innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

GitGuardian NHI Governance:非人間アイデンティティが企業セキュリティの最大の盲点となる理由

GitGuardian NHI Governance:非人間アイデンティティが企業セキュリティの最大の盲点となる理由 - innovaTopia - (イノベトピア)

Last Updated on 2025-04-26 20:32 by admin

非人間アイデンティティ(NHI)は、現代のサイバーセキュリティにおいて急速に増加し、重大なセキュリティリスクとなっています。NHIはサービスアカウント、サービスプリンシパル、各種クラウドプラットフォームのロールなど多岐にわたり、APIキーやトークンといった「シークレット」を使用して認証を行います。

「State of Secrets Sprawl 2025」の調査によると、2024年だけで2377万件のシークレットがGitHubで漏洩し、2022年に漏洩したシークレットの70%が現在も有効という衝撃的な事実が明らかになりました。マシンにはMFAがなく、開発者は便宜上、広範なアクセス権を付与し、長期間有効なシークレットを作成する傾向があります。

従来のIAM、PAM、シークレットマネージャー、CSPMツールはNHI管理に適していません。NHIは分散管理され、明確なライフサイクルがなく、従来のセキュリティモデルでは対応できません。

GitGuardianは2025年4月15日に発表したNHI Governanceを通じて、シークレットの可視化、ライフサイクル管理、セキュリティポリシーの適用を可能にするソリューションを提供しています。特にAIエージェントの普及により、RAG(検索拡張生成)などの技術がシークレット漏洩のリスクを高めており、包括的なガバナンスがますます重要になっています。

from:Why NHIs Are Security’s Most Dangerous Blind Spot

【編集部解説】

非人間アイデンティティ(NHI)の問題は、現代のデジタルインフラストラクチャにおける「見えない脅威」として急速に注目を集めています。私たちが日常的に使用するクラウドサービス、マイクロサービス、自動化ツールの裏側では、人間ではなくマシンが相互に通信し、重要なデータやシステムにアクセスしているのです。

特に注目すべきは、2025年にOWASP(Open Worldwide Application Security Project)が初めて「非人間アイデンティティリスクトップ10」を発表したことです。これは、NHIの問題がサイバーセキュリティコミュニティで正式に認識され、対処すべき重大な課題として位置づけられたことを示しています。

GitHubの最新レポートによると、2024年だけで3900万件のシークレット(APIキー、パスワード、トークンなど)が漏洩したことが明らかになりました。これは「State of Secrets Sprawl 2025」で報告された2380万件よりも大幅に多い数字です。さらに衝撃的なのは、2022年に漏洩したシークレットの70%が今でも有効であるという事実です。

Entro Securityの調査によれば、NHIの97%が過剰な権限を持っており、攻撃対象領域を広げています。また、92%の組織がNHIを第三者に公開しており、44%のトークンがTeams、Jiraチケット、Confluenceページ、コードコミットなどのプラットフォーム上で送信または保存されているという実態も明らかになっています。

2024年5月に発生したSnowflakeデータ侵害は、NHI関連の脆弱性がいかに深刻な結果をもたらすかを示す典型的な事例です。UNC5537と呼ばれる脅威アクターは、主に脆弱なサーバーや保護されていない従業員のラップトップ上のインフォスティーラーマルウェアを通じて取得した認証情報を使用して、数百のSnowflakeインスタンスに侵入しました。このインシデントでは約165の組織が影響を受け、多くの場合、MFAで保護されていないサービスアカウントが侵害の入り口となりました。

また、2024年6月にはニューヨーク・タイムズがGitHubトークンの盗難により、ソースコードが流出する事態に見舞われました。このトークンは過剰な権限を持ち、長い有効期限が設定されていたため、組織内のすべてのリポジトリへのアクセスが可能になってしまいました。

同じ月にはHugging Faceも認証シークレット(APIキーとトークン)を標的としたセキュリティ侵害を発表しています。AIアプリケーションの構築に必要なシークレットが不正アクセスされ、顧客に対してSpacesプラットフォームに保存されているすべてのシークレットのローテーション(更新)を促す事態となりました。

これらの事例は、NHIセキュリティの脆弱性が現実の脅威となっていることを示しています。特に注目すべきは、AIの普及がこの問題をさらに複雑にしている点です。NeuralTrustの報告によれば、AIモデルからの機密データの漏洩は仮説的なリスクではなく、現実の脅威となっています。AIシステムが内部データにアクセスする際、そのデータにシークレットが含まれていれば、意図せず外部に漏洩する可能性があるのです。

GitGuardianは2025年4月15日にNHI Governanceモジュールをリリースし、これによりシークレットの一元管理、ライフサイクル管理、高度な分析機能を提供し、NHIセキュリティの課題に対処することを目指しています。

企業がNHIセキュリティを強化するためには、以下の対策が重要です:

すべてのユーザーに対してMFAを有効化する
静的な認証情報の代わりにキーペア認証やOAuthアプリケーションを使用する
行動監視を導入して不審な活動を検出する
すべてのNHIを棚卸しして適切に管理する
最小権限アクセスポリシーを実装する
トークンの有効期限を短く設定する
異常な行動を監視して潜在的な悪用を検出する

NHIセキュリティの課題は、単なる技術的な問題ではなく、組織文化の問題でもあります。開発の速度よりもセキュリティを優先し、最小権限の原則を徹底し、シークレットのライフサイクル管理を自動化することが、デジタル時代の企業の競争力と信頼性を維持する鍵となるでしょう。

今後、AIの普及とクラウドネイティブアプリケーションの増加に伴い、NHIの数はさらに増加することが予想されます。企業はこの「見えないリスク」に対する認識を高め、適切な対策を講じることが急務となっています。

【用語解説】

非人間アイデンティティ(NHI)
人間ではなく、システムやアプリケーションが使用する認証情報のこと。APIキー、サービスアカウント、トークンなどが含まれる。

シークレット
システムやサービスにアクセスするための認証情報。APIキー、パスワード、トークン、証明書など。これらは鍵のようなもので、デジタルの扉を開けるために使用される。

サービスアカウント
特定のアプリケーションやサービスが他のシステムと通信するために使用する専用アカウント。例えば、バックグラウンドで動作するロボット清掃機のようなもの。

サービスプリンシパル
クラウドサービス(特にAzure)において、アプリケーションやサービスがリソースにアクセスするために使用するアイデンティティ。

IAMロール
AWS(Amazon Web Services)において、特定のアクセス権限を持つエンティティ。一時的な認証情報を提供する。

ボールト
シークレットを安全に保管するための専用ストレージ。銀行の金庫のようなもので、重要な認証情報を保護する。

ローテーション
セキュリティを高めるために定期的にシークレットを更新すること。定期的に鍵を交換するようなもの。

RAG(検索拡張生成)
AIが質問に答える際に内部データベースを検索して情報を取得し、それを基に回答を生成する技術。

【参考リンク】

GitGuardian(外部)
シークレットセキュリティとNHIガバナンスのプラットフォームを提供する企業のウェブサイト

GitGuardian NHI Governance(外部)
非人間アイデンティティの可視化と管理を提供するGitGuardianの製品ページ

AWS Marketplace: GitGuardian Platform(外部)
AWSマーケットプレイスで提供されているGitGuardianプラットフォーム

OWASP(外部)
ウェブアプリケーションセキュリティに関する情報提供や標準策定を行う非営利団体

【参考動画】

【編集部後記】

非人間アイデンティティ(NHI)とそのセキュリティ問題は、「無人の配達ロボット」に例えることができます。これらのロボットは人間の直接的な監視なしに街中を移動し、様々な場所に荷物を届けます。各ロボットには特定の場所(建物、エレベーター、セキュリティゲートなど)にアクセスするための「鍵」(シークレット)が与えられています。

問題は、これらの「鍵」が適切に管理されていないと、誰かがロボットの「鍵」を複製して、本来アクセスすべきでない場所に侵入できてしまうことです。さらに、一度複製された「鍵」は、元のロボットが使用を停止した後も有効なままであることが多いのです。

GitGuardianのNHI Governanceは、これらの「鍵」を一元管理し、どのロボットがどの鍵を持っているか、その鍵でどこにアクセスできるか、そして鍵が定期的に交換されているかを監視するシステムと言えます。

普段何気なく使っているクラウドサービスやアプリの裏側で、「非人間アイデンティティ」が重要な役割を果たしていることをご存知でしたか? 皆さんの組織では、APIキーやサービスアカウントの管理はどのように行われているでしょうか。もしかすると、使われなくなったシークレットが今も有効なまま残っているかもしれません。次回のセキュリティミーティングで「NHIの管理状況」について一度話し合ってみてはいかがでしょうか。デジタル時代の新たなセキュリティ課題に、一緒に向き合っていきましょう。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » GitGuardian NHI Governance:非人間アイデンティティが企業セキュリティの最大の盲点となる理由

Latest News