Security
10 min read
947 views

Machine Identity Bankruptcy: The Identity Crisis No One Is Talking About

IT
InstaTunnel Team
Published by our engineering team
Machine Identity Bankruptcy: The Identity Crisis No One Is Talking About

2026年のデジタル環境では、静かな革命が限界に達しています。数十年にわたり、サイバーセキュリティは人間中心の分野でした。私たちは多要素認証(MFA)、パスワードの複雑さ、ユーザー行動にこだわってきました。しかし、正面玄関を見ている間に、静かにボットやサービスアカウント、AIエージェントの軍隊が通気口から侵入してきました。

現在の統計は驚くべきものです。Entro SecurityのNHI & Secrets Risk Reportによると、非人間のアイデンティティは現在、人間の従業員数を144対1の比率で上回っており、2024年上半期の92:1から56%増加しています。ManageEngineのIdentity Security Outlook 2026によると、調査対象の組織のほぼ半数が機械対人の比率を100:1以上と報告しており、一部の業界では500:1に達しています。

この爆発的増加は、「アイデンティティ破産」と呼ばれる状態を引き起こしています。これは、組織のアイデンティティの拡散があまりにも複雑になりすぎて、監査、管理、セキュリティが数学的・運用的に不可能となる閾値です。この記事では、危機の仕組み、「緩いIAM」の危険性、そしてなぜあなたの機械アカウントが横移動の主要ターゲットになっているのかを探ります。

大逆転:なぜ機械が数字のゲームに勝ったのか

アイデンティティ破産を理解するには、まずどのようにしてここに至ったのかを理解する必要があります。2020年の平均的な機械対人比率は約5:1でした。2024年上半期には92:1に上昇し、Entro Securityの2025年中間データでは144:1に達しています。この44%の年次成長は、主に三つの要因によります。

マイクロサービスの爆発。 かつては単一のモノリシックアプリケーションに一つのアイデンティティがありましたが、今や数十のマイクロサービスに分割され、それぞれがデータベースやキャッシュ、他のサービスと通信するために独自のワークロードアイデンティティを必要としています。1つのデプロイパイプラインが20分で作成する機械アイデンティティは、企業全体の人間ユーザー数を超えることもあります。

エージェントAIの台頭。 AIを単に使うだけでなく、AIエージェントを展開しています。これらのエージェントは自律的にタスクを実行します:旅行の予約、クラウドインフラの管理、コードのトリアージ、Salesforceからの顧客記録の取得、リポジトリへのコミットなどです。Microsoft CopilotはあなたのSharePointにアクセスし、GitHub Copilotはリポジトリにコミットします。各エージェントには権限セット(トークンやAPIキー)が必要で、これがデジタルIDとして機能します。CyberArkの2025年アイデンティティセキュリティランドスケープレポートによると、AI専用のアイデンティティセキュリティコントロールを欠く組織は68%に上り、2025年には特権や敏感なアクセスを持つ新しいアイデンティティの創出を牽引すると予測されています。

エフェメラルインフラ。 クラウドネイティブの世界では、サーバーは数か月ではなく数分しか持ちません。オートスケーリング中にKubernetesのポッドが起動するたびに新しいアイデンティティが生まれます。GitHub Actionsのワークフローはトークンを生成し、Terraformの実行はサービスプリンシパルをプロビジョニングします。

機械アイデンティティの構造

人間のユーザーと異なり、機械アイデンティティ(非人間アイデンティティ、NHIと呼ばれる)は顔や物理的な場所、規則的な9時から5時のスケジュールを持ちません。これらは以下で構成されます:

  • シークレット: APIキー、OAuthトークン、SSHキー
  • 証明書: TLS/SSL証明書(暗号化通信に使用)
  • サービスプリンシパル: AWS S3やAzure Key Vaultなどのリソースにアクセスするためのクラウドネイティブアイデンティティ

これらのアイデンティティは、明示的に取り消されない限り永続します。従業員と異なり、自然なライフサイクルトリガーはありません—辞職、退職、HRによるオフボーディングのプロセスもありません。Entroの調査によると、ほぼ半数のNHIは1年以上経過しており、7.5%は5年から10年前のものです。千に一つのNHIは10年以上経っており、しばしばそれを作った開発者よりも長く存続しています。

「アイデンティティ破産」の定義

アイデンティティ破産は、セキュリティチームにとっての帰路のないポイントです。これは、アイデンティティの数とその権限の複雑さが、組織の検証能力を超えたときに発生します。

この閾値に達したとき:

監査性が失われる。 「誰が私たちの顧客データベースにアクセスしているか?」と尋ねると、数百の人間ユーザーと数万のサービスアカウントのリストが返ってきます。人間は監査できますが、ボットは手動で監査できません。

可視性が断片化。 アイデンティティはAWS、Azure、GitHub、Salesforce、内部のKubernetesクラスターなどのサイロに存在し、真実の唯一の情報源はありません。ManageEngineの2026年レポートによると、回答者の70%がアイデンティティのサイロが組織のサイバーリスクの根本原因だと述べています。

ガバナンスの回避。 開発者はコードを急いで出荷するため、「一時的な」管理者権限のサービスアカウントを作成し、削除しません。Vezaの調査では、企業データセット全体で2,300億以上の権限が測定されており、これが永続的な盲点を生んでいます。安全・準拠と分類された権限は2024年の70%から2025年には55%に低下し、管理されていない権限は5%から28%に増加しています。

特権の集中。 Entroのデータによると、機械アイデンティティのわずか0.01%—約2,188アカウント—が80%のクラウドリソースを管理しています。これらのアカウントの一つが侵害されると、攻撃者は環境全体を掌握します。

「非人間のアイデンティティが人間を何倍も超えると、従来のガバナンス手法は崩壊します。組織はこれらのアイデンティティを管理・保護する方法を根本的に見直す必要があります。」 — Ramanathan Kannabiran, ManageEngine 製品管理ディレクター

「緩いIAM」の罠:攻撃者の遊び場

この危機の最も危険な副産物はLenient IAM—セキュリティを犠牲にして稼働時間を優先するアイデンティティとアクセス管理の実践です。

機械はファイルにアクセスできないと文句を言いません。代わりに、デプロイパイプライン全体が停止します。多くの組織は「権限拒否」エラーを避けるために過剰な権限付与をデフォルトにしています。Entro Securityの2025年State of Non-Human Identitiesレポートによると、97%のNHIが過剰な権限を持っていると報告されており、これはほぼすべてのベースラインが破綻していることを示しています。

人間と機械のアイデンティティの扱いの違いは明白です:

特徴 人間のアイデンティティ 機械のアイデンティティ(NHI)
権限の種類 制限(最小権限) 広範囲(しばしば「所有者」や「管理者」)
認証 MFA / 生体認証 静的シークレット / トークン
ライフサイクル HRによるオンボーディング/オフボーディング スクリプトによる作成 / 孤立状態
監視 高(UEBA / 行動追跡) 低(ログで無視されがち)
ローテーション 定期的なパスワードリセット 71%が推奨時間内にローテーションされていない

攻撃者は、MFAで保護された人間ユーザーの侵害は難しいと気づいています。しかし、サービスアカウントは金鉱です—常時稼働し、過剰な権限を持ち、ほとんど監視されません。

シークレット露出の規模

問題は、機械アイデンティティが存在するだけではなく、その資格情報が大量に誤用されていることにあります。

Entroの2025年調査によると、すべてのトークンの44%が実際に公開されており、Microsoft Teams、Jiraチケット、Confluenceページ、コードコミットなどを通じて流通しています。ソースコードは依然として露出したシークレットの最大の原因(57%)ですが、コードリポジトリ外でも露出が増加しています:CI/CDワークフローから26%、コラボレーションやメッセージングツールから14%です。

2025年3月の人気のtj-actions GitHub Actionの侵害はこれを完璧に示しています。攻撃者は盗まれた個人アクセストークンを使い、秘密情報を静かに抽出する悪意のあるコードを注入し、23,000以上のリポジトリのCI/CDログから秘密を抜き取ったのです。根本原因は管理されていない、監視されていない機械アイデンティティでした。

80%以上の組織が、侵害された機械アイデンティティに起因するサイバーインシデントを経験しています。しかし、その教訓は十分に迅速に適用されていません。

横移動のキルチェーン

2026年には、攻撃のキルチェーンは根本的に変化しています。攻撃者はCEOをフィッシングする必要はなくなり、代わりに開発者をターゲットにしてCI/CDパイプラインやコードリポジトリにアクセスします。侵入後、彼らは機械の秘密を探します。

ステージ1:秘密の発見。 自動ツールがコード内のハードコーディングされたAPIキーや環境変数、誤設定された秘密ストアをスキャンします。すべての秘密の62%が複数の場所に重複して保存されているため、攻撃者は複数の機会を得て見つけ出します。

ステージ2:ボットの乗っ取り。 攻撃者は「ロギング」に使われるサービスアカウントを見つけます。Lenient IAMのため、このロギングアカウントは敏感な顧客データを含むS3バケットの読み取りアクセスも持っており、これは特権のクループの典型例です。誰も気づきませんでした。

ステージ3:横移動。 乗っ取った機械アイデンティティを使い、ネットワーク内を横断します。機械間のトラフィックは、人間のトラフィックと同じ厳格さで異常行動を監視されることはほとんどなく、情報漏洩や権限のエスカレーションが最小限のリスクで行われます。

実際の被害は数億ポンド単位で測定されています。2025年のJaguar Land RoverとMarks & Spencerの侵害は、パートナーシステム内の侵害された非人間アイデンティティ—サービスアカウント、APIキー、サードパーティアクセストークン—から直接発生しました。これらは適切に管理・ローテーション・監視されていませんでした。JLRの事件は、4週間以上の全世界的な生産停止を引き起こしました。

OWASPも注目しています。2025年のTop 10 Non-Human Identity Risksでは、不適切なオフボーディングが最も重要なリスクとしてランク付けされています—これは、サービスが廃止されたり統合が終了したときに機械アイデンティティを適切に解除する体系的なプロセスがないことを反映しています。

人間中心のセキュリティを超えて:2026年のフレームワーク

あなたのアイデンティティの大部分が機械である場合、セキュリティ戦略もそれに合わせる必要があります。”ユーザーファースト”の考え方を超え、Machine Identity Management (MIM)をセキュリティプログラムの中核に据えるべきです。

1. Zero Standing Privileges (ZSP) への移行

静的APIキーは機械の世界のパスワードです。これらは廃止すべきです。先進的な組織はJust-in-Time (JIT) 機械アイデンティティに移行しています—ボットには正確に60秒有効なトークンが付与され、その後自動的に期限切れになります。これにより、常時稼働し盗まれ再利用される資格情報の概念が排除されます。

2. 機械行動分析

UEBAシステムが人間のユーザーが海外から突然ログインした場合にフラグを立てるのと同様に、機械アイデンティティがこれまで使ったことのないAPIを呼び出し始めたときも追跡すべきです。例えば、プリンティングサービスがデータベース削除権限を要求し始めたら、そのアイデンティティを即座に隔離すべきです。CyberArkの2025年ランドスケープレポートは、AIを活用した異常検知がNHIの管理において重要な差別化要素になっていることを確認しています。

3. 徹底的なライフサイクル管理

OWASPの最上位リスク—不適切なオフボーディング—は完全に防止可能です。すべての機械アイデンティティには人間の所有者を割り当てる必要があります。その所有者が離れたら、アイデンティティはレビュー対象となります。自動ツールは孤立したアカウントを特定し隔離するために継続的にスキャンを行うべきです。特に管理者やワイルドカード(*)権限を持つアカウントに重点を置きます。

4. アイデンティティインベントリの自動化

見えないものは守れません。アイデンティティ破産からの回復は、以下の3段階の自動インベントリから始まります:

  • 発見: すべてのクラウドとオンプレミス環境でNHIをスキャンし、公式外で作成されたシャドウアイデンティティも含めて検出します。
  • 分類: 各アイデンティティの役割、アクセス範囲、所有者を特定します。
  • クリーンアップ: 孤立したアイデンティティを削除し、ローテーションポリシーを強制します。現在71%のNHIは推奨時間内にローテーションされておらず、この数字をほぼゼロに近づける必要があります。

5. シークレットの左シフト — しかし中途半端にしない

すべての露出したシークレットの43%はソースコード外に現れています。シークレットスキャンをCI/CDパイプラインに統合することは基本ですが、コラボレーションツールやメッセージングプラットフォーム、開発者が情報を共有する場所すべてに拡大すべきです。Jiraチケット、Slackメッセージ、SharePointドキュメントも資格情報を漏らしています。

あなたの組織はすでに破産しているのか?

次の指標を確認して、リスクレベルを評価してください:

  • [ ] サービスアカウントの数は従業員数を超えていますか?
  • [ ] APIキーのうち10%以上が永続的(有効期限なし)ですか?
  • [ ] クラウド内のすべてのサービスプリンシパルの所有者を特定できますか?
  • [ ] シークレットスキャンを開発パイプラインとコラボレーションツールに統合していますか?
  • [ ] 機械間トラフィックもセキュリティ監視と異常検知に含めていますか?
  • [ ] プロジェクト終了や開発者退職時の機械アイデンティティの正式な解除プロセスはありますか?

これらのリスク指標のうち3つ以上に「はい」と答えた場合、あなたの組織はアイデンティティ破産の状態にある可能性があります。

結論

数値はもはや抽象的ではありません。機械アイデンティティは、5年前には非常識とされた比率で人間の従業員を超えています。平均的な企業のほぼすべてのNHIが過剰な権限を持ち、一部のアカウントがクラウドリソースの大部分を管理しています。9桁のコストがかかる実際の侵害は、管理されていないサービスアカウントや期限切れの資格情報に直接起因しています。

現代の企業において最も弱いリンクは、クリックするフィッシングリンクを送る従業員ではなく、忘れられたサービスアカウント、ハードコーディングされたAPIキー、期限付きで管理者アクセスを付与されたAIエージェント、そして静かにアクセスを蓄積してきた孤立トークンです。

2026年以降のアイデンティティ危機を乗り越えるには、組織は人間と同じかそれ以上の厳格さで機械アイデンティティを扱う必要があります。王国の鍵はもはや人々が握っているのではなく、何千行ものコードや自動化パイプラインに散らばっています。取り戻す時です。

出典:CyberArk 2025 Identity Security Landscape; Entro Security NHI & Secrets Risk Report H1 2025; ManageEngine Identity Security Outlook 2026; Veza Permissions Report 2025; CSO Online; OWASP Non-Human Identity Top 10 (2025).

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.Use-case playbooksBrowse practical workflows for webhooks, OAuth callbacks, MCP tunnels, and demo links.

Related Topics

#machine identity bankruptcy, machine identities, bot identity sprawl, service account sprawl, AI agent identities, non-human identities, NHI security, identity sprawl 2026, 82 to 1 identity ratio, IAM for machines, lenient IAM, overprivileged service accounts, cloud service accounts risk, API keys sprawl, token sprawl, secrets management failure, lateral movement via service accounts, cloud lateral movement, identity-based attacks, identity governance failure, identity audit failure, permission creep, privilege creep, over-permissioned bots, machine identity risk, workload identity security, Kubernetes service accounts risk, cloud IAM misconfiguration, AWS IAM service roles abuse, Azure managed identity abuse, GCP service account abuse, OAuth app overprivilege, SaaS bot identities, automation account abuse, CI/CD service account compromise, pipeline identity attack, machine-to-machine auth risk, identity supply chain attack, identity attack surface, zero trust identity for machines, identity lifecycle management, deprovisioning failure, orphaned accounts, shadow identities, identity visibility gap, IAM blind spots, security debt IAM, cloud identity security posture, identity governance and administration, IGA for machines, PAM for service accounts, secrets rotation failure, API token compromise, breach via machine identity, attackers target bots, human vs machine identity security, identity-centric security, breach path via service account, compliance identity gaps, SOC focus on users, bot accounts keys to kingdom, machine identity threat model, enterprise identity risk, identity sprawl crisis, secure machine identities, least privilege for bots, workload identity federation, identity hygiene, identity inventory, identity observability

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles