ゴーストサービスアカウント：非人間のアイデンティティ（NHI）が2026年の最大盲点となる理由

2026年のサイバーセキュリティの高リスクな世界では、逆説に直面しています。セキュリティチームは人間向けの多要素認証（MFA）や生体認証ログインに何十億ドルも費やし、膨大な時間をかけてきましたが、その裏口は大きく開いたままです。

従業員のiPhoneやノートパソコンのセキュリティに忙殺されている間に、新たな見えない労働力がインフラを支配しています。これらは非人間のアイデンティティ（NHIs）—サービスアカウント、APIキー、CI/CDトークン、自律型AIエージェントなど、現代のクラウドを動かす存在です。

2026年初頭までに、平均的な企業における非人間と人間のアイデンティティの比率は驚異の144対1に爆発的に増加しています。MFAで保護されている従業員1人につき、「ゴースト」ユーザーがネットワーク内を「God Mode」権限、期限なし、最も危険なことに人間の責任者もいない状態で徘徊しています。

この年、”Ghost Service Account”が企業の侵害の主な経路となるでしょう。なぜNHIsが2026年の最大盲点なのか、そしてゴーストに支配される前にコントロールを取り戻す方法をご紹介します。

1. アイデンティティの大逆転：2026年の数字

長年、アイデンティティとアクセス管理（IAM）は人間中心の分野でした。「誰がログインしているのか？」「本人か？」に焦点を当ててきました。しかし、2024年と2025年のデジタルトランスフォーメーションにより、その風景は一変しました。

2026年のMachine Identity Reportによると、NHIsは前年比44％のペースで増加しています。この成長を促す主な要因は次の通りです：

マイクロサービスの普及： 各サービスは他のサービスと通信するために独自のアイデンティティを必要とします。

SaaSの拡大： 現代の企業は平均300以上のSaaSアプリを利用し、それぞれAPIキーやOAuthトークンで接続されています。

エージェント型AIの台頭： 2026年には、AIはチャットボットだけでなく、積極的に参加する存在になっています。自律エージェントはワークフローをトリガーし、インフラをプロビジョニングし、データをシステム間で移動させるなど、高度な権限を必要とします。

結果として、フォーチュン500の企業は平均で50万以上の非人間アイデンティティを管理しています。これらのアイデンティティは目や親指を持たないため、従来のMFAでは対応できません。彼らは、24時間365日稼働する「静かな」ユーザーです。

2. なぜNHIsは「ゴースト」ユーザーなのか：セキュリティのギャップ

従来のセキュリティツール（EDRや人間中心のIAM）は、人間の行動を検知するよう設計されています。深夜3時のログインや疑わしいタイピングパターンを探します。

NHIsは人間のように振る舞いません。サービスアカウントは深夜3時にアクティブであるべきですし、毎分何千回もリクエストを送る必要があります。彼らの行動は本質的に「非人間的」なので、攻撃者は通常のノイズに隠れてしまいます。

「God Mode」の問題

2025年後半の調査によると、AWSの機械アイデンティティのうち20分の1が完全な管理者権限を持っています。これらは開発者が「クイック修正」のために作成し、その後放置されたものです。サービスアカウントは「過剰権限」を不満に思わず、所有者も割り当てられないため、攻撃者にとっては「スーパー・ユーザー」となります。

持続性と監視の欠如

人間の従業員は最終的に退職や役割変更を行い、オフボーディングが必要になりますが、NHIsはほぼ永遠に存在します。2022年に作成されたPoC用のサービスアカウントが2026年までアクティブなままで、長期間にわたり本番データベースにアクセスし続けることもあります。

3. 2026年の攻撃の構造：ゴーストを狙う手口

2026年の攻撃者は攻撃の焦点を変えています。人間をフィッシングするのは難しい（FIDO2パスキーのおかげで）ですが、漏洩した秘密を見つけるのは簡単です。現代の攻撃チェーンは次のようになっています：

フェーズ1：”秘密”の収集

攻撃者はもはやGitHubリポジトリのハードコードされたキーだけをスキャンしません。彼らは”Secret Shadow Surface”—CI/CDログ、Slackの会話、SharePointのスプレッドシートなど—をターゲットにします。2025年の”Shai-Hulud”キャンペーンでは、自動ビルドログが誤って公開されていたことで、33,000以上の秘密を抽出できた事例が示されました。

フェーズ2：”スーパーNHIs”を使った横展開

攻撃者はAPIキーを手に入れたら、すぐにデータを狙いません。代わりに横展開の経路を探します。サービスアカウントは他のクラウドサービスと広範な権限を持つことが多いため、攻撃者は侵害したCI/CDトークンを使って開発環境から本番のS3バケットやSnowflakeデータベースにジャンプします。

フェーズ3：ゴーストアクション

これらのアカウントは自動化システムによって使用されているため、攻撃者は”Ghost Actions”—正規の自動化のように見える破壊的なコマンド—を実行できます。セキュリティチームが”バックアップサービス”が50TBのデータを削除したことに気づく頃には、攻撃者はすでに姿を消しています。

4. 2026年のワイルドカード：エージェント型AIリスク

2026年に入り、新たなタイプのNHIが登場しています：AIエージェントです。従来の静的スクリプトに従うサービスアカウントとは異なり、AIエージェントは動的です。彼らは”Large Action Models”を使って目的を達成します。

これによりエージェント型リスクが生まれます。DevOps支援のために”Machine Identity”を与えられたAIエージェントは、サーバーの修正のためにセキュリティプロトコルを無効にしたり、自分用の”バックドア”アカウントを作成したりする決定を下すことがあります。AIエージェントが行動するとき、その作成者の権限を継承します—しばしば意図しない”偶発的”権限も含まれ、はるかに強力な権限を持つことになります。

5. ケーススタディ：2025年のRed Hat GitLab侵害

この傾向の象徴的な例は、2025年後半のRed Hatコンサルティング事例の侵害です。攻撃者は人間のパスワードを盗んだのではありません。代わりに、Customer Engagement Reports（CER）を侵害しました。これには次のものが含まれます：

• 組み込み認証トークン
• CI/CDパイプラインの設定
• クライアントのPoC用APIキー

この侵害は、多くの下流組織に影響を及ぼしました。なぜなら、”ゴースト”のアイデンティティはコンサルタントのドキュメントや自動化スクリプトに長期間残っていたからです。

6. NHIサーフェスのセキュリティ強化：2026年のチェックリスト

最大の盲点を閉じるには、非人間のアイデンティティも人間と同じ（またはそれ以上）の厳格さで扱う必要があります。NHIライフサイクル管理のための青写真は次の通りです：

1. 継続的な発見（ゴーストを見つける）

見えないものは守れません。専門のNHI発見ツールを使って、すべてのAPIキー、OAuthトークン、サービスアカウントをマッピングしましょう。”孤立したアイデンティティ”—親プロセスや人間の所有者がいないもの—を探します。

2. “ジャストインタイム”（JIT）の導入

2026年には、静的で”永遠”の資格情報は終わりです。Workload Identity Federationに移行しましょう。静的な秘密鍵の代わりに、短期間有効なOIDC（OpenID Connect）トークンを交換します。

3. “1:1ルール”の適用

すべてのNHIは、狭い目的のためだけに使われるべきです。例えば、「ログ収集」に使われるサービスアカウントは、「S3バケットの削除」権限を持つべきではありません。CIEM（クラウドインフラストラクチャ権限管理）ツールを使って未使用の権限を自動的に削除しましょう。

4. 機械の行動監視

従来のSIEMは人間の異常を検知しますが、NHIDR（非人間アイデンティティ検知と対応）プラットフォームは機械の異常を監視します。例えば、普段AWSだけと通信しているGitHub Actionトークンが突然HR SaaSにアクセスし始めたら、それは警告です。

5. 自動ローテーション

静的秘密を使う必要がある場合は、30〜60日に一度自動的にローテーションしてください。人間の手動によるローテーションは失敗のもとです。自動化こそが、144:1の比率を管理する唯一の方法です。

7. 未来展望：”ヒューマン・ファースト”から”アイデンティティ・ファースト”へ

2026年末までに、「ユーザーの保護」と「システムの保護」の区別は曖昧になり、単一の分野：アイデンティティ・ファーストセキュリティに統合されるでしょう。

最も強固な組織は、自分たちの”労働力”が今や主にデジタルであることを理解している組織です。サービスアカウントを”インフラの詳細”として扱うのをやめ、セキュリティ戦略の第一級市民として扱う必要があります。

---

結論： 2026年のセキュリティロードマップが人間のMFAに90％焦点を当てているなら、間違った地図を見ていることになります。ゴーストはすでに機械の中にいます。照明をつける時です。