、自動修復が過剰な許可を取り消します。
フェーズ3:継続的な監視と施行
機械の動作はプログラム可能で予測可能です。異常は、自動化された強制のためのセキュリティシグナルとして機能します。
- 自動ローテーションサイクル: 認証情報はサービスを中断することなく、リスクプロファイルに応じて適切なスケジュールで自動的に更新される必要があります。
- 行動異常検知:サービスアカウントが新しいクラウドリージョンにアクセスしたり、通常よりも大量のデータを使用したりすると、システムによってトリガーされる応答が有効になります。
- 包括的な監査証跡:ライフサイクルプロセスは、作成と承認から、すべてのアクセス試行と非アクティブ化まで、すべてのイベントを記録します。これにより、保護された医療情報が関係する場合のSOC 2、ISO 27001、HIPAAなどのフォレンジック調査およびコンプライアンス義務をサポートします。
フェーズ4:修復と無効化
最終段階では、アイデンティティを安全に廃止し、攻撃対象領域を縮小することに重点を置いています。
- 非アクティブ状態に基づく停止: システムは、定義された期間(例:30日間)内に認証されていない認証情報を自動的に無効にします。
- 「ブラウンアウト」安全プロトコル: 完全に削除する前に、このプロセスは24時間の一時的な隔離期間を実装し、重要な依存関係がないことを確認します。
- インシデント対応の自動化: マシンアイデンティティが侵害された場合、自動化されたワークフローは即座にシークレットをローテーションするか、スタンバイのワークロードアイデンティティに切り替え、脅威を隔離しながらサービスの継続性を維持します。
コンプライアンス要件のサポート
NHI Lifecycle Managementは、複数のコンプライアンス義務に直接対応します。
- アクセス認定:自動化された四半期ごとのレビューでは、各マシンアイデンティティを再認定のために指定された所有者に提示します。所有者は、認証情報がまだ必要であり、適切に特権付きであることを確認するか、廃止を承認する必要があります。
- 最小権限の適用:継続的なポリシー評価により、必要最小限の権限のみが付与されるよう徹底します。監査役が発見する前に、権限の拡大を自動アラートで通知します。
- 監査対応:包括的なログ記録により、監査人が必要とする証拠が提供されます。誰が各認証情報を作成したか、何にアクセスできるか、いつ権限が変更されたか、そしてなぜ認証情報がまだ存在するかを示します。
- 規制レポート: 自動化されたレポートにより、SOC 2(アクセスコントロール)、ISO 27001(ID 管理)、GDPR(データアクセス追跡)、HIPAA(監査証跡要件)などのフレームワークへの準拠を実証できます。
セキュリティフレームワークとの連携
業界のフレームワークでは、非人間アイデンティティ(NHI)には特別なガバナンスが必要であるという認識が高まっています。
- NISTゼロトラストアーキテクチャ(SP 800-207):ゼロトラストモデルは、非個人エンティティ(NPE)を、人間のユーザーと同じ継続的な検証を必要とするものとして扱います。ネットワークの場所は、信頼の根拠にはなりません。すべてのアクセス要求は、現在のコンテキストに基づいて認証および認可される必要があります。
- CISコントロール(バージョン8.1): Center for Internet Security(CIS)バージョン8.1は、「管理」機能を組み込み、アクティブなアカウント管理を重視しています。コントロール5.1では、特にアカウントのインベントリの確立が要求されており、コントロール5.3では、攻撃対象領域を削減するために休眠アカウントを非アクティブ化することが義務付けられています。
- アイデンティティファブリックとアイデンティティファーストセキュリティ:Gartnerは、アイデンティティをすべてのアイデンティティタイプにわたって一貫したポリシー適用を備えた、人間のユーザー、マシン認証情報、およびAIエージェントにまたがる統合されたファブリックとして扱うことを提唱しています。
よくある質問(FAQ)
NHI Lifecycle Managementはシークレット管理とどのように異なるのですか?
シークレット管理は、安全なストレージ(キーの保存場所)に関連します。NHI Lifecycle Managementは、ガバナンス(キーが存在する理由、誰が所有しているか、およびいつ削除する必要があるか)を指します。
マシンは多要素認証を使用できますか?
インタラクティブなMFAの代わりに、マシンは証明書ベースの認証(mTLS)、ハードウェアベースのアテステーション、またはOIDCベースのワークロードアイデンティティ連携を使用します。この場合、環境が暗号署名されたアイデンティティの証明を提供します。
誰がマシンID 管理を所有しているか?
所有権は通常、DevOps(作成)、セキュリティ(ポリシー)、プラットフォームエンジニアリング(インフラストラクチャ)に及びます。最も効果的なアプローチは、すべての認証情報に特定の人的「スポンサー」を割り当てることです。
非人間アイデンティティを大規模に保護
Okta Identity Platformは、包括的なLifecycle Managementとポリシー適用を、人間のユーザーだけでなく、マシンの認証情報にも拡張します。自動化されたディスカバリー、ポリシー主導のガバナンス、および継続的な監視により、クラウド、SaaS、およびハイブリッド環境全体で非人間アイデンティティ(NHI)を保護します。
