非人間アイデンティティおよびAIエージェント
Okta Identity Security Posture Management(ISPM)は、組織内で人間と非人間のアイデンティティ(NHI)を保護するのに役立ちます。また、ユーザーが作成したAIエージェントについての可視性も提供します。「OAuth付与を使用してシャドーAIエージェントを検出する」を参照してください。
通常、人間アイデンティティは従業員のアカウントに関連付けられます。NHIには、サービス アカウント、APIキー、トークン、APIキーやトークンにアクセスできるユーザー、AIエージェントなどが含まれます。これらのアイデンティティは相互に複雑に繋がっています。人間アイデンティティは基盤としてNHIを制御し、NHIはクラウドプラットフォーム全体で人間が実行できることを拡張し増幅させます。
従来のエンタープライズセキュリティソリューションは通常、組織内で人間アイデンティティを保護するために使用されますが、ただし、ほとんどのSaaSアプリには非人間アイデンティティもあります。これら非人間アイデンティティは多くのリソースに対して昇格された権限を持ち、非アクティブまたは古いことが多く、一般的に監視が困難です。
たとえば、従業員が会社を退職すると、その従業員のアカウント(人間アイデンティティ)は非アクティブ化されます。ところが、その従業員が持つサービスアカウント、APIキー、自動化スクリプト、マシンIDなど、多くの場合に権限が昇格されているアイデンティティを特定するのは困難です。これらの要因により、NHIは悪意のある行為者の潜在的な標的となります。
ISPMやIDプロバイダーと統合されたアプリから、Oktaは継続的にデータを取得します。そうすることで、ISPMは関連するNHIを継続的に検出し、それらのアイデンティティで見つかった問題の詳細を提供できます。
アプリの統合に応じて、ISPMはログイン方法を基に以下のNHIを分析します。
-
ユーザーまたはシステムが作成したIDで、自動化、統合、または共有アクセスに使用されるもの
-
APIキーやトークン(AWSアクセスキー、Okta APIトークン、Snowflakeのキーペア、GitHubの個人用アクセストークン、セキュアシェル(SSH)キーなど)
-
AIエージェント(Agentforce for SalesのAIエージェントなど)
以下のように、ISPMは増幅していくNHIの管理に役立ちます。
NHIを検出する
キーやトークンを持つユーザー、サービスアカウント、APIキー、トークン、Salesforce.comのAIエージェントに関連付けられたユーザーについて、優先順位が付けられたリストを[Inventory(インベントリ)]の[Non Human Identities(非人間アイデンティティ)]ページで取得します。ISPMは権限とリスクのレベルを基にこれらの優先順位を決定します。このページには、該当するNHIについて、IDタイプ、権限、ログイン方法などの詳細も表示されます。アカウントをクリックすると、キー名、最終ローテーション、作成日、有効期限日などのログイン方法の詳細を表示できます。
また、次のNHIを検出すると、ISPMは監視、追跡、フィルタリングに便利なラベルを追加します。
-
ユーザーが作成したIDまたはシステムのIDで、自動化、統合、または共有アクセスに使用されるもの
ラベル:Service Accounts(サービスアカウント)
-
アカウントに関連付けられたキーやトークンなど、非人間のログイン方法のあるユーザー(従業員ユーザーまたはサービスアカウント)
ラベル:Keys or tokens(キーまたはトークン)
ISPMは、キー名、最終ローテーション、有効期限日などの詳細も追加します。
-
ユーザーIDに関連付けられているAIエージェント
ラベル:AI Agent(AIエージェント)
-
非人間アイデンティティに関連付けられている高い権限
ラベル:Admin(管理者)またはSuper Admin(スーパー管理者)
NHI関連の問題を検知する
ISPMは組織のNHIに関連したアクティブな問題を特定して優先順位を付け、その情報をISPMコンソールに表示します。Dashboardの[Non Human identities(非人間アイデンティティ)]リスクステータスカテゴリカードで、組織に検知された高いレベルのNHI特有の問題数を表示できます。また、NHI関連の問題について、[Issues(問題)]ページで優先順位が付けられたリストを取得することもできます。現在、ISPMは[NHI]ラベルを使って19件の問題検知にフラグを付けます。「対応している検知」を参照してください。
NHI関連の問題検知は以下のユースケースに対応しており、OWASPによる2025年度のトップリスクの指針に従っています。
|
ISPM検知が対応するユースケース |
関連するOWASPカテゴリー |
|---|---|
|
過度の権限を持つ管理者サービスアカウント 未使用のサービスアカウント 未使用のキーやトークン |
NHI1:2025 Improper Offboarding(不適切なオフボーディング)
NHI5:2025 Overprivileged NHI(過度な権限を持つNHI) NHI3:2025 Vulnerable Third-Party NHI(脆弱なサードパーティNHI) |
|
ローテーションされていないキーやトークン サービスアカウントのローテーションされていないパスワード MFAなし、古いパスワード、過度の権限を持つ管理者サービスアカウントなどの危険で有害な組み合わせ |
NHI4:2025 Insecure Authentication(セキュリティ保護されていない認証)
NHI7:2025 Long-Lived Secrets(長期有効のシークレット) |
| サービスアカウントへのアクセスを制御する | NHI9:2025 NHI Reuse(NHIの再利用)
NHI10:2025 Human Use of NHI(NHIの人間利用) |
検知されたNHIの問題に対処する
ISPMが組織で検知したNHIの問題には、自動または手動で対処できます。
自動対処
既存の統合を活用し、ISPMのイベントフックとOkta Workflowsを使用して、orgにあるNHIの問題を自動的に修正します。たとえば、MFAが未設定で古いパスワードのある未使用の管理者サービスアカウントという高リスクの組み合わせ問題をISPMが検知したとします。ISPMでイベントフックを構成し、Workflowsでそれらのフックを使用してフローをセットアップします。アカウントの自動停止とアプリ所有者の通知を行うなどのカスタムアクションを実行するように構成できます。
サービスアカウントを管理する
Okta Privileged Accessをサブスクライブしている場合は、Admin ConsoleからSaaSアプリやOktaサービスアカウントを管理し、パスワードの保護や他のセキュリティ対策を実装できます。「サービスアカウントを管理する(Okta Identity Engine)」または「サービスアカウントを管理する(Okta Classic Engine)」を参照してください。
OAuth付与を使用するシャドーAIエージェントを検出する
早期アクセスリリース
ユーザーは多くの場合、管理対象外または未認可のAIプラットフォームやツールを使用して、ワークフローを自動化するエージェントを構築します。orgによって認可または監視されていないこれらのAIツール、ボット、エージェントは、シャドーAIエージェントと呼ばれます。ユーザーは、基幹業務アプリ用のOAuth 2.0トークンをこれらのシャドーAIエージェントに付与し、エージェントがユーザーに代わって動作できるようにします。
Okta for AI Agentsは、orgのAIエージェントを管理する機能を提供します。これにより、AIエージェントが説明責任を持ち、最小権限で動作することを確保する際に役立つため、AIエージェントはセキュリティリスクではなく、管理対象のデジタル従業員の一部となります。このソリューションでは、エージェント間接続ではなく、人間からエージェントへの接続を可能にします。
管理対象のブラウザー全体にOkta Secure Access Monitor(SAM)プラグインを構成すると、ISPMがプラグインによってキャプチャされたOAuth付与データを自動的に分析し、ISPMコンソールの[Browser OAuth grants(ブラウザーOAuth付与)]ページに表示します。また、ISPMは、AIエージェントの有効化に使用されている可能性のある付与を検出し、[AI]ラベルでタグ付けします。「OAuth付与を使用するシャドーAIエージェント特定する」を参照してください。
OAuth付与の問題があるシャドーAIエージェントビルダーアプリの場合は、OktaにAIエージェントを登録するか、アクセスを取り消すための適切な修復アクションを実行することができます。「AIエージェントを登録する」を参照してください。