English 
2026年のクレデンシャル・ハイジーンはパスワードだけではありません。システム内のすべてのIDが対象となります。人間、機械、そして AIエージェント. .そのすべてが標的になり得るのです。そして攻撃者はそれを知っています。莫大なセキュリティ予算にもかかわらず、侵害は後を絶ちません。システムが危険にさらされる主な原因は、依然としてID攻撃です。.
ほとんどの企業は、派手な新しいツールに注目しています。最新のファイアウォール、次世代エンドポイントプロテクション、AIセキュリティダッシュボードに投資します。しかし、基本は無視されます。大きな影響を与える小さな修正はスキップされます。.
今日のクレデンシャル・ハイジーンとは、ID負債を減らすことです。つまり、休眠アカウントを一掃することです。不要な権限の削除。すべてのマシンIDを適切に管理すること。すべての古いアカウントや忘れられたアカウントは、開かれたままになっているドアです。追跡されていない許可はすべて、悪用を待つリスクです。.
こちらもお読みください: 日本におけるクラウドコストの最適化:俊敏性を失うことなく支出を削減する方法
問題は技術ではありません。注意力です。企業は新しいソリューションを追い求める一方で、古いリスクを放置しています。現実は単純です。アイデンティティの負債は静かに増大します。攻撃者はそれを素早く悪用します。人間、機械、AIエージェントのアイデンティティ・ハイジーンを管理する企業は、次の攻撃が来る前にドアを閉め始めます。.
技術的負債と特権の拡散の無視された基盤
Active DirectoryとEntra IDは昔からあるものです。今でも多くの企業が使っています。表面的には問題ないように見えます。しかし、その内部では、レガシーな設定、壊れた権限委譲、孤立したアカウントが静かに積み重なっています。誰も気づきません。古いユーザーや忘れ去られたマシン・アカウントはすべて、攻撃者にとってのドアなのです。マイクロソフトは次のように述べています。 97パーセント ID攻撃は依然としてパスワードが標的2025年上半期には、IDベースの攻撃が32%急増しました。これは非常に大きなことです。しかし、ほとんどの企業はIDシステムを継続的にチェックしていません。継続的なアイデンティティ・ポスチャー・マネジメントはここにあるのに、ほとんど採用されていません。これを見過ごすことは、玄関の鍵を開けっ放しにして、誰も入ってこないと思っているのと同じです。.
特権の乱立はもう一つの問題です。ユーザー、サービス・アカウント、そして人間以外のアイデンティティは、必要になってから長い間アクセス権を保持し続けることがよくあります。余分な権限はすべてリスクです。ジャストインタイムアクセスはこの問題を解決できますが、それを採用する人はほとんどいません。多くの管理者はパーマネントアカウントに固執しています。その方が簡単だから。慣れ親しんでいるから。しかしそれは危険です。常設の権限が多ければ多いほど、攻撃者はそれを悪用することができます。.
特権をゼロにすることが解決策です。誰も必要以上の権力を保持すべきではありません。一時的に検証されたアクセスは、即座にリスクを軽減します。これを継続的なモニタリングと組み合わせることで、アイデンティティは弱点ではなく、防御のレイヤーとなります。簡単なことではありません。努力も必要です。しかし、そのメリットは明らかです。攻撃ポイントの減少。より迅速な検知。そして2026年のAIアイデンティティに対応できるシステム。これらの基本的なステップを無視する企業は、賭けに出ているのです。というだけではありません。 データ. .デジタルの世界を支える信頼と。.
基本的失敗を克服するための人間的要素
多要素認証は今やどこにでもあります。ほとんどの企業が導入しています。しかし、それがうまく機能しているとは限りません。ユーザーはMFAのプロンプトをただ受け入れるまで何度も聞かされます。これはMFA疲れと呼ばれています。多くの企業はいまだにSMSコードに頼っています。SMSコードはハッキングされやすい。つまり、MFAがあってもアカウントは盗まれる可能性があるのです。マイクロソフト社によると、Entra IDの1日あたりのパスキー登録数は、ほぼ以下の通りです。 百万 日あたり。これは大きな変化です。ユーザーはパスワードを使わない方法に移行しています。パスキーはフィッシングに強い。SMSやプッシュ通知よりも効果的です。. グーグルの2025年 調査でも同じ傾向が見られます。人々は古いパスワードよりもGoogleやパスキーでのサインインを選んでいます。ゆっくりですが、変化は起きています。これを無視する企業は大きなギャップを残しています。.
リスクは従業員だけにとどまりません。ベンダーやサードパーティが弱点になる可能性もあります。クレデンシャルの共有は今でも一般的です。ベンダーの中にはほとんど監視していないところもあります。一歩間違えれば、一度でも漏洩したアカウントがあれば、攻撃者は内部に潜り込んでしまいます。無視された実践その4はシンプルです。ID管理をすべてのサードパーティ・アクセスに拡大すること。JITを義務付けること。セッションの記録。アクセスする前に身元を確認すること。その WEFグローバル・サイバーセキュリティ・アウトルック2025 サプライチェーンとベンダーのリスクが高まっていると警告。サイバー犯罪はより巧妙になっています。AIは攻撃者の迅速な動きを支援しています。ベンダーを無視することはトラブルを招きます。.
ヒューマンエラーは依然として大きな要因です。人々はフィッシングメールをクリックします。パスワードの再利用古いアカウントの放置。ゴーストユーザーの蓄積。古くなったオブジェクトが放置されます。それぞれが開かれたドアなのです。即座のオフボーディングが重要です。すべてのアカウントを追跡。不要なものは削除。ヒューマンエラー、脆弱なMFA、ベンダーのギャップが重なると、不正侵入はほぼ避けられません。これらの基本を修正した企業は、直ちに保護されます。そうでない企業は、次の攻撃を待つだけです。.
2026年、AIによるアイデンティティ・リスクの脅威の状況
AIはもはや単なるツールではありません。2026年には、自律的なAIエージェントと自動化パイプラインがいたるところに存在しています。多くのシステムで、AIは人間を凌駕しています。また、高レベルのアクセスも可能です。このような非人間的なアイデンティティが、今や真の特権ユーザーなのです。攻撃者はこのことを知っています。攻撃者はこのことを知っています。人間の認証情報を狙うのではなく、AIエージェントを狙うのです。侵害されたAIエージェントは、人間と同じ権限でシステム内を移動することができます。それは、眠らないインサイダーのようなものです。.
AIは攻撃の方法も変えています。. ディープフェイク 技術、音声模倣、その他のAIの魔術は、より説得力のあるフィッシング攻撃を考え出します。スピアフィッシングはすでに大規模に自動化されています。攻撃者はAIを使って、バイオメトリクス認証や人間による認証手続きをリアルタイムで回避しています。従来のMFAや静的コントロールではもはや十分ではありません。無視されたプラクティスその5は、行動とコンテキストに基づくアクセスへの移行です。システムは行動、デバイスの健全性、位置情報、パターンを調べる必要があります。リスクベースのアクセスは、一度設定して忘れるのではなく、リアルタイムでなければなりません。.
このようなコントロールがあっても、検知には問題があります。ファイアウォールや古い境界ツールでは、攻撃者が有効な認証情報を使用している場合、横方向の動きを検知することはできません。Identity Threat Detection and Responseツールの存在には理由があります。これらのツールは、不可能なログイン、権限の昇格、ネットワーク内部での横方向の移動にフラグを立てることができます。それにもかかわらず、多くの企業はまだツールを適用していません。WEFのグローバル・サイバーセキュリティ・アウトルック2025では、主にAIの利用により、攻撃者はより速く、より賢くなりつつあると述べられています。IDを中心とした監視により、ハッカーは数週間から数ヶ月間、検知されることなくシステムを悪用できる可能性があります。.
状況は急速に進化しています。AIはもはや単なるエンドポイントではありません。重要なアイデンティティなのです。これを無視すると、大きなギャップが生じます。組織は、人間だけでなく、機械やAIエージェントのアイデンティティ・セキュリティも見直さなければなりません。継続的モニタリング、行動アクセス制御、最新のITDRツールはもはやオプションではありません。それが基本です。それ以下は、次にどこを攻撃すべきか熟知している攻撃者への公然の招待状です。.
衛生から回復力への行動可能なロードマップ
基本は単純ですが、しばしば無視されます。まず、常設特権をなくすことから始めましょう。どのアカウントも常に必要以上の権限を保持すべきではありません。管理者、クラウド・アカウント、AIエージェントを横断して、ジャスト・イン・タイム・アクセスとゼロ・スタンディング権限を使用します。すべてのアクセスを一時的なものにし、検証し、追跡します。これにより、攻撃対象が即座に減少します。また、誰がいつ何をしたかを簡単に把握できます。.
次に、脆弱なMFAに頼るのはやめましょう。SMSコードやプッシュ通知では不十分です。FIDOやパスキーのようなフィッシングに耐性のある方法に移行してください。マイクロソフトによると、毎日ほぼ100万個のパスキーが登録されています。これは、ユーザーと組織がより優れた、より強力な認証を採用する準備ができていることを証明しています。遅れてはいけません。古いパスワードや脆弱なMFAメソッドは、すべて別の開かれたドアです。.
最後に、アイデンティティ・レイヤーを常時監視します。アイデンティティ脅威検知・対応ツールと継続的な姿勢管理は不可欠です。これらのツールは、攻撃者が実害を被る前に、不可能なログイン、権限の昇格、横移動などを検知します。このレイヤーがなければ、何も見えなくなってしまいます。.
これらのステップが無視される理由はいくつかあります。複雑さがチームを怖がらせる技術的負債が変化を遅らせる予算が厳しい。しかし、待つことは最悪です。攻撃はより速く、より賢く、そして避けられないことが多いのです。もはや予防だけでは十分ではありません。レジリエンスこそが真の戦略なのです。迅速に検知。即座に対応。被害を最小限に抑えること。これらの柱に従う企業は、アイデンティティを負債から強力な防衛線に変えます。これらを無視することの代償はあまりにも大きい。.
日本語