非人間アイデンティティ(NHI)は、APIキー、サービスアカウント、トークン、証明書、AIエージェント資格情報など「機械が使う認証情報」を指す。クラウドと自動化が加速するほどNHIは増殖し、管理の薄い経路が最大の侵害起点になりやすい。2025年3月12日に公表されたSysdigのレポートでは、機械IDは人間IDの4万倍に達し、かつ機械IDは人間IDより7.5倍リスクが高いとされる。さらに、同レポートは資格情報の悪用が多くの侵害の起点になることを示している。NHIを「人のIAMの延長」として扱う限り、攻撃面は拡大し続ける。

NHIが攻撃面の中心に移った理由

NHIは24時間稼働し、権限が過剰になりやすい一方で、退役や棚卸しが徹底されない。CI/CDやIaCで大量発行されるため、短期間で増殖し、可視化が追い付かない。結果として、漏えいした1つのキーやサービスアカウントから横展開が起きやすい。特にクラウド、SaaS、API、AIエージェントはNHI依存度が高く、ここが新たな「最大の侵害経路」になっている。

OWASP NHI Top 10が示す運用弱点

OWASPの「Non-Human Identities Top 10(2025)」は、NHIに固有の主要リスクを体系化している。代表例として、不適切なオフボーディング(NHI1)、シークレット漏えい(NHI2)、長寿命シークレット(NHI7)、NHIの再利用(NHI9)が挙げられる。これらはすべて「運用の弱点」に起因する。CISOは「検知」より先に、発行・配布・保管・更新・廃棄のライフサイクル統制を設計しなければならない。

PCI DSS 4.0/4.0.1の要点とNHI管理

PCI SSCは2022年3月31日にPCI DSS v4.0を公開し、認証・アクセス管理の強化を盛り込んだ。特に要件8では、カード会員データ環境へのアクセスに対するMFAの拡張が示されている。v3.2.1は2024年3月31日に退役するため、支払データに関わる組織はv4.0準拠へ移行済みであることが前提となる。さらにPCI SSCは2024年6月11日にv4.0.1を公開し、要件の明確化を行った。これらは人間IDだけでなくNHIにも「最小権限」「短命化」「継続的検証」を適用する必要があることを示唆している。

CISO向け導入ロードマップ(90日・180日・12か月)

0-90日:NHIの棚卸し(クラウドIAM、CI/CD、SaaS、API、AIエージェント)と、秘密情報の保管場所の特定。最重要NHIに対し権限レビューと失効ルールを定義する。

90-180日:シークレットの短命化と自動ローテーションを標準化。NHI発行ポリシー(用途限定、環境分離、最小権限)を整備し、人間によるNHI利用を禁止する。

180日-12か月:静的キーをOIDCやワークロードIDに置換し、監査ログと異常検知を統合する。NHIの継続的検証(期限、権限、用途、環境)を自動化し、予防型防御へ移行する。

経営向けKPI設計

NHI対策は成果が見えにくいため、経営には定量指標で説明する。例として「短命資格情報の比率」「過剰権限NHIの削減率」「退役NHIの無効化までの平均時間」「シークレット漏えい検知から無効化までの時間」を用いる。これにより、投資の妥当性を説明しやすくなる。

FAQ

非人間アイデンティティ(NHI)とは何か?

APIキー、サービスアカウント、証明書、トークン、AIエージェント資格情報など、機械やソフトウェアが使用する認証情報の総称である。

なぜNHIは人間IDより危険なのか?

24時間稼働し、権限が広く設定されやすく、棚卸しや廃棄が不十分になりがちなためである。

OWASP NHI Top 10は何を示しているのか?

NHI特有の主要リスクを体系化したもので、オフボーディング不備やシークレット漏えいなど運用弱点を示している。

PCI DSS 4.0/4.0.1はNHI管理にどう影響するのか?

認証とアクセス管理の強化が求められ、NHIにも最小権限や短命化、継続的検証を適用する設計が必要になる。

最初に着手すべきことは?

NHIの棚卸しと、秘密情報の保管場所の特定である。短命化とローテーションの準備はこの段階で始める。

参考文献