𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

非人間アイデンティティ：静かな攻撃対象領域

従業員数は把握しているでしょう。しかし、非人間アイデンティティの数は把握していないかもしれません。

多くの企業は「人」の保護に注力しています。SSOやMFAを使用して人間のユーザーを保護しています。これは効果的であり、人間のアカウントをハッキングすることは以前よりも困難になっています。

人間を保護している一方で、マシンアイデンティティは増え続けています。サービスプリンシパル、ワークロードアイデンティティ、AIロールの数は、今や人間の数の10倍から50倍に達しています。

これらのアイデンティティは、人事システムには表示されません。組織図にも現れません。しかし、クラウド内では最高レベルのアクセス権限を持っていることが多々あります。

高リスクな領域には以下が含まれます： • SlackやSalesforceへの広範なアクセス権を持つOAuthアプリ • サービスプリンシパルおよびマネージドアイデンティティ • CI/CDパイプラインのアイデンティティ • AIサービスロール

攻撃者は容易な経路を探します。人間のアカウントが保護されているため、彼らはマシンを標的にします。マシンには主に3つの問題があります： • 特権の肥大化（Privilege Creep）：必要なくなった後も、権限が有効なまま残ってしまう。 • 可視性の欠如：アクティブなサービスロールやOAuthの許可リストが存在しない。 • 長寿命の認証情報：静的なキーが永続的なバックドアを生み出す。

マシンアイデンティティを優先事項として扱う必要があります。

これらを保護するために、以下のステップに従ってください： • Workload Identity Federationを使用する。静的なキーを、OIDCを介した短寿命のトークンに置き換える。 • 常に監視する。AWS IAM Access Analyzerなどのツールを使用して、異常な動作を検知する。 • 最小権限を自動化する。未使用の権限を自動的に削除する。 • AIアイデンティティを統制する。最初からすべてのAIサービスロールをインベントリ化しておく。

セキュリティの焦点は、ネットワークからエンドポイント、そして人間へと移ってきました。次のステージは、非人間アイデンティティです。

AIエージェントの時代において、攻撃者は従業員をハッキングする必要はありません。たった一つのトークンさえあればよいのです。

アイデンティティこそが、新たな境界です。そして多くの場合、そのアイデンティティは人間ではありません。

出典: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

オプションの学習コミュニティ: https://t.me/GyaanSetuAi