Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 認証は入口にすぎない。ガバナンスが被害の大きさを決める。

認証は入口にすぎない。ガバナンスが被害の大きさを決める。

by Patrick Spencer updated 6月 1, 2026 サイバーセキュリティー・リスク管理
Reading Time: 7 minutes

71%。これは、Sophosの新しい調査によると、2025年にアイデンティティ関連の侵害を経験したエンタープライズ企業の割合です。3分の2を超える組織が、1年のうちにアイデンティティシステムの侵害を受けています。同調査で発生したランサムウェア攻撃の67%は、アイデンティティの侵害から始まっています。さらに研究者が根本原因を調査したところ、より注目すべき事実が明らかになりました。それは「非人間アイデンティティ」—APIキー、サービスアカウント、OAuthトークン—が41%のインシデントの根本原因だったということです。

人の認証情報とは異なり、非人間アイデンティティは四半期ごとのアクセス再認証サイクルで見直されることはほとんどなく、定期的なスケジュールでローテーションされることもほとんどありません。また、作成時の関係やワークフローが変更されても、取り消されることは稀です。非人間アイデンティティは、人間のアイデンティティ管理プログラムでは対応しきれない速度で増殖します。アプリケーション統合ごとに少なくとも1つの認証情報が作成され、自動化されたワークフローごとにさらに増えます。成熟したマルチクラウド環境では、エンタープライズ企業が数千もの非人間アイデンティティを保有していることもあり、多くは人間アカウントを追跡するアイデンティティガバナンスプログラムから見えない存在です。

CrowdStrike 2026年グローバル脅威レポートは、さらにそのスピード感を示しています。平均的なeCrimeアクターは、初期アクセスからラテラルムーブメント(横展開)までわずか29分で達成し、最速記録は27秒です。セキュリティチームが非人間アイデンティティの侵害に対応するまでの時間は、ほぼ確実に「秒」ではなく「時間」や「日」で測られるでしょう。

5つの重要なポイント

1. アイデンティティ侵害はもはや例外ではなく、前提条件となった

Sophosの新しい調査によると、2025年にエンタープライズ企業の71%がアイデンティティ関連の侵害を経験し、ランサムウェア攻撃の67%がアイデンティティ侵害から始まっています。平均的な侵害コストは164万ドル—この数字は、影響範囲が完全に算出される前の封じ込めコストを反映しています。今や設計上の課題は「すべての侵害を防ぐ方法」ではなく、「侵害が発生したときに環境がどうなるか」です。ゼロトラスト・データ保護こそが答えです。

2. 非人間アイデンティティは過小防御の攻撃対象領域

Sophosのデータによれば、APIキー、サービスアカウント、OAuthトークンがアイデンティティ侵害インシデントの41%で根本原因となっています。マシン認証情報は人間の認証情報よりも速く増殖し、アクセス再認証サイクルで見直されることはほとんどなく、目的以上に広範なアクセス権が付与されることも多いです。サードパーティAPI統合がこれに拍車をかけ、関係が変わった後も認証情報が長期間残り続けます。

3. 認証は「ゲート」であり、「制限」ではない

侵害されたAPIキーは、追加の攻撃を必要とせず、そのサービスアカウントが持つすべてのアクセス権を攻撃者に即座に与えます。強固な認証は認証情報の窃取確率を下げますが、盗まれた認証情報でアクセスできる範囲自体は変わりません。CrowdStrike 2026年グローバル脅威レポートによると、平均的なeCrimeのブレイクアウトタイムは29分—非人間アイデンティティが侵害された後、ほとんどの組織が直面する対応ウィンドウは、それよりもはるかに長いのが現実です。

4. 認証が破られた後の被害範囲はコンテンツガバナンスで決まる

ゼロトラスト・コンテンツガバナンスにより、認証済みアクセスであっても、明示的に許可され、監査可能な記録にログされていない限り、機密コンテンツには到達できません。アイデンティティ侵害—人でもマシンでも—の被害範囲は、認証の強度ではなくアクセスガバナンスによって直接決まります。Kiteworks 2026年予測によると、55%のエンタープライズ企業が侵害された自動化プロセスを隔離できていません—つまり、認証情報が悪用されると、ほとんどの組織は被害を止められないのです。

5. 164万ドルという平均侵害コストがガバナンス投資の根拠となる

DTEXの調査によれば、30日以内にインシデントを封じ込めた組織の年間インサイダーリスクコスト平均は1,420万ドル、90日超かかった場合は2,190万ドル—この770万ドルの差は、ガバナンス成熟度を直接反映しています。すべての侵害を防ぐかどうかではなく、認証が破られたときに侵害されたアイデンティティが到達できる範囲を制限できるかどうかが問われています。

自社のセキュリティを信じていますか。その証明はできますか

Read Now

認証は必要条件だが十分条件ではない理由

認証は「誰(または何)」がドアの前にいるかを確認しますが、中に入った後に何ができるかまでは制御しません。侵害されたAPIキーは、追加の攻撃を必要とせず、そのサービスアカウントが持つすべてのアクセス権を攻撃者に即座に与えます。そのサービスアカウントが財務記録を閲覧できれば、攻撃者も閲覧できます。規制対象コンテンツにアクセスできれば、攻撃者もアクセスできます。

強固な認証—MFA、短命トークン、証明書ベースのアイデンティティ—は、認証情報の取得や偽造を困難にしますが、正当に取得された認証情報でアクセスできる範囲自体は変わりません。攻撃者が公開リポジトリで有効なAPIキーを見つけた場合、認証を回避したわけではなく、正規の認証を通過しています。そして、その認証情報がローテーションまたは取り消されるまで、攻撃者は有効な認証情報で認証し続けます。

サービスアカウントは、自動化ワークフローの柔軟性を高めるために広範なアクセス権でプロビジョニングされることが多く、OAuthトークンは認可ユーザーの権限を継承しますが、その範囲は実際に必要なアプリケーションアクセスよりも広い場合があります。その結果、Sophosデータで41%のアイデンティティ侵害の根本原因となった「ガバナンスが不十分かつ範囲が広すぎる認証情報」が大量に生まれています。

非人間アイデンティティ侵害の実態

攻撃者が、ドキュメント管理システムとワークフロー自動化プラットフォームの統合に使われているサービスアカウントのAPIキーを入手します。このキーは18か月前、統合時に発行されましたが、ローテーションには2つのチームの調整が必要なため一度もローテーションされていません。サービスアカウントにはドキュメント管理システム全体の閲覧権限が与えられていました—本来必要な範囲より広いのは、特定フォルダーへの限定を実装するのが複雑だったからです。

攻撃者はドキュメント管理システムに認証し、すべてのドキュメント—契約書、財務報告書、規制データ、機密情報—に閲覧権限を持ち、好きなものをダウンロードします。認証ログには既知のサービスアカウントによる通常のアクティビティが記録され、行動パターンにアラートを発するものはありません。侵害が発覚するのは数週間後、別のインシデント対応で調査が行われたときです。その時点でデータは流出し、封じ込めコストも多額になっています。

Kiteworks 2026年予測によると、55%のエンタープライズ企業が、予期せぬ挙動を始めたAIシステムや自動化プロセスを隔離できていません—このコントロールギャップは、非人間アイデンティティ侵害シナリオにそのまま当てはまります。調査中に悪用されているサービスアカウント認証情報を隔離できなければ、攻撃者は対応中もアクセスを継続できます。

164万ドルが意味するインシデント対応

アイデンティティ関連侵害の平均コスト164万ドルは、ガバナンス投資の財務的根拠となります。この数字には、直接的なインシデント対応—フォレンジック、封じ込め、復旧、通知—に加え、業務中断や規制リスクも含まれます。DTEXの調査はガバナンス成熟度の影響を明確に数値化しています。30日以内にインシデントを封じ込めた組織の年間インサイダーリスクコスト平均は1,420万ドル、90日超かかった場合は2,190万ドル。年間770万ドルの差は、ガバナンス成熟度を直接反映しています。

ガバナンス投資の計算式は「すべての侵害を防ぐコスト」ではなく、「被害範囲を縮小し、侵害されたAPIキーが壊滅的な事態ではなく、封じ込め可能なインシデントで済むようにするコスト」です。アクセスレイヤーでのコンテンツガバナンス—認証情報ごとに到達可能範囲を定義し、すべてのアクセスを監査可能な記録にログし、異常な挙動を示した認証情報を迅速に隔離できる仕組み—は、アイデンティティ侵害の経済性を根本から変えます。

コンテンツレイヤーでのガバナンス

ゼロトラストモデルは、認証とガバナンスのギャップを直接解決します。ゼロトラストは「認証は必要だが十分ではない」とし、すべてのリクエスト(人でもマシンでも)に対し、アクセス許可前に明示的なポリシーで評価することを求めます。

コンテンツレイヤーでのガバナンスとは、完全に認証されたAPIキーであっても、明示的にポリシーで許可され、監査可能な記録にログされ、取り消しが可能でない限り、機密ファイルへのアクセスや規制ファイル転送の開始、承認外へのデータ送信はできないということです。認証が失敗したからではなく、認証だけでは最終的なゲートにならないからです。

Kiteworksプライベートデータネットワークは、機密コンテンツ通信スタック全体—マネージドファイル転送セキュアメールセキュアなファイル共有SFTP、自動化プロセスやAIシステムがコンテンツにプログラム的にアクセスするAPIレイヤー—でコンテンツレイヤーのガバナンスを実装しています。すべてのアクセスリクエスト(人でもマシン認証情報でも)は、アクセス許可前に明示的なポリシーで評価されます。異常な挙動を示した認証情報は、システム全体を止めずに迅速に隔離可能です。FIPS 140-3認証済み暗号化により、保存中・転送中のデータを保護します。改ざん検知可能な監査ログは、すべてのマシンリクエストの背後にいる人間の承認者まで完全に紐づけて、リアルタイムでSIEMにストリーミングされます。

Kiteworks Secure MCP ServerおよびAI Data Gatewayを通じて規制コンテンツにアクセスするAIエージェントや自動化ワークフローにも、同じガバナンスが適用されます。すべてのリクエストは認証され、属性ベースアクセス制御で認可され、目的限定され、ログ記録されます。侵害されたAPIキーが認証しても、明示的に許可された範囲にしか到達できません。

アイデンティティ侵害を前提としたゼロトラスト・コンテンツモデル

71%というSophosの調査結果は、アイデンティティ侵害がもはや例外的リスクではなく、前提条件であることを意味します。設計上の問いは「すべてのアイデンティティ侵害を防ぐ方法」ではなく、「アイデンティティが侵害されたとき、自社の環境はどうなるか」です。

ゼロトラスト・コンテンツ環境では、答えはこうなります。侵害された認証情報は認証されても、明示的に許可された範囲にしか到達できません。アクセスは十分な粒度でログ記録され、異常が検知された瞬間に認証情報を取り消し・隔離できます。他の認証情報に依存する正当なワークフローを妨げることなく対応できます。

アイデンティティ強化—より強力なMFA、認証情報の有効期間短縮、シークレット管理の高度化—は認証情報侵害の確率を下げます。アクセスレイヤーでのコンテンツガバナンスは、侵害発生時の影響を軽減します。どちらも必要な投資です。71%という前提発生率を踏まえれば、影響軽減への投資は確率低減と同等以上に重視されるべきです。

認証は「入場」を許可します。ガバナンスが「被害範囲」を決めます。

認証を超えて機密データを守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

非人間アイデンティティとは、自動化システム、アプリケーション、AIエージェントが他のシステムに認証するために使用する認証情報(APIキー、サービスアカウント認証情報、OAuthトークン、証明書など)です。非人間アイデンティティは増殖が速く、アクセス再認証の対象となることはほとんどなく、過剰な権限が付与されがちで、作成時の関係が変わっても取り消されることは稀です。Kiteworks AI Data GatewayおよびSecure MCP Serverは、コンテンツレイヤーでのガバナンスを人間・マシン両方のアイデンティティアクセスに適用します。

ゼロトラストガバナンスは、認証済みアクセスが自動的に機密コンテンツへのアクセスに直結しないようにすることで、被害範囲を縮小します。侵害されたAPIキーは認証できても、明示的に定義された範囲外のコンテンツには到達できず、未承認エンドポイントへのファイル転送も開始できません。すべてのアクセスは異常検知のためにログ記録されます。Kiteworksプライベートデータネットワークは、MFT、セキュアなファイル共有、セキュアメール、APIレイヤー全体でこれを実現しています—1つのポリシーエンジン、1つの監査ログです。

4つの要件があります:明示的なアクセス範囲の限定(認証情報は必要なワークフロー範囲のみアクセス)、人間アクセスと同等粒度での監査ログ記録、強制力あるローテーションポリシー、迅速な取り消し(隔離)機能です。Kiteworks 2026年予測によると、55%のエンタープライズ企業が侵害された自動化プロセスを隔離できていません—この取り消し・隔離機能こそ、多くの組織が最初に埋めるべきギャップです。

侵害コストは、ガバナンス投資で回避できる上限値です。ただし、DTEXの調査は計算式をさらに精緻化しています。30日以内にインシデントを封じ込めた組織の年間インサイダーリスクコスト平均は1,420万ドル、90日超かかった場合は2,190万ドル。その770万ドルの差が、ガバナンス成熟度の直接的な指標です。認証情報の範囲限定、異常検知、迅速な隔離が封じ込め時間を短縮する具体的なコントロールです。

機密コンテンツにプログラム的にアクセスする業界が最も高いリスクに直面します。たとえば、自動化システムがCUIにアクセスする防衛請負業者、データパイプラインがPHIにアクセスする医療機関、自動化プロセスが顧客の財務データにアクセスする金融サービスなどです。FIPS 140-3認証済み暗号化、ABACの適用、改ざん検知可能な監査証跡により、機械・人間アクセスの両方でHIPAA、CMMC、PCI DSS要件を同時に満たせます。

追加リソース

  • ブログ記事 国際共同研究における臨床試験データの保護方法
  • ブログ記事 CLOUD法と英国データ保護:管轄権が重要な理由
  • ブログ記事 ゼロトラスト・データ保護:高度なセキュリティのための実装戦略
  • ブログ記事 データ保護バイデザイン:GDPRコントロールをMFTプログラムに組み込む方法
  • ブログ記事 国境を越えたセキュアなファイル共有でデータ侵害を防ぐ方法

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks