近年、組織の認証基盤運用における重要な保護対象の1つとしてNHI(Non-Human Identities/非人間アイデンティティ)が注目されています。NHIは今や組織のIDの大多数を占めており、今後AIエージェントの活用が進むことでその数はさらに増加すると見込まれています。高い権限を持つ場合も多いことからサイバー攻撃の標的にもなりやすいのが実態です。
こうした状況を背景に、某有名リサーチ会社によるNHI対策の「全社レベルでの強化」が必要との言及があったり、2026年1月9日公開の日経クロステックの記事にてNHIを取り巻くリスクが取り上げられたりと、国内でもその対策の必要性は徐々に浸透してきています。
引用:日経クロステック社 記事「非人間アイデンティティー「NHI」、AIエージェント普及で注目 増加の一途」 https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/121600301/ (2026/1/20参照)
それでは、現場のインフラ/セキュリティ担当者の方々はNHI保護のためにどのような対策を講じるべきなのでしょうか。
本ブログでは、認証基盤運用における重要課題の1つであるNHIを保護する4つの具体的な対策と、それらを簡単に実現できるソリューション”Silverfort”をご紹介します。
NHI保護はなぜ重要?
一般にサービスアカウントやマシンIDとも呼ばれるNHI (Non-Human Identities/非人間アイデンティティ)は、ユーザーアカウントと同じくIDの一種であり、例として以下のようなものが挙げられます。
|
例 |
概要 |
|
サービスアカウント |
アプリケーション/サービス/システム間の通信や相互作用を可能にするために作成されたアカウント |
|
APIキー |
API事業者が発行している、パスワードに似た認証情報。APIクライアントからのトラフィックを識別する |
|
SSL/TLS証明書 |
認証局から発行されるサーバー証明書。通信データの暗号化やサイトが本物であることの証明に使用する |
表 1 NHIの具体例
組織のインフラやセキュリティにおいてNHIが果たす役割は水面下で拡大し続けています。また、高い権限を有することの多いNHIを保護することなく放置してしまうと、万が一ID窃取等の被害に遭ってしまった際の権限昇格につながるため、さらなる被害拡大を招いてしまうリスクが大幅に高まります。
NHIについて詳しく知りたい方は、こちらのブログもご参照ください。
【ブログ】NHI(非人間ID)とは?用語の基本と組織が見落としがちなリスクをわかりやすく解説
https://products.nvc.co.jp/blog/what-is-non-human-identities
NHI保護を実現する4つの具体的な対策
それでは、IDセキュリティにおける重要な保護対象であるNHIを実際のサイバー攻撃から守るためにはどうすればよいのでしょうか。以下では、NHI保護のために一般的に推奨される4つの対策をご紹介します。
| No. | 対策 | 概要 |
|
① |
認証基盤上の情報精査とNHI発見 | 設定情報や認証ログ等からNHIを可視化 |
|
② |
設定の適正化 | 最小権限の原則、対話型ログオンの無効化、不必要なアカウント同期の回避等を徹底 |
|
③ |
定期的な棚卸し | 所有者、有効期限等の項目で棚卸しを実施 不要なアカウントの無効化/削除も必要 |
|
④ |
ソリューションの導入 | NHIを保護可能な専用ソリューションを導入 |
表 2 NHI保護を実現する4つの具体的な対策
対策①:認証基盤上の情報精査とNHI発見
認証基盤上の設定情報や認証ログの精査によって可視化を実施します。可視化は対策のベースとなる重要な段階であるため、NHIをもれなく洗い出す必要があります。
対策②:設定の適正化
予防対策として設定の適正化を行うことで攻撃者に侵入された際のアタックパスを妨害あるいは遮断できるため、被害拡大の防止に繋がります。
設定の適正化対策をさらに細分化すると、最小権限の原則の徹底、対話型ログオンの無効化などが挙げられます。また、認証基盤がハイブリッド構成の場合はオンプレミスとクラウド間の不必要なアカウント同期の回避も併せて推奨されます。上記を含む各種ベストプラクティスやフレームワークと実際の組織におけるID管理やセキュリティの現状とを照合することによってセキュリティリスクのある設定を発見し、必要な対策を講じることが重要です。
対策③:定期的な棚卸し
NHIの定期的な棚卸しを行います。NHIを含むID全般の棚卸しによく使われる手法としては表計算ソフトを用いた一覧化が挙げられますが、NHIに限っては、数が膨大であるために手動での棚卸しが現実的ではない可能性もあります。また、一覧化に加えて不要なNHIの無効化/削除も行っておくことによって、攻撃者による悪用を未然に防止することができます。
対策④:ソリューションの導入
上記のようなNHI保護を現状の人員や既存のソリューションで実現することが難しい場合は、追加で専用の対策ソリューションの導入が必要になるでしょう。
ソリューションの導入検討時に必須といえる要件は以下の通りです。
- NHI保護の実現可否:上記の対策①~③を実現可能であること。
- 導入の容易性:既存の認証基盤に大きな変更を加えることなく導入でき、コストカットに貢献すること。
また、必須ではないが加点対象とみなせる要件は以下の通りです。
- 追加の保護機能の有無:NHIに限らず、IDや認証を単一のソリューションで広域に保護できること。
NHI保護に理想的なソリューション「Silverfort」とは?
ここまででは、NHIの普及に伴うリスクを踏まえた4つのNHI保護対策を見てきました。その中で「ツールを使わずに守るには限界があるのではないか」と感じた方も多いのではないでしょうか。
そこで本章では、NHI保護にも対応した統合アイデンティティセキュリティ対策ソリューションである「Silverfort」をご紹介します。
Silverfortは、既存の認証基盤に横付けすることでNHIを含むあらゆるIDや認証の可視化、分析、制御までを実現する強力なソリューションであり、先ほどご紹介した4つのNHI保護手段のうち、通常は手動での対応となる3つのすべてをSilverfort単体で簡単に強化・実現できます。さらに、4つ目の手段としてご紹介した「専用の対策ソリューション」としては嬉しい追加機能も備えています。
組織に必要なNHI保護対策とそれに対応するSilverfortの魅力をまとめた表は以下の通りです。
|
No. |
対策 |
Silverfortの魅力 |
|
① |
認証基盤上の情報精査とNHI発見 |
既存の認証基盤から網羅的に自動で情報収集 |
|
② |
設定の適正化 |
脆弱でリスクのある設定の検出と、具体的な解決方法の提示(=ISPM機能) |
|
③ |
定期的な棚卸し |
NHIを各種設定情報含め一覧化、出力 |
|
+α |
加点ポイント |
NHIを含むID全般や認証を広域に保護 |
表 3 NHI保護対策とSilverfortの魅力
まとめ
本ブログでは、NHIを保護するための4つの方法と統合アイデンティティセキュリティ対策ソリューション 「Silverfort」を活用した対策方法をご紹介しました。
ADを認証基盤として運用している組織において、NHIに限らずID全般の管理やセキュリティに課題を抱えている方には、課題の可視化と解決の糸口を提供することができます。例えば、NHI保護の他にも「オンプレミスADへのMFA適用」もSilverfortなら実現可能です。詳細はこちらのブログやホワイトペーパーをご確認ください。
ブログ:AD認証(Active Directory)にMFAを適用する方法|Silverfortで実現
https://products.nvc.co.jp/blog/how-to-apply-mfa-active-directory-authentication
ホワイトペーパー:AD認証にそのままMFAを追加 構成変更なしで始めるSilverfort
https://products.nvc.co.jp/silverfort/resource/add-mfa-directly-ad-authentication
NHIを含めた包括的なIDセキュリティが注目され始めた現在のタイミングで、早めのNHI対策をぜひSilverfortでご検討ください。
製品の詳細説明やデモ、トライアルのご相談も可能ですので、ご興味をお持ちの方は、ぜひお気軽に弊社までお問い合わせください。
