攻めのIT投資ばかりで大丈夫か？ DX／AI時代の企業に警鐘、増え続けるアイデンティティに対処せよ

マシンアカウントの管理が問題に、所有者や責任の所在は明確か？

　BotやAIエージェントなどが利用する「人に紐づかないID」には、特有の管理課題があるという。それは、孤立したアカウントが増えやすく、所有者が不明なIDが存在しがちになるという問題だ。また、ディレクトリサービスとは別にExcelなどの台帳を使った煩雑な管理が行われるケースも多く、「誰が責任を持って管理すべきか」が不明確になりがちである。

　こうした管理上の課題は、セキュリティリスクに直結する。盛口氏が示した調査データによれば、83％の企業が過去1年間にマシンアカウントを乗っ取られた経験を持ち、72％の企業がマシンアカウントの管理を「人間のアカウント管理よりも困難」と感じているようだ。すでに、米国の大手ITベンダーや米連邦政府人事管理局（OPM）でもマシンアカウントが攻撃対象となった事例が出ており、こうした攻撃は今後さらに一般的になると予想される。

　マシンアイデンティティの管理不備がもたらすリスクは、単なるシステム障害にとどまらない。企業の事業継続性や信頼性に直接影響を与える可能性がある。そのため、経営層レベルで対策を検討すべきだ。「CISOをはじめとする情報セキュリティの責任者にとって、マシンアカウントの適切な管理はもはやセキュリティリスクの最小化と経営リスクの回避に不可欠な要素だ」と盛口氏は述べる。

AIエージェントで管理の運用業務を簡単に自動化できる

　SailPointが提供する「Machine Identity Security」は、こうした課題への対策を実現するソリューションだ。検出、分類、所有権の割り当て、アクセス権限の審査、定期的な監査といった機能を統合的に提供し、人に紐づかないIDを「擬似的に人に紐づけて」効率的に管理する仕組みになっている。これにより、管理が困難だったマシンアカウントも、人間のアカウントと同様の体系的な管理が可能となる。

　AI技術を活用した管理の効率化も可能だ。同社が開発した「SailPoint Harbor Pilot」は、AIエージェントによってアイデンティティ管理の運用効率を大幅に向上させるという。

　「Harbor PilotのAIエージェントは、自然言語による問いかけに対して適切な回答を提供し、ワークフローの自動生成まで行うことができます。たとえば『マネージャーのいないアイデンティティを探してください』というユーザーからの指示に対して、検索から関連するワークフローの作成まで、一連の作業を自動化できるのです」（盛口氏）

　Harbor Pilotにて提供されているAIエージェントは3種類（2025年5月時点）。製品マニュアルなどの公式文書をもとに、質問への回答を要約して提供する「Documentation Q＆A」、自然言語による検索クエリから効率的な検索結果を返す「Search」、そしてユーザーの要求に応じて自動的にワークフローを構築する「Workflows Generator」だ。

　盛口氏は、実際にHarbor Pilotの利用画面を見せ、デモ形式でユースケースを紹介した。デモでは、AIエージェントに対し「特定のエンタイトルメントを利用しているアイデンティティの数が一定値を超えた場合に、メールで通知をして欲しい」と要求。すると、Harbor Pilotは瞬時に解決方法を提示した。そこに、「ワークフローを作ってほしい」という追加の指示を与えることで、実際のワークフローが自動生成されていく過程が披露された。

　「従来なら、新しい機能を実現・利用しようとなった場合、マニュアルを読んだり詳しい人に問い合わせたり、あるいは本国のサポートチームに英語で連絡したりする必要がありました。しかしHarbor Pilotなら、こうした運用・管理の手間を大幅に削減できます」（盛口氏）

　将来的には、予測型のリスク検出などといった新たなエージェントが追加される予定で、より高度な管理の自動化が期待できるという。いずれは、従来の“事後対応型の管理”から、リスクを事前に予測して対策を講じる“予防型の管理”へ転換が可能となるわけだ。