観点
👤 人間の開発者
🤖 AIセッション(現状)
アイデンティティ
SSO/IdPで管理
共有APIキー(ID無し)
権限スコープ
ロールベース(明示的)
無制限(ツール範囲内)
監査ログ
組織全体に統合
ローカルのみ
ライフサイクル
HR起点(入社/退社)
管理なし
インシデント対応
アカウント無効化
対応手段なし
ライフスパン
月〜年単位
分〜時間単位
⚠ 管理ギャップ
AIエージェントは人間の45倍のNHI数を生成するが、
ガバナンス成熟度は逆転している。
セッション単位のきめ細かい管理が必要。
ガバナンス成熟度は逆転している。
セッション単位のきめ細かい管理が必要。
68%
侵害のうちNHI関連
Verizon DBIR 2025
Verizon DBIR 2025
45x
人間に対するNHIの比率
CyberArk Survey
CyberArk Survey
4つの管理原則
1最小権限
2Just-in-Timeアクセス
3監査可能性
4アイデンティティ分離
2Just-in-Timeアクセス
3監査可能性
4アイデンティティ分離