サービスアカウント、APIキー、マネージドID、そしてAIエージェント——企業のシステムには今、人間のユーザーをはるかに超える数の「非人間ID(Non-Human Identities / NHI)」が存在している。SANS Instituteが2026年に実施した「State of Identity Threats & Defenses」調査によれば、こうしたNHIがサイバー攻撃者の主要ターゲットになりつつあることが改めて浮き彫りになった。

NHIとは何か、なぜ今問題なのか

NHIとは、人間ではなくシステムやアプリケーション、自動化スクリプト、AIエージェントが使用するIDのことだ。具体的には以下が該当する。

  • サービスプリンシパル(Azure AD / Entra IDに登録されたアプリID)
  • マネージドID(Azure VMやFunctionsに付与されるID)
  • サービスアカウント(Active Directoryの従来型)
  • APIキー・OAuthトークン
  • CI/CDパイプラインのシークレット
  • AIエージェントに付与された権限

問題の核心は「数の爆発」と「管理の放置」が同時進行していることだ。デジタル化・自動化の加速で、エンタープライズ環境のNHI数は人間アカウントの数十倍に達していることも珍しくない。しかし人間のアカウントと違い、NHIには多要素認証(MFA)が使えず、パスワードローテーションは手作業で後回しにされがちで、誰が何の目的で作ったかすら不明になっているケースも多い。

攻撃者はどう悪用するのか

攻撃者が好むのは「不正侵入」よりも「正規ログイン」だ。漏洩したAPIキーや長期有効なサービスアカウントのクレデンシャルを入手すれば、侵入検知をすり抜けながら長期間にわたって環境内を横移動できる。NHIは往々にして過剰な権限(必要以上のロール割り当て)を持ち、アクセスログの監視も甘いため、侵害されても発見が遅れやすい。

さらにAIエージェントの台頭が新たなリスクを生んでいる。自律的にAPIを呼び出し、データにアクセスし、外部サービスと連携するAIエージェントは、正しく管理されなければ攻撃者にとって「特権を持つ踏み台」になりうる。エージェントに付与した権限の棚卸しは、多くの組織でまだ手つかずだ。

実務での対策ポイント

1. 棚卸しから始める

まず自社のNHIを把握せずして対策はできない。Entra IDの「エンタープライズアプリケーション」と「アプリ登録」の一覧、Active Directoryのサービスアカウント、各クラウドサービスのAPIキー発行履歴を洗い出し、「誰が・何のために・いつ作ったか」を記録する。

2. 最小権限の徹底

既存のNHIが必要以上のロールを持っていないか確認する。Azure環境であればMicrosoft Entra ID Governanceのアクセスレビュー機能を活用し、定期的に権限を見直す仕組みを作ることが重要だ。

3. Just-In-Time(JIT)アクセスの導入

常時アクセス権を付与するのではなく、必要なときだけ一時的に権限を昇格させるJITモデルへの移行を検討する。Microsoft Entra Privileged Identity Management(PIM)はNHIにも対応範囲が広がっており、サービスプリンシパルへの適用も進めるべきだ。

4. シークレットの自動ローテーション

APIキーやクライアントシークレットの有効期限を短く設定し、Azure Key VaultやGitHub Actionsのシークレット管理機能を使った自動ローテーションを実装する。「手動でやるから後回し」が最大の脆弱性になる。

5. 異常検知の設定

NHIの通常の行動パターンを把握し、異常なAPIコール・深夜アクセス・普段と異なるリソースへのアクセスをMicrosoft Sentinel等でアラートする。

日本のIT現場への影響

日本の大手エンタープライズ環境では、オンプレミスのActive Directoryにサービスアカウントが山のように積み重なっている光景がいまだに珍しくない。クラウド移行の文脈でNHI管理のモダン化を後回しにした結果、ハイブリッド環境の「悪魔合体」状態が生まれ、攻撃サーフェスが見えにくくなっている。特にCI/CDパイプラインの普及で、GitHubリポジトリやAzure DevOpsに長期有効なシークレットが埋め込まれたままのケースは要注意だ。

筆者の見解

NHIの重要性は、単なるセキュリティリスクの話ではないと筆者は考えている。これは業務自動化の根幹に関わる問題だ。

ボトルネックは常に「人間」にある。承認フローが人間依存である限り、どれだけAIや自動化ツールを導入しても処理速度には限界がある。NHIをきちんと管理し、サービスプリンシパルやマネージドIDに適切な権限を与えて自律的に動かせる環境を作ることが、真の業務効率化の前提条件になる。NHI管理ができない組織は、自動化も進まない。

一方でセキュリティの観点から言えば、「今動いているから大丈夫」という発想は通用しない。10年前に作ったサービスアカウントが今もフルアクセス権限で生きていることは珍しくなく、それが侵害の入り口になる。ゼロトラストの文脈では、NHIも人間アカウントと同じレベルの「検証・最小権限・継続監視」が求められる。

AIエージェントに権限を与えてビジネスプロセスを動かすことへの期待は今後さらに高まる。だからこそ、今のうちにNHI管理の基盤を整えておくことが、次の自動化フェーズへの最短経路になる。「セキュリティ対策」ではなく「自動化投資」として取り組む視点が、組織の動き方を変えるはずだ。

出典: この記事は Non‑Human Identities Are Becoming a Prime Target in Identity Attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。