非人間アイデンティティ

Okta Identity Security Posture Management（ISPM）は、組織内で人間と非人間のアイデンティティ（NHI）を保護するのに役立ちます。また、ユーザーが作成したAIエージェントについての可視性も提供します。「AIエージェントの検出」を参照してください。

通常、人間アイデンティティは従業員のアカウントに関連付けられます。NHIには、サービスアカウント、APIキー、トークン、APIキーやトークンにアクセスできるユーザー、AIエージェントなどが含まれます。これらのアイデンティティは相互に複雑に繋がっています。人間アイデンティティは基盤としてNHIを制御し、NHIはクラウドプラットフォーム全体で人間が実行できることを拡張し増幅させます。

従来のエンタープライズセキュリティソリューションは通常、組織内で人間アイデンティティを保護するために使用されますが、ただし、ほとんどのSaaSアプリには非人間アイデンティティもあります。これら非人間アイデンティティは多くのリソースに対して昇格された権限を持ち、非アクティブまたは古いことが多く、一般的に監視が困難です。

たとえば、従業員が会社を退職すると、その従業員のアカウント（人間アイデンティティ）は非アクティブ化されます。ところが、その従業員が持つサービスアカウント、APIキー、自動化スクリプト、マシンIDなど、多くの場合に権限が昇格されているアイデンティティを特定するのは困難です。これらの要因により、NHIは悪意のある行為者の潜在的な標的となります。

ISPMやIDプロバイダーと統合されたアプリから、Oktaは継続的にデータを取得します。そうすることで、ISPMは関連するNHIを継続的に検出し、それらのアイデンティティで見つかった問題の詳細を提供できます。

アプリの統合に応じて、ISPMはログイン方法を基に以下のNHIを分析します。

ユーザーまたはシステムが作成したIDで、自動化、統合、または共有アクセスに使用されるもの
APIキーやトークン（AWSアクセスキー、Okta APIトークン、Snowflakeのキーペア、GitHubの個人用アクセストークン、セキュアシェル（SSH）キーなど）
AIエージェント（Agentforce for SalesのAIエージェントなど）

以下のように、ISPMは増幅していくNHIの管理に役立ちます。

NHIの検出

キーやトークンを持つユーザー、サービスアカウント、APIキー、トークン、Salesforce.comのAIエージェントに関連付けられたユーザーについて、優先順位が付けられたリストをインベントリ（Inventory）（Non Human Identities）の非人間アイデンティティ（Non Human Identities）（Inventory）ページで取得します。ISPMは権限とリスクのレベルを基にこれらの優先順位を決定します。このページには、該当するNHIについて、IDタイプ、権限、ログイン方法などの詳細も表示されます。アカウントをクリックすると、キー名、最終ローテーション、作成日、有効期限日などのログイン方法の詳細を表示できます。

また、次のNHIを検出すると、ISPMは監視、追跡、フィルタリングに便利なラベルを追加します。

ユーザーが作成したIDまたはシステムのIDで、自動化、統合、または共有アクセスに使用されるもの

ラベル：サービスアカウント（Service Accounts）
アカウントに関連付けられたキーやトークンなど、非人間のログイン方法のあるユーザー（従業員ユーザーまたはサービスアカウント）

ラベル：キーまたはトークン（Keys or tokens）

ISPMは、キー名、最終ローテーション、有効期限日などの詳細も追加します。
ユーザーIDに関連付けられているAIエージェント

ラベル：AIエージェント（AI Agent）
非人間アイデンティティに関連付けられている高い権限

ラベル：管理者（Admin）またはスーパー管理者（Super Admin）

NHIの問題の検出

ISPMは組織のNHIに関連したアクティブな問題を特定して優先順位を付け、その情報をISPMコンソールに表示します。Dashboard（Non Human identities）の非人間アイデンティティ（Non Human identities）（Dashboard）リスクステータスカテゴリカードで、組織に検知された高いレベルのNHI特有の問題数を表示できます。また、NHI関連の問題について、問題（Issues）ページで優先順位が付けられたリストを取得することもできます。現在、ISPMはNHIラベルを使って19件の問題検知にフラグを付けます。対応している検知を参照してください。

NHI関連の問題検知は以下のユースケースに対応しており、OWASPによる2025年度のトップリスクの指針に従っています。

ISPM検知が対応するユースケース	関連するOWASPカテゴリー
過度の権限を持つ管理者サービスアカウント未使用のサービスアカウント未使用のキーやトークン	不適切なオフボーディング（NHI1:2025 Improper Offboarding）過度な権限を持つNHI（NHI5:2025 Overprivileged NHI）脆弱なサードパーティNHI（NHI3:2025 Vulnerable Third-Party NHI）
ローテーションされていないキーやトークンサービスアカウントのローテーションされていないパスワード MFAなし、古いパスワード、過度の権限を持つ管理者サービスアカウントなどの危険で有害な組み合わせ	セキュリティ保護されていない認証（NHI4:2025 Insecure Authentication）長期有効のシークレット（NHI7:2025 Long-Lived Secrets）
サービスアカウントへのアクセスを制御する	NHIの再利用（NHI9:2025 NHI Reuse） NHIの人間利用（NHI10:2025 Human Use of NHI）

ISPM検知が対応するユースケース

関連するOWASPカテゴリー

過度の権限を持つ管理者サービスアカウント

未使用のサービスアカウント

未使用のキーやトークン

不適切なオフボーディング（NHI1:2025 Improper Offboarding）

過度な権限を持つNHI（NHI5:2025 Overprivileged NHI）

脆弱なサードパーティNHI（NHI3:2025 Vulnerable Third-Party NHI）

ローテーションされていないキーやトークン

サービスアカウントのローテーションされていないパスワード

MFAなし、古いパスワード、過度の権限を持つ管理者サービスアカウントなどの危険で有害な組み合わせ

セキュリティ保護されていない認証（NHI4:2025 Insecure Authentication）

長期有効のシークレット（NHI7:2025 Long-Lived Secrets）

サービスアカウントへのアクセスを制御する

NHIの再利用（NHI9:2025 NHI Reuse）

NHIの人間利用（NHI10:2025 Human Use of NHI）

NHIの問題の修復

ISPMが組織で検知したNHIの問題には、自動または手動で対処できます。

自動対処

既存の統合を活用し、ISPMのイベントフックとOkta Workflowsを使用して、orgにあるNHIの問題を自動的に修正します。たとえば、MFAが未設定で古いパスワードのある未使用の管理者サービスアカウントという高リスクの組み合わせ問題をISPMが検知したとします。ISPMでイベントフックを構成し、Workflowsでそれらのフックを使用してフローをセットアップします。アカウントの自動停止とアプリ所有者の通知を行うなどのカスタムアクションを実行するように構成できます。

サービスアカウント管理

Okta Privileged Accessをサブスクライブしている場合は、Admin ConsoleからSaaSアプリやOktaサービスアカウントを管理し、パスワードの保護や他のセキュリティ対策を実装できます。「サービスアカウントを管理する（Okta Identity Engine）」または「サービスアカウントを管理する（Okta Classic Engine）」を参照してください。