マシン IDとは？サービス アカウントとの関連やリスクを事例付きで紹介

マシン IDとは主に仮想マシン、コンテナ、APIなどデバイスやワークロードを指しています。一部の組織では、自社のセキュリティ フレームワークにIoTやOTを含める場合もあります。

SailPointでは、マシン IDを効果的に管理するには、アカウント、クレデンシャル、そしてアクセスに対するガバナンスが必要だと考えています。そのため、アプリケーション サービス アカウント、データベース サービス アカウント、クラウド サービス アカウント、SaaS統合連携、API、ロボティック プロセス オートメーション（RPA）用のボットなど、組織が利用するマシン IDに対するセキュリティの確保に重点を置いています。適切なガバナンスを導入すれば、組織はセキュリティの維持やリスクの軽減が可能になり、これらのIDがアイデンティティ戦略の盲点にならないようにすることができるようになります。

アイデンティティ管理には、人間と人ではないIDの両方が含まれます。Gartner®によると、「Gartnerの分類では、IAMの領域はさまざまな要素に分けられます。「マシン」の領域は、デバイスなどの物理マシンと、仮想マシン、コンテナ、アプリケーションなどのワークロードに分けられます。」

SailPointの見解では、マシン IDは非人間ID（NHI）カテゴリの一部ですが、すべての非人間IDがマシン アイデンティティというわけではありません。Gartnerは次のように述べています。「NHIには、人間以外のあらゆるIDが含まれます。たとえば、デバイスやソフトウェア、組織の法人格、さらには動物なども含まれます。マシン アイデンティティは非人間領域の一部ですが、非人間IDのすべてがマシン アイデンティティというわけではありません。」⁶

クラウド コンピューティング、マイクロサービス アーキテクチャ、AI、RPAなどのトレンドが極めて急速な成長を遂げています。組織が効率性と生産性を向上させるための新たな方法を模索している中で、マシン アカウントに大きく依存する、相互に接続されたコンピューティング システムが次々と開発されています。

ですが、ここでさらに掘り下げて、マシン IDをその基本的な構成要素に分解してみます。

4つの要素から構成されるマシン ID

以下、それぞれ解説します。

1.マシン アカウント：マシン アカウントは、基幹システムや機密データへの常駐特権を持っていることが多いため、これらのアカウントに対する適切な管理と保護が不可欠になります。ここでの目標は、組織内にあるすべてのマシン IDに対する包括的な可視性を確保するとともに、これらのアカウントに対する不正使用を防止するための堅牢なセキュリティ制御を実施することです。認証に用いるクレデンシャルは、マシンがシステムやデータとやり取りする際に、すべての要素を保護しながら操作できるようにします。

マシンのIDを検証する際に使用されるデジタル識別子で、他のシステムやサービスへのアクセスを解除し、安全にやり取りできるようにします。これらは基本的に、マシン・ツー・マシン通信におけるデジタル「パスポート」として機能します。

2.サービス アカウント：サービス アカウントは、アプリケーション、データベース、クラウド サービスがプロセスの実行やリソースへのアクセスを行う際に使用される特殊なアカウントです。これらのアカウントは、常駐アクセスと昇格した特権を持っていることが多いため、セキュリティの確保が不可欠です。

たとえば、企業の顧客管理システム（CRM）では、顧客情報の保存・取得にデータベース サービス アカウント、外部プラットフォームとの統合にクラウド サービス アカウント、自動化されたレポートの生成に定期タスク実行アカウントを使用する場合があります。適切なガバナンスが導入されていなければ、これらのアカウントは管理されずに増え続け、セキュリティやコンプライアンスのリスクを引き起こす可能性があります。

3.ボット/RPA：ボットやロボティック プロセス オートメーション（RPA）ツールは、反復的なワークフローを処理するように設計されており、手作業を自動化して効率を向上させます。これにより、ヒューマン エラーがなくなり、生産性が向上しますが、これらのツールのクレデンシャルやアクセスは、不正使用を防止するために慎重に管理する必要があります。

たとえば、従業員のパスワードをリセットするヘルプ デスクのボットは、ITシステムや人事システムへのアクセスを制御する必要があります。一方、ERP（企業資源計画）システムで請求書を処理するRPAスクリプトには、財務データの読み取りと変更の権限が必要です。構造化された監視がなければ、これらの自動化ツールはセキュリティの盲点を生み出し、悪用の主要ターゲットとなる可能性があります。

4.エージェント型AI：エージェント型AIは、マシンIAMの中で新たに登場したカテゴリで、アプリケーションやサービス全体で自律的に動作します。組織がカスタマー サービスやワークフローの自動化などのタスクにAIを活用したシステムを導入する際、そのアイデンティティとアクセスに対するガバナンスが重要になります。静的なスクリプトとは異なり、AIを活用したこれらのシステムは、複数のアプリケーションやサービスと継続的にやり取りを行うため、厳格なアクセス制御が求められます。

たとえば、カスタマー サービスのAIアシスタントは、異なるプラットフォーム上にある注文詳細の取得、返金処理、CRMレコードの更新を行うことがあります。これらのAIエージェントは広範なアクセス権限を持っていることが多いため、意図しない行動やセキュリティ侵害を防止するために、認証済みのデータやサービスのみとやり取りするように、そのアクセス権を統制することが極めて重要になります。

マシン IDは、デジタル環境、オンプレミス、そしてクラウドにおいてますます重要な役割を果たしており、自動化、API、サービス アカウント、ボットなどの重要なテクノロジーを可能にしています。自動化から生まれるビジネス価値は明白であり、大きなものとなります。これには、単純化、コスト削減、効率化などが含まれます。

ある意味で、マシン IDがもたらす成功こそが、日々マシン IDが増加している理由になります。マシン IDは、セキュリティが確保されていれば、企業にとって有益となります。

急増するマシン IDとセキュリティ侵害

効果的なアイデンティティ セキュリティ プログラムを実行するためには、組織は人間のアイデンティティ（ID）だけでなく、あらゆるIDを一元的に管理する必要があります。マシン IDのソリューションには、アイデンティティ アクセス管理（IAM）ソリューションと共通した機能が多くあるため、人間のアカウントと人ではないアカウントの両方を管理できる単一のソリューションを使用することで、ITの効率性と有効性を大幅に向上させることが可能になります。

現在、多くの組織では、デジタル リソースにアクセスする人間のIDよりもマシン ID（特にデバイスやワークロード）の方が多くなっています。もちろん、マシン ID自体は新しいものではありませんが、その数はこれまで以上に急速に増加しています。こうしたマシン IDの管理とセキュリティ対策を適切に行っていないのであれば、サイバー脅威やコンプライアンス違反のリスクにさらされていることになります。

マシン IDのセキュリティを確保することは困難な問題であり、また重要な問題でもあります。

• アイデンティティ専門家の72%が、マシン IDの管理は人間のIDよりも難しいと回答¹
• 組織の66%が、マシン IDは人間のIDよりも多くの手作業が必要と回答²
• マシン アカウントの75%には指定された所有者が存在しない³

そして、実に83%の企業が過去1年間に少なくとも1回はマシン アカウントの乗っ取りを経験したと報告しています⁴（統計の詳細については、「2024年クラウド アカウント乗っ取り攻撃の現状レポート （英語）」や、SailPointの特別レポート：「マシン アイデンティティの危機：手作業によるプロセスと隠れたリスク」、およびSailPointの2024 Navigateセッションマシン ID セキュリティ：「マシン アカウントのオンボーディング （英語）」をご覧ください。

さらに状況を複雑にしているのが、「マシン ID」という言葉の定義自体が大きな議論の的となっていることです。専門家でさえ、その定義について意見を一致させるのに苦労しています。脅威の状況がますます複雑になる中、対応していくだけでもターミネーター並みの効率性が求められているように感じます。

マシン IDの定義：IGA専門家と議論を始める最も簡単な方法

しかし、心配はいりません。ロボコップのような完全武装になる必要も、トニー・スタークのような未来派芸術家になる必要もありません。適切なツールとその仕組みを理解すれば、普通の人でもマシン IDの問題と、それを保護する方法を習得できます。

今日、マシン IDが重要である理由

マシン IDは、優れたアイデンティティ セキュリティ ソリューションを構築するうえでの二次的な要素ではありません。組織に与える影響の大きさや、急速かつ飛躍的な成長によって、マシン IDは現在、デジタル環境全体のセキュリティを確保する上で基盤となる役割を果たしています。69%の企業では、マシン IDの数が人間のIDの数を上回っており、47%の企業では、ボット/RPA、人ではないアカウント、サービス アカウントを含め、人間のIDの10倍以上であると報告しています⁵。

こうした変化を後押ししているのが、自動化、クラウド コンピューティング、マイクロサービス アーキテクチャの台頭、そして最近では、エージェント型AIの登場です。相互に関連するこれらのトレンドによって、大規模なアプリケーションをより小さく、独立して展開できるサービスに分割することで、より高いスケーラビリティ、より強固なセキュリティ、そしてより迅速なイノベーションが可能になっています。

これらは、現代のIT環境と進化し続けるデジタル エコシステムで以下を実現する上で、重要な目標となっています。

これらは、現代のIT環境と進化し続けるデジタル エコシステムで以下を実現する上で、重要な目標となっています。

• スケーラビリティ：パフォーマンスを損なうことなく、増加するワークロードとユーザー数に対応する
• セキュリティ：不正アクセスと情報漏洩に対する保護を確保する
• イノベーション：問題解決に向けた新たな機能、機能性、またはアプローチを開発する

この3つ組み合わせこそが、ビジネスを成功させるための方程式になります。

リスクを軽減するには、マシン IDの管理を責任を持って行う必要があります。マシン IDの管理には多くの課題があり、それらは非常に深刻です。ID専門家によると、内部プロセスの不備、手作業のワークフロー、所有権の欠如、適切なツールの不足が、マシン IDの管理における主な課題として挙げられています。

マシン IDは、その目的が達成された後も長期間残ることあります。中には、日々の処理を可能にするために、常駐するように設計されているものもあります。

マシン IDは通常、人間のアイデンティティよりも管理に多くの手作業ステップが必要で、これが人件費の増加だけでなく、重大なリスクも引き起こします。マシン IDを削除すると重要なものが壊れてしまうという懸念から、多くの組織はこれらをそのまま放置してします。これにより、不要で非アクティブなIDがシステムに負担をかけ、悪用されて不正アクセスが生じ、コンプライアンス違反につながる脆弱性が生じる可能性があります。

ここでゼロ トラストの原則が重要になります。ゼロ トラストでは、人間であれマシンであれ、いかなるエンティティも自動的に信頼すべきではないと仮定します。その代わり、すべてのアクセス要求が検証され、継続的に監視され、最小権限の原則に基づいて実行されます。

マシン IDにゼロ トラストを適用しない場合、組織はマシン アカウントに過剰な権限を与えたまま、管理も行わず、悪用されるリスクにさらすことになります。実際に、サービス アカウントのクレデンシャルが漏洩したことによる影響は、毎晩ニュースの見出しで頻繁に取り上げられています。

事例：SolarWinds

SolarWinds社のOrion製品は、約33,000人の公共および民間セクターの顧客が使用しており、数か月間検知されることなく続いた秘密で持続的な攻撃の標的となりました。攻撃者は侵害したサービス アカウントを悪用して、重要なネットワークでラテラル ムーブメントを実行し、リソースにアクセスしました。

攻撃者は、高レベルの特権を持つサービス アカウントを標的にし、それによって重要なシステムとデータへのアクセスを可能にしました。この攻撃は、世界がこれまでに経験した中で最大かつ最も高度な攻撃として広く認識されています。

自社の組織を振り返り、以下の質問について考えてみてください。現在、急速に増加するマシン IDによって生じる課題を対応するにあたり、どの程度準備ができていますか？

1. 組織では、マシン IDのライフサイクル管理を誰が担当していますか？

2. 現在、自分が管理しているマシン アカウントの数を把握していますか？

3. 組織には、すべてのマシン IDに対する源泉情報やリストがありますか？

4. 組織では、どのような種類のマシン IDを管理していますか（サービス アカウント、ボット、API、ワークロードなど）？

5. 組織には、マシン IDを確認する監査要件はありますか？

6. マシン IDを終了または廃止する際のプロセスはどのようになっていますか？

SailPointによるサポートの内容

Sailpoint Machine Identity Securityは、組織が人ではない存在のすべての対して、リスクベースのIDアクセスおよびライフサイクル管理戦略を実行することを可能にし、人間のIDの管理と同様にシームレスなマシン アカウントの管理を実現します。人間のIDとマシン IDのセキュリティを単一のプラットフォーム上で確保することで、組織はセキュリティ上の盲点の排除、一貫したガバナンス ポリシーの適用、IDリスクに関して一体化されたビューの取得が可能になります。この統合により、複雑性の軽減、コンプライアンスの強化、そして、人間であれマシンであれ、すべてのIDが同じ厳格なセキュリティおよびアクセス制御に準拠していることが保証されます。

Sailpoint Atlasを基盤とし、Identity Security Cloudを搭載したSailpoint Machine Identity Securityは、マシン IDの制御を包括的に行い、完全に統合されたアイデンティティ セキュリティ ソリューションでセキュリティ対策とオペレーション効率を向上させます。

Sailpoint Machine Identity Securityは、既存のビジネス プロセスと統合し、マシン アカウントのライフサイクルを管理・統制します。検出機能と分類機能により、あらゆる接続ソースからマシン アカウントを積極的に検出して包括的な可視性を提供します。

所有権の割り当てにより、マシン アカウントに人間の所有者を指定することができ、説明責任を確保できます。また、管理者の手作業を軽減するために、マシン IDを割り当てることで、マシン アカウントをアプリケーションやサービスごとに整理し、影響を明確にすることで、必要に応じてアクセスを認証または無効化することが容易になります。

現在、組織の69%が人間のIDよりもマシンのIDの方が多いという状況の中、SailPointの最新調査レポート「マシン アイデンティティの危機：手作業によるプロセスと隠れたリスク」では、アイデンティティ管理の状況に大きな変化が起こっていることを明らかにし、企業の環境におけるマシン IDの普及と複雑性の高まりを詳しく説明しています。

このレポートでは、以下のような重要トピックに関する洞察を明らかにしています。

• 管理上の課題：ID専門家の72%が、内部プロセスの不備やアイデンティティ管理ツールの不足により、マシン IDの管理がより困難になっていると感じています。
• 手作業の負担増加：回答者の66%が、マシン IDの管理には、人間のID管理よりも多くの手作業が必要であると回答しています。
• 監査の複雑性：企業の59%が、マシン IDを監査する際に大きな困難に直面しており、その主な原因は明確な所有権の欠如と可視性不足だと回答しています。
• セキュリティ上の懸念の高まり：ID専門家の60%が、マシン IDは人間のIDよりも高いセキュリティ リスクをもたらすと認識しています。

最新のID管理における複雑な状況を効果的に乗り切るための知識を身につけましょう。包括的な洞察と戦略的なレコメンデーションを含む完全版レポートは、こちらからご覧いただけます。

SailPoint Machine Identity Securityを導入すると、組織のセキュリティ対策とオペレーション効率が向上します。

1. SailpointおよびDimensional Researchによる、「マシン アイデンティティの危機：手作業によるプロセスと隠れたリスク」、2024年8月。
2. 同上。
3. 同上。
4. Abnormal Securityによる「2024 State of Cloud Account Takeover Attacks Report」（2024年クラウド アカウント乗っ取り攻撃の現状レポート）およびSailPointによる「2024 Failing to Govern Machine Identities Global Survey」（2024年マシン IDのガバナンス不備に関するグローバル調査）。
5. SailPointによる「マシン アイデンティティの危機：手作業によるプロセスと隠れたリスク」、2024年8月。
6. Gartnerによる「Quick Answer: What Is the Difference Between Machine IAM and Nonhuman Identity?」（クイック アンサー：マシンのIAMと人ではないIDの違いとは？）、Michael Kelley氏、Felix Gaehtgens氏、Erik Wahlstrom氏、Steve Wessels氏、2025年2月17日。Gartnerは、米国および米国外のGartner, Inc.および/またはその関連会社の登録商標およびサービスマークで、許可を得て使用されています。無断転載を禁じます。