人間以外の ID のモニタリングが課題 ～「SaaSセキュリティの現状レポート 2025 ～ 2026」CSAジャパン

　一般社団法人日本クラウドセキュリティアライアンス（CSAジャパン）は5月19日、翻訳WGが「SaaSセキュリティの現状レポート 2025年～2026年の動向と洞察」を公開したと発表した。

　同書は、CSA本部がさまざまな規模や地域の組織のITおよびセキュリティ専門家から得た420件の回答について、CSA のリサーチアナリストがデータ分析と解釈を行った「The State of SaaS Security Trends and Insights for 2025-2026」を日本語訳したもの。

　調査結果によると、企業の46％がNHI（NHI:non-human identities）のモニタリングを最大の課題として挙げており、人間以外のIDの監視と保護がますます難しくなり、組織は、特権の行使、アイデンティティの乱立、ユーザーのライフサイクル管理に苦慮していることが判明した。これらと同じ課題が、APIベースの接続、OAuthトークン、サービスアカウントにも当てはまり、さらに複雑な方法をとることも多くなるとのこと。

　組織の56％が、サードパーティベンダーと生成AIツールは機密デ ータへのAPIアクセスが過剰に許可されていると報告しており、過剰な許可と可視性と監視の欠如の組み合わせがいかにリスクをもたらすかを強調している。過剰な許可と可視性と監視の欠如の組み合わせは、一度設定されると放置され ることが多く、不正アクセスやデータ流出のためにエクスプロイトされる可能性のある、監視されてい ない接続の蓄積につながると指摘している。

　生成AIとエージェント型AIツールは設計上、アプリケーション全体で大量のデータを取り込み、相互作用するように構築されているため、デフォルトで広範なアクセス権限が必要となり、これらのツールが適切なガバナンスなしに導入された場合、意図した範囲を超えて機密情報にアクセスしたり、変更したりする可能性がある。生成AI主導のツールは、しばしば人間と機械のアクティビティ間の境界線を曖昧にし、SaaSのための従来のIAMアプローチを使用して追跡することを困難にしているとしている。

　NHIの普及が進んでいるにもかかわらず、人間のアカウントと同じような厳格なガバナンスが適用されることはほとんどなく、NHIのセキュリティとガバナンスは組織の広範なSaaSセキュリティ戦略に統合されなければならないとしている。NHIがSaaSアプリケーションの相互作用の中心的な役割を果たすようになるにつれ、その管理を見過ごすと、セキュリティ環境がさらに断片化され、一貫性のない保護が生み出されるためSaaSセキュリティポスチャの強化が難しくなるとしている。