非人間アイデンティティ
Okta Identity Security Posture Management(ISPM)は、組織内で人間と非人間のアイデンティティ(NHI)を保護するのに役立ちます。
通常、人間アイデンティティは従業員のアカウントに関連付けられます。NHIには、サービス アカウント、APIキー、トークン、APIキーやトークンにアクセスできるユーザー、AIエージェントなどが含まれます。これらのアイデンティティは相互に複雑に繋がっています。人間アイデンティティは基盤としてNHIを制御し、非人間アイデンティティ(NHI)はクラウドプラットフォーム全体で人間が実行できることを拡張し増幅させます。
従来のエンタープライズセキュリティソリューションは通常、組織内で人間アイデンティティを保護するために使用されますが、ほとんどのSaaSアプリケーションには非人間アイデンティティもあります。これら非人間アイデンティティは多くのリソースに対して昇格された権限を持ち、非アクティブまたは古いことが多く、一般的に監視が困難です。
たとえば、従業員が会社を退職すると、その従業員のアカウント(人間アイデンティティ)は非アクティブ化されます。ところが、その従業員が持つサービスアカウント、APIキー、自動化スクリプト、マシンIDなど、多くの場合に権限が昇格されているアイデンティティを特定するのは困難です。これらの要因により、NHIは悪意のある行為者の潜在的な標的となります。
ISPMやIDプロバイダーと統合されたアプリから、Oktaは継続的にデータを取得します。そうすることで、ISPMは関連するNHIを継続的に検出し、それらのアイデンティティで見つかった問題の詳細を提供できます。
アプリの統合に応じて、ISPMはログイン方法を基に以下のNHIを分析します。
-
ユーザーまたはシステムが作成したIDで、自動化、統合、または共有アクセスに使用されるもの
-
APIキーやトークン(AWSアクセスキー、Okta APIトークン、Snowflakeのキーペア、GitHubの個人用アクセストークン、SSHキーなど)
-
AIエージェント(Agentforce for SalesのAIエージェントなど)
以下のように、ISPMは増幅していくNHIの管理に役立ちます。
NHIを検出する
キーやトークンを持つユーザー、サービスアカウント、APIキー、トークン、Salesforce.comのAI エージェントに関連付けられたユーザーについて、優先順位が付けられたリストをインベントリの[Non Human Identities(非人間アイデンティティ)]ページで取得します。ISPMは権限とリスクのレベルを基にこれらの優先順位を決定します。このページには、該当するNHIについて、IDタイプ、権限、ログイン方法などの詳細も表示されます。アカウントをクリックすると、キー名、最終ローテーション、作成日、有効期限日などのログイン方法の詳細を表示できます。
また、次のNHIを検出すると、ISPMは監視、追跡、フィルタリングに便利なラベルを追加します:
-
ユーザーが作成したIDまたはシステムのIDで、自動化、統合、または共有アクセスに使用されるもの
ラベル:Service Accounts(サービスアカウント)
-
アカウントに関連付けられたキーやトークンなど、非人間のログイン方法のあるユーザー(従業員ユーザーまたはサービスアカウント)
ラベル:Keys or tokens(キーまたはトークン)
ISPMは、キー名、最終ローテーション、有効期限日などの詳細も追加します。
-
ユーザーIDに関連付けられているAIエージェント
ラベル:AI Agent(AIエージェント)
-
非人間アイデンティティに関連付けられている高い権限
ラベル:Admin(管理者)またはSuper Admin(スーパー管理者)
NHI関連の問題を検知する
ISPMは組織のNHIに関連したアクティブな問題を特定して優先順位を付け、その情報をISPMコンソールに表示します。Dashboardの[Non Human identities(非人間アイデンティティ)]リスクステータスカテゴリカードで、組織に検知された高いレベルのNHI特有の問題数を表示できます。また、NHI関連の問題について、[Issues(問題)]ページで優先順位が付けられたリストを取得することもできます。現在、ISPMは[NHI]ラベルを使って19件の問題検知にフラグを付けます。「対応している検知」を参照してください。
NHI関連の問題検知は以下のユースケースに対応しており、OWASPによる2025年度のトップリスクの指針に従っています。
ISPM検知が対応するユースケース |
関連するOWASPカテゴリー |
---|---|
過度の権限を持つ管理者サービスアカウント 未使用のサービスアカウント 未使用のキーやトークン |
NHI1:2025 Improper Offboarding(不適切なオフボーディング)
NHI5:2025 Overprivileged NHI(過度な権限を持つNHI) NHI3:2025 Vulnerable Third-Party NHI(脆弱なサードパーティNHI) |
ローテーションされていないキーやトークン サービスアカウントのローテーションされていないパスワード MFAなし、古いパスワード、過度の権限を持つ管理者サービスアカウントなどの危険で有害な組み合わせ |
NHI4:2025 Insecure Authentication(セキュリティ保護されていない認証)
NHI7:2025 Long-Lived Secrets(長期有効のシークレット) |
サービスアカウントへのアクセスを制御する | NHI9:2025 NHI Reuse(NHIの再利用)
NHI10:2025 Human Use of NHI(NHIの人間利用) |
検知されたNHIの問題に対処する
ISPMが組織で検知したNHIの問題には、自動または手動で対処できます。
自動対処
既存の統合を活用し、ISPMのイベントフックとOktaワークフローを使用して、組織にあるNHIの問題を自動的に対処できます。たとえば、MFAが未設定で古いパスワードのある未使用の管理者サービスアカウントという高リスクの組み合わせ問題をISPMが検知したとします。その場合は、ISPMでイベントフックを構成し、それらのフックでワークフローをセットアップして、アカウントの自動停止とアプリ所有者の通知を行うなどのカスタムアクションを実行できます。
サービスアカウントを管理する
Okta Privileged Accessをサブスクライブしている場合は、Okta Admin ConsoleからSaaSアプリやOktaサービスアカウントを管理し、パスワードの保護や他のセキュリティ対策を実装できます。「サービスアカウントを管理する(Okta Identity Engine)」または「サービスアカウントを管理する(Okta Classic Engine)」を参照してください。