CSA 非人間アイデンティティとAIセキュリティの現状 (2026.01.26)

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [CSA 非人間アイデンティティとAIセキュリティの現状](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-ea2b7c.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年02月01日) --- > [!NOTE] この記事の要約（箇条書き） - 「まるちゃんの情報セキュリティ気まぐれ日記」のブログ記事で、Cloud Security Alliance (CSA) の「非人間アイデンティティとAIセキュリティの現状」報告書（2026.01.26）について解説されています。 - 筆者は、AI時代の非人間アイデンティティ (NHI) 管理が既存の脆弱性を増幅させ、IDの爆発的な増加によりシステムが暴走する可能性に懸念を示しています。 - 報告書は、AIの急速な導入が従来のアイデンティティおよびアクセス管理 (IAM) の課題を増幅させていることを指摘し、AIが新しいIDパラダイムをもたらすのではなく、ガバナンス、可視性、オーナーシップ、認証情報のライフサイクル管理といった既存のNHIリスクを拡大させていると分析しています。 - 多くの組織が依然としてレガシーIAMツールと手動プロセスでAIアイデンティティを管理しており、これが認証情報の拡散、不明確なオーナーシップ、一貫性のない自動化、遅延した修復プロセスに繋がっています。 - 報告書は以下の4つの主要な懸念領域を明らかにしています。 1. AIアイデンティティが従来のNHIセキュリティリスクを増幅させること。 2. 持続的なガバナンスとオーナーシップのギャップ。 3. AIの速度とレガシーIAMインフラの摩擦。 4. 不十分なローテーションと失効処理によるトークンの拡散。 - 主要な知見として、組織のAIアイデンティティ認識が従来のNHIと同様であること、AIアイデンティティの作成・削除に関する正式なポリシーを持つ組織が25%未満であること、レガシーIAMシステムがAIの機会を制約していること、そしてAI関連IDの作成を追跡していない組織が16%以上存在することなどが挙げられています。 - 結論として、IAM基盤の近代化、ライフサイクル制御の自動化、およびAI IDをエコシステムの不可欠な要素として扱う明確なガバナンスと説明責任の枠組みの確立が不可欠であると提言されています。 > [!NOTE] 要約おわり --- [« 欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-43f296.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 EDPB データ保護デー2026：子どもの個人データをオンラインで安全に守る »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e8d2f1.html) ## 2026.02.01 ### CSA 非人間アイデンティティとAIセキュリティの現状 (2026.01.26) こんにちは、丸山満彦です。 ID管理をしている人と話をしていると、AI等のNHIの効率的な管理をしなければ、爆発的に増大するIDの管理が追いつかず、システムが暴走し、止めることもできなくなるかも...と言う話をしていたところなので、なるほどです。。。 IDに限らず、生成をAIがするときに同時に独立した別のAIによりその情報の適切性を検証し、修復またはプロセスを中止し、人間の判断を入れるようにする必要があるかもしれませんね... この報告書で指摘されているように、AI時代のID管理は「新しい問題」ではなく「既存の脆弱性の増幅」ですよね。。。特に、ガバナンスとオーナーシップの欠如が、AIによるIDの高速生成と相まって、セキュリティリスクを指数関数的に高めているのは課題でしょう。 AIエージェントを人間と同様に扱い、ライフサイクル全体で自動化されたガバナンスを組み込むことが重要でしょうね。。。そうなるとNHI管理の自動化に取り組むことが必要となりますね... ● **Cloud Security Alliance: CSA** ・2026.01.26 [**The State of Non-Human Identity and AI Security**](https://cloudsecurityalliance.org/artifacts/state-of-nhi-and-ai-security-survey-report) | **The State of Non-Human Identity and AI Security** | **非人間アイデンティティとAIセキュリティの現状** | | --- | --- | | Based on a comprehensive survey of IT and security professionals, this report explores how rapid AI adoption amplifies long-standing Identity and Access Management (IAM) challenges. It reveals that AI does not introduce an entirely new identity paradigm. Instead, AI magnifies existing non-human identity (NHI) risks related to governance, visibility, ownership, and credential lifecycle management. | ITおよびセキュリティ専門家を対象とした包括的な調査に基づき、本レポートはAIの急速な導入が既存のアイデンティティおよびアクセス管理（IAM）課題をいかに増幅させるかを検証する。AIが全く新しいアイデンティティの枠組みをもたらすわけではないことが明らかになった。むしろAIは、ガバナンス、可視性、オーナーシップ、認証情報のライフサイクル管理に関連する既存の非人間アイデンティティ（NHI）リスクを増幅させるのである。 | | Most organizations still manage AI identities using legacy IAM tools and manual processes. But these resources were never designed for autonomous, high-velocity systems. As AI-driven workloads accelerate identity creation, organizations struggle with credential sprawl, unclear ownership, inconsistent automation, and slow remediation timelines. | 多くの組織は依然として、レガシーなIAMツールと手動プロセスでAIアイデンティティを管理している。しかしこれらのリソースは自律的で高速なシステム向けに設計されたものではない。AI駆動のワークロードがアイデンティティ生成を加速させる中、組織は認証情報の拡散、不明確なオーナーシップ、一貫性のない自動化、遅延した修復プロセスに苦慮している。 | | The findings uncover four critical areas of concern: | 調査結果から明らかになった4つの重大な懸念領域は以下の通りである： | | ・AI identities compounding traditional non-human identity security risks | ・AIアイデンティティが従来の非人間アイデンティティセキュリティリスクを増幅させる | | ・Persistent governance and ownership gaps | ・持続的なガバナンスとオーナーシップのギャップ | | ・The friction between AI speed and legacy IAM infrastructure | ・AIの速度とレガシーIAMインフラの摩擦 | | ・Token sprawl caused by inadequate rotation and revocation practices | ・不十分なローテーションと失効処理によるトークンの拡散 | | Together, these issues expand the operational attack surface and increase the blast radius of identity-related incidents. | これらの問題は相まって、運用上の攻撃対象領域を拡大し、アイデンティティ関連インシデントの被害範囲を拡大させる。 | | This research provides a data-driven view into how organizations are currently managing AI-era identities. It shows why visibility, automation, and accountability are essential to securing AI at scale. Finally, it serves as a benchmark for identity maturity and a call to modernize IAM. | 本調査は、組織がAI時代のアイデンティティを現在どのように管理しているかをデータに基づいて明らかにする。可視性、自動化、説明責任が大規模なAIセキュリティに不可欠な理由を示し、アイデンティティ成熟度のベンチマークとして機能するとともに、IAMの近代化を促すものである。 | | **Key Findings:** | **主な調査結果：** | | ・Organizations largely view AI identities through the same lens as traditional NHIs. When asked what constitutes an AI identity, most respondents selected service accounts, API keys or tokens, and chatbots. | ・組織はAIアイデンティティを従来のNHIと同様の視点で捉えている。AIアイデンティティの構成要素を問う質問に対し、回答者の大半がサービスアカウント、APIキー／トークン、チャットボットを選択した。 | | ・Governance remains one of the weakest links in organizations’ AI identity programs. Less than ¼ of organizations reported having documented and formally adopted policies for creating or removing AI identities. | ・ガバナンスは組織のAIアイデンティティプログラムにおいて依然として最も脆弱な部分である。AIアイデンティティの作成・削除に関する文書化済みかつ正式に採用されたポリシーを有すると回答した組織は4分の1未満だった。 | | ・The limitations of legacy IAM systems often constrain AI opportunities. Only 12% of organizations reported being highly confident in their ability to prevent attacks via NHIs. Even fewer expressed high confidence that their legacy IAM solutions can effectively manage AI and NHI security risks. | ・レガシーIAMシステムの限界がAI活用の機会を制約している。NHI経由の攻撃を防止できると高い自信を持っている組織はわずか12%だった。さらに少ない組織しか、レガシーIAMソリューションがAIおよびNHIのリスクを効果的に管理できると高い自信を示していない。 | | ・More than 16% of organizations said they do not track the creation of new AI-related identities. This leaves a growing subset of tokens and service accounts outside formal inventory. | ・16%以上の組織が、新たなAI関連アイデンティティの作成を追跡していないと回答した。これにより、トークンやサービスアカウントの増加するサブセットが正式なインベントリから除外された状態にある。 | [![20260130-190901](https://maruyama-mitsuhiko.cocolog-nifty.com/security/images/20260130-190901.png "20260130-190901")](https://cloudsecurityalliance.org/download/artifacts/state-of-nhi-and-ai-security-survey-report) | [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-ea2b7c.html) [« 欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-43f296.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 EDPB データ保護デー2026：子どもの個人データをオンラインで安全に守る »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e8d2f1.html) [« 欧州 ETSI EN 304 223 V2.1.1 (2025-12) 人工知能のセキュリティ確保 (SAI); AIモデル及びシステムに対する基本サイバーセキュリティ要件 (2026.01.15)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-43f296.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [欧州 EDPB データ保護デー2026：子どもの個人データをオンラインで安全に守る »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e8d2f1.html)