- ノンヒューマンアイデンティティとは、サービスアカウントやAPIトークンのように、人間ではないソフトウェアや機器に割り当てられるデジタルIDのことだ。
- なぜ今かというと、AIエージェントが自律的にシステムへアクセスする時代になり、人間IDの82倍という規模で機械側のIDが増えているからだ。人間の目が届かないまま放置されやすい。
- これまで見過ごされてきた機械の鍵を棚卸しすれば、乗っ取りの入り口をひとつ確実に減らせると覚えておけばいい。
この4コマは、AIエージェントやアプリ連携を増やした企業で実際に起こりうる侵入経路を描いています。コマ①の管理人は人間の従業員の認証情報だけを見ており、そこには安心感があります。ところがコマ②で明らかになる通り、掃除ロボットや宅配ボックスに例えられる機械側のIDは、担当者すら数を把握していないケースが少なくありません。
コマ③の一本の合鍵は、放置されたAPIトークンやサービスアカウントの比喩です。攻撃者はパスワードを破るのではなく、正規の鍵で堂々と入ってきます。近年の調査で機械側のIDが人間の82倍にのぼると報告されており、監視の空白地帯がそれだけ広いという意味になります。
コマ④のデプロイ太郎が促すのは、人間の棚卸しと同じ発想を機械にも適用することです。誰が発行し、どの権限を持ち、まだ使っているのかを定期的に確認します。発行しっぱなしを無くす運用こそが、静かな侵入を防ぐ現実的な第一歩になります。
なぜノンヒューマンアイデンティティが今になって注目されるのか?
ノンヒューマンアイデンティティを理解する近道は、正体を3つの要素に分解することです。1つ目はワークロード、つまりアプリやバッチ処理がデータベースへつなぐために使うサービスアカウント。2つ目はAPIトークンで、システム同士がデータをやり取りする際の認証情報にあたります。3つ目はマシン識別情報で、仮想マシンやコンテナ、IoT機器に紐づく証明書などが含まれます。大手セキュリティベンダーのCrowdStrikeも、この3類型でNHIを整理しています。
注目度が急上昇した引き金は、AIエージェントの普及にあります。自律的に判断してシステムへアクセスするエージェントは、一体ごとに複数のトークンやサービスアカウントを必要とします。Rubrik Zero Labsが約1,600人のセキュリティ意思決定者に行った調査では、回答企業の約89%が既にAIエージェントをID基盤に組み込んでいると答えました。人が作った鍵より速いペースで機械の鍵が増える構図が、NHI管理をゼロトラストの中心課題へ押し上げているのです。
ノンヒューマンアイデンティティのよくある誤解
数が少ないから後回しでよいという思い込み
むしろ逆で、非人間のIDは人間の従業員数を大きく上回ります。前述の82対1という比率が示す通り、社内で最も数が多い利用者は人間ではなく機械です。数が多いほど管理漏れも増えるため、優先度はけっして低くありません。
サービスアカウントだけを見ておけば十分という理解
サービスアカウントはNHIの一部にすぎません。APIトークン、OAuthの認可情報、CI/CDパイプラインの認証情報、電子証明書なども含まれます。特定の一種類だけを管理して安心してしまうと、見落とした別の種類が侵入口になってしまうのではないでしょうか。
パスワードを強くすれば守れるという発想
人間向けの強固なパスワードや多要素認証は、機械のIDには当てはめにくいものです。NHIで守るべきはトークンや鍵といった秘密情報そのものであり、それらをコード内に平文で書かない、定期的に入れ替えるといった管理が本質になります。強度より管理と棚卸しが鍵を握ります。
会話での使われ方

AIエージェントを増やす前に、ノンヒューマンアイデンティティの棚卸しをやろう。誰が発行したか分からないトークンが一番怖い。来週までに一覧を作ってほしい。
社内のセキュリティ会議で、情報システム部長が若手担当者に向けて、AI導入プロジェクトの前提作業を指示している場面です。

御社は人間のアカウント管理は徹底されていますが、ノンヒューマンアイデンティティ側に空白があります。API連携が増えた今、ここを可視化するツールをご提案させてください。
商談の席で、セキュリティ製品のベンダー担当者がクライアント企業の情報部門に、導入メリットを提案しているシーンです。

ノンヒューマンアイデンティティって、要はアプリやボット用のアカウントのことですか?
Slackの雑談チャンネルで、新人エンジニアが先輩に、勉強会で聞いた言葉の意味を気軽に尋ねている場面です。
ノンヒューマンアイデンティティとマシンアイデンティティの違い
ノンヒューマンアイデンティティとマシンアイデンティティは重なる部分が多く、現場でも混同されがちです。両者はどちらも人間以外のIDを指しますが、カバーする範囲に差があります。
| 比較観点 | ノンヒューマンアイデンティティ | マシンアイデンティティ |
|---|---|---|
| 指す範囲 | 人間以外のID全般。アプリ・サービス・機器・トークンを広く含む | 主に機器やサーバー、証明書などハード寄りのID |
| 代表例 | サービスアカウント、APIトークン、OAuth認可情報 | サーバー証明書、TLS証明書、デバイス識別情報 |
| 位置づけ | 上位の総称。マシンアイデンティティを内包する | NHIを構成する一要素 |
【まとめ】ノンヒューマンアイデンティティの3つのポイント
- 正体は機械が持つ合鍵:サービスアカウントやAPIトークンなど、人間以外に配られたデジタルの鍵の総称です。
- 棚卸しで穴をふさげる:誰が発行し、まだ使っているかを定期的に確認するだけで、放置トークンからの侵入を減らせます。
- AI時代の必修知識:エージェント導入で機械のIDは急増するため、知らずに放置すると乗っ取りの温床になります。
よくある質問
-
Qノンヒューマンアイデンティティの具体例には何がありますか?
-
A
サービスアカウント、APIトークン、OAuthの認可情報、電子証明書、CI/CDパイプラインの認証情報などが代表例です。CrowdStrikeはこれらをワークロード・APIトークン・マシン識別情報の3類型で整理しています。人が使わず、システムやアプリが自動処理のために利用するIDだと考えると分かりやすいでしょう。
-
Qなぜノンヒューマンアイデンティティの管理が難しいのですか?
-
A
数が圧倒的に多く、発行の記録が残りにくいことが難しさの根本です。ある2025年の調査では人間IDの82倍という比率が報告されており、退職や異動のない機械のIDは棚卸しのきっかけも生まれません。結果として、誰が作ったか分からない古いトークンが放置されやすくなります。
-
QAIエージェントとノンヒューマンアイデンティティはどう関係しますか?
-
A
AIエージェントは動くために大量のNHIを必要とします。一体のエージェントが複数のシステムへアクセスするたびにトークンやサービスアカウントを消費するためです。Rubrik Zero Labsの調査では約89%の企業が既にAIエージェントをID基盤へ組み込んでおり、導入が進むほどNHIの数は雪だるま式に膨らみます。
-
Qノンヒューマンアイデンティティとマシンアイデンティティとの違いは何ですか?
-
A
包含関係が両者の違いです。ノンヒューマンアイデンティティは人間以外のID全般を指す総称で、サービスアカウントやAPIトークンまで広く含みます。一方のマシンアイデンティティは主にサーバー証明書やデバイス識別情報などハード寄りのIDを指し、NHIを構成する一要素という位置づけになります。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| API | APIトークンはNHIの代表例。連携の窓口ごとに認証情報が発行される |
| サービスアカウント | NHIの中核。アプリやバッチ処理が使う人間以外のアカウント |
| ゼロトラスト | すべてを検証する設計思想。NHI管理はその実現の重要課題 |
| M2M | 機械同士の通信。その認証を支えるのがNHI |
| パスキー | 人間側の認証技術。NHIと対比すると守る対象の違いが見える |
【出典】参考URL
https://www.crowdstrike.com/en-us/cybersecurity-101/identity-protection/non-human-identities/:NHIの定義と3類型(ワークロード・APIトークン・マシン識別情報)の根拠
https://www.cyberark.com/press/machine-identities-outnumber-humans-by-more-than-80-to-1-new-report-exposes-the-exponential-threats-of-fragmented-identity-security/:機械IDが人間の82倍(82 machine identities for every human)という数値の公式発表
https://www.businesswire.com/news/home/20251113357999/en/New-Rubrik-Research-Finds-Identity-Resilience-is-Imperative-as-AI-Wave-Floods-the-Workplace-with-AI-Agents:Rubrik Zero Labs調査(1,625人対象・82対1・約89%がAIエージェント導入)の公式プレスリリース
https://zerolabs.rubrik.com/reports/the-identity-crisis:Rubrik Zero Labs「Identity Crisis」レポートの一次情報ページ

コメント