NECは7月16日、メディア・ITアナリストに向けて「サイバーセキュリティ勉強会」を開催した。NEC サイバーセキュリティ技術統括部 リスクハンティンググループの中島春香氏が、「非ヒューマンアイデンティティ(NHI:Non-Human Identities)」の概要やセキュリティリスク、企業に求められる管理方法を説明した。
「機械同士の合鍵」NHIとは? 人のIDとは何が違うのか
NHIとは、人ではなくソフトウェアやシステムに与えられるID(アイデンティティ)を指す。サービス同士が連携したり、クラウド上のリソースへアクセスしたりする際に利用される。
代表例には、複数システムをバックエンドで接続する「サービスアカウント」、自動化サービスがクラウド上のリソースへアクセスするための「ロール」、外部事業者が機能追加や処理の実行に使用する「サードパーティーアプリ」などがある。
APIキーやアクセストークンはNHIそのものではなく、NHIが認証に利用する「認証情報(クレデンシャル)」だ。ただし、NHIの侵害はこうした認証情報の漏えいや不適切な管理を起点として発生するため、実際のセキュリティ対策では一体的な管理が必要になるという。
中島氏は、人間のIDを「社員証」、NHIを「機械同士の合鍵」に例えて、セキュリティ対策の重要性を説明した。
「社員証には氏名や顔写真があり、所有者が明確です。入退室記録や多要素認証といった防御策があり、社員の退職時には返却や失効の手続きが行われるほか、人事台帳を通じて、誰がどのIDを持っているかも把握できます。一方で、NHIには持ち主に相当する人間が明確に設定されていない場合があります。多要素認証など、人間を対象とした本人確認の仕組みもそのまま適用できず、退職に相当する明確な失効の契機がないため、システムやサービスが使われなくなった後も、アカウントや認証情報だけが残り続けるケースがあります」(中島氏)
同氏によると、企業内でNHIを一元管理する台帳が整備されていない場合、NHIが「どこに、いくつ、何の目的で存在するか」を把握することは難しいのが実情だという。
MicrosoftやOktaでも発生、放置されたNHIが侵入経路に
中島氏によると、NHIを起点とするセキュリティインシデントは、すでに大手企業でも発生している。
Microsoftでは、テスト環境から侵入した攻撃者が、管理されていなかったレガシーなOAuth連携アプリを悪用。本番環境へ侵入し、機密通信や機密文書の流出につながった。
Oktaが2023年11月に公表した事例では、従業員の個人アカウントが侵害されたことで個人用アカウントに保存していたサービスアカウントの認証情報が流出し、顧客サポート基盤への不正アクセスが発生した。この事例では、134人の顧客に関する情報が漏えいしている。
「Internet Archiveが発表した事例では、サポート基盤にひも付くアクセストークンが長期間更新されないまま放置され、不正アクセスとデータ漏えいにつながったケースも報告されています。人間のパスワードではなく、機械やシステムに利用させるためのID・認証情報が攻撃の起点となった事例です」(中島氏)
中島氏は「開発やシステム連携では利便性が優先され、NHIの管理は後回しになりやすい」と説明した。
代表的なリスクの一つが、APIキーなどのクレデンシャルをソースコードや設定ファイルへ直接書き込む「ハードコード」である。コードが外部へ公開されたり、リポジトリが侵害されたりした場合、認証情報も同時に流出する可能性があるという。
それ以外にも、「システム連携を容易にするため必要以上に広いアクセス権限を与えること」「認証情報を長期間更新せずに使い続けること」「サービス間通信を十分に監視していないため悪用を把握できないこと」についても主要なリスクとして挙げた。
棚卸しから削除まで、NHIもライフサイクル管理が重要
中島氏はNHIの管理に必要な取り組みとして、「棚卸し」「権限の最小化」「ローテーション」「オフボーディング」の4段階を説明した。
最初の棚卸しでは、企業内のどこに、いくつ、何の目的でNHIが存在するかを確認し、台帳を作成する。サービスアカウントやクラウドロール、外部アプリ、APIキーなどを個別に把握するだけでなく、どのシステムや担当部門が利用し、どのデータや機能へアクセスできるかを整理する必要がある。
次の段階では、各NHIへ付与する権限を、業務上必要な範囲に限定する。複数システムを接続するために広い権限を与えるのではなく、実行する処理ごとにアクセス範囲を分けることで、人間がNHIを使って操作する運用も避け、人間には人間用のID、機械には機械用のIDを割り当て、両者を混在させないことも重要だ。
認証情報は、長期間有効な固定鍵を避け、有効期限の短いクレデンシャルを自動発行する仕組みに切り替える。開発・テスト・本番などの環境ごと、サービスごとに固有のIDや認証情報を設定し、一つの環境が侵害されても被害が全体へ広がらない構成とする。
そして最後の段階として、システムの廃止やサービスの停止、連携機能の終了に合わせて、不要になったNHIを確実に無効化・削除する。利用状況を監視し、一定期間使われていないアカウントや鍵を検出することも重要だ。
「人事部門が入社から退職まで社員証や従業員アカウントを管理するように、NHIについても作成から削除までの責任者と手続きを定めることが求められます」(中島氏)
クラウドやAIの活用、システムの自動化が進むほど、企業内で使われるNHIの数は増えていく。
中島氏は最後に、NHIを起点とする侵害を防ぐために、「個別の認証情報を守るだけではなく、全体を把握する台帳、最小権限、鍵の短命化と定期更新、継続的な監視、確実なオフボーディングを組み合わせた管理が必要だ」というメッセージを送った。



