ノンヒューマンアイデンティティとは?AI時代のID管理

システム開発・テクノロジー
ノンヒューマンアイデンティティとは?ざっくりと3行で
  • ノンヒューマンアイデンティティとは、サービスアカウントやAPIトークンのように、人間ではないソフトウェアや機器に割り当てられるデジタルIDのことだ。
  • なぜ今かというと、AIエージェントが自律的にシステムへアクセスする時代になり、人間IDの82倍という規模で機械側のIDが増えているからだ。人間の目が届かないまま放置されやすい。
  • これまで見過ごされてきた機械の鍵を棚卸しすれば、乗っ取りの入り口をひとつ確実に減らせると覚えておけばいい。
サービスアカウントなどのノンヒューマンアイデンティティが人間の鍵より大量に増え、管理漏れの合鍵から侵入される流れを描いた4コマ漫画。
①管理人は人間の住人の鍵だけを把握し余裕でいる。②裏の収納から機械用の合鍵が大量に見つかり驚く。③放置された合鍵の1本が侵入者に抜き取られる。④デプロイ太郎が機械の鍵も棚卸ししろと助言する。

この4コマは、AIエージェントやアプリ連携を増やした企業で実際に起こりうる侵入経路を描いています。コマ①の管理人は人間の従業員の認証情報だけを見ており、そこには安心感があります。ところがコマ②で明らかになる通り、掃除ロボットや宅配ボックスに例えられる機械側のIDは、担当者すら数を把握していないケースが少なくありません。

コマ③の一本の合鍵は、放置されたAPIトークンやサービスアカウントの比喩です。攻撃者はパスワードを破るのではなく、正規の鍵で堂々と入ってきます。近年の調査で機械側のIDが人間の82倍にのぼると報告されており、監視の空白地帯がそれだけ広いという意味になります。

コマ④のデプロイ太郎が促すのは、人間の棚卸しと同じ発想を機械にも適用することです。誰が発行し、どの権限を持ち、まだ使っているのかを定期的に確認します。発行しっぱなしを無くす運用こそが、静かな侵入を防ぐ現実的な第一歩になります。

なぜノンヒューマンアイデンティティが今になって注目されるのか?

ある2025年の調査では、企業内で非人間のアイデンティティが人間のIDに対して82対1の比率で存在すると報告されています。従業員100人の会社なら、機械側のIDが8,000以上ある計算です。

ノンヒューマンアイデンティティを理解する近道は、正体を3つの要素に分解することです。1つ目はワークロード、つまりアプリやバッチ処理がデータベースへつなぐために使うサービスアカウント。2つ目はAPIトークンで、システム同士がデータをやり取りする際の認証情報にあたります。3つ目はマシン識別情報で、仮想マシンやコンテナ、IoT機器に紐づく証明書などが含まれます。大手セキュリティベンダーのCrowdStrikeも、この3類型でNHIを整理しています。

実務では発行者不明の古いトークンが最大のリスクです。棚卸しの際は最終利用日を確認し、90日以上使われていない認証情報を洗い出して失効させる運用を決めておくと管理が回りやすくなります。

注目度が急上昇した引き金は、AIエージェントの普及にあります。自律的に判断してシステムへアクセスするエージェントは、一体ごとに複数のトークンやサービスアカウントを必要とします。Rubrik Zero Labsが約1,600人のセキュリティ意思決定者に行った調査では、回答企業の約89%が既にAIエージェントをID基盤に組み込んでいると答えました。人が作った鍵より速いペースで機械の鍵が増える構図が、NHI管理をゼロトラストの中心課題へ押し上げているのです。

ノンヒューマンアイデンティティのよくある誤解

数が少ないから後回しでよいという思い込み

むしろ逆で、非人間のIDは人間の従業員数を大きく上回ります。前述の82対1という比率が示す通り、社内で最も数が多い利用者は人間ではなく機械です。数が多いほど管理漏れも増えるため、優先度はけっして低くありません。

サービスアカウントだけを見ておけば十分という理解

サービスアカウントはNHIの一部にすぎません。APIトークン、OAuthの認可情報、CI/CDパイプラインの認証情報、電子証明書なども含まれます。特定の一種類だけを管理して安心してしまうと、見落とした別の種類が侵入口になってしまうのではないでしょうか。

パスワードを強くすれば守れるという発想

人間向けの強固なパスワードや多要素認証は、機械のIDには当てはめにくいものです。NHIで守るべきはトークンや鍵といった秘密情報そのものであり、それらをコード内に平文で書かない、定期的に入れ替えるといった管理が本質になります。強度より管理と棚卸しが鍵を握ります。

会話での使われ方

ノンヒューマンアイデンティティについて話すITKAGYO運営者のアイコン画像

AIエージェントを増やす前に、ノンヒューマンアイデンティティの棚卸しをやろう。誰が発行したか分からないトークンが一番怖い。来週までに一覧を作ってほしい。

社内のセキュリティ会議で、情報システム部長が若手担当者に向けて、AI導入プロジェクトの前提作業を指示している場面です。

ノンヒューマンアイデンティティ管理を提案するITKAGYO運営者のアイコン画像

御社は人間のアカウント管理は徹底されていますが、ノンヒューマンアイデンティティ側に空白があります。API連携が増えた今、ここを可視化するツールをご提案させてください。

商談の席で、セキュリティ製品のベンダー担当者がクライアント企業の情報部門に、導入メリットを提案しているシーンです。

ノンヒューマンアイデンティティの質問に答えるITKAGYO運営者のアイコン画像

ノンヒューマンアイデンティティって、要はアプリやボット用のアカウントのことですか?

Slackの雑談チャンネルで、新人エンジニアが先輩に、勉強会で聞いた言葉の意味を気軽に尋ねている場面です。

ノンヒューマンアイデンティティとマシンアイデンティティの違い

ノンヒューマンアイデンティティとマシンアイデンティティは重なる部分が多く、現場でも混同されがちです。両者はどちらも人間以外のIDを指しますが、カバーする範囲に差があります。

比較観点ノンヒューマンアイデンティティマシンアイデンティティ
指す範囲人間以外のID全般。アプリ・サービス・機器・トークンを広く含む主に機器やサーバー、証明書などハード寄りのID
代表例サービスアカウント、APIトークン、OAuth認可情報サーバー証明書、TLS証明書、デバイス識別情報
位置づけ上位の総称。マシンアイデンティティを内包するNHIを構成する一要素

【まとめ】ノンヒューマンアイデンティティの3つのポイント

  • 正体は機械が持つ合鍵:サービスアカウントやAPIトークンなど、人間以外に配られたデジタルの鍵の総称です。
  • 棚卸しで穴をふさげる:誰が発行し、まだ使っているかを定期的に確認するだけで、放置トークンからの侵入を減らせます。
  • AI時代の必修知識:エージェント導入で機械のIDは急増するため、知らずに放置すると乗っ取りの温床になります。

よくある質問

Q
ノンヒューマンアイデンティティの具体例には何がありますか?
A

サービスアカウント、APIトークン、OAuthの認可情報、電子証明書、CI/CDパイプラインの認証情報などが代表例です。CrowdStrikeはこれらをワークロード・APIトークン・マシン識別情報の3類型で整理しています。人が使わず、システムやアプリが自動処理のために利用するIDだと考えると分かりやすいでしょう。

Q
なぜノンヒューマンアイデンティティの管理が難しいのですか?
A

数が圧倒的に多く、発行の記録が残りにくいことが難しさの根本です。ある2025年の調査では人間IDの82倍という比率が報告されており、退職や異動のない機械のIDは棚卸しのきっかけも生まれません。結果として、誰が作ったか分からない古いトークンが放置されやすくなります。

Q
AIエージェントとノンヒューマンアイデンティティはどう関係しますか?
A

AIエージェントは動くために大量のNHIを必要とします。一体のエージェントが複数のシステムへアクセスするたびにトークンやサービスアカウントを消費するためです。Rubrik Zero Labsの調査では約89%の企業が既にAIエージェントをID基盤へ組み込んでおり、導入が進むほどNHIの数は雪だるま式に膨らみます。

Q
ノンヒューマンアイデンティティとマシンアイデンティティとの違いは何ですか?
A

包含関係が両者の違いです。ノンヒューマンアイデンティティは人間以外のID全般を指す総称で、サービスアカウントやAPIトークンまで広く含みます。一方のマシンアイデンティティは主にサーバー証明書やデバイス識別情報などハード寄りのIDを指し、NHIを構成する一要素という位置づけになります。

この用語と一緒に知っておきたい用語

用語この記事との関連
APIAPIトークンはNHIの代表例。連携の窓口ごとに認証情報が発行される
サービスアカウントNHIの中核。アプリやバッチ処理が使う人間以外のアカウント
ゼロトラストすべてを検証する設計思想。NHI管理はその実現の重要課題
M2M機械同士の通信。その認証を支えるのがNHI
パスキー人間側の認証技術。NHIと対比すると守る対象の違いが見える

【出典】参考URL

https://www.crowdstrike.com/en-us/cybersecurity-101/identity-protection/non-human-identities/:NHIの定義と3類型(ワークロード・APIトークン・マシン識別情報)の根拠
https://www.cyberark.com/press/machine-identities-outnumber-humans-by-more-than-80-to-1-new-report-exposes-the-exponential-threats-of-fragmented-identity-security/:機械IDが人間の82倍(82 machine identities for every human)という数値の公式発表
https://www.businesswire.com/news/home/20251113357999/en/New-Rubrik-Research-Finds-Identity-Resilience-is-Imperative-as-AI-Wave-Floods-the-Workplace-with-AI-Agents:Rubrik Zero Labs調査(1,625人対象・82対1・約89%がAIエージェント導入)の公式プレスリリース
https://zerolabs.rubrik.com/reports/the-identity-crisis:Rubrik Zero Labs「Identity Crisis」レポートの一次情報ページ

コメント

「IT用語、難しすぎて心が折れそう……」という方のための、ハードル低めな用語辞典です。

情報レベルは「基礎中の基礎」。会話を止めないためのエッセンスだけを抽出しています。分かりやすさを追求するあまり、時々例え話が暴走しているかもしれませんが、そこは「ほどよく」聞き流していただけると幸いです。
ほどよくIT用語辞典システム開発・テクノロジー
デプロイ太郎のSNSを見てみる!!