企業を揺るがす“非人間ID” 解決の鍵を握るアダプティブ・アイデンティティーとは？

AIエージェントやマシンが急増する中、企業の“アイデンティティー”は想像以上に複雑化している。従来の対策からのパラダイムシフトが必要になる今、鍵を握るのがアダプティブ・アイデンティティーだという。一体どのようなものなのか。

[高橋睦美，ITmedia]

　日本企業を取り巻く状況は、雇用関係の面でもIT環境の面でも大きく変動している。そして一連の変化に伴って、企業が管理すべき「アイデンティティー」も、単に増加するだけでなく、多様化・複雑化している。

　その中で、企業はどのようにアイデンティティーに向き合うべきだろうか――アイデンティティーセキュリティソリューションを提供するSailPointテクノロジーズジャパンと調査会社のアイ・ティ・アール（ITR）の共同調査から、この先の在り方のヒントを見つける。

アイデンティティーセキュリティの実現は経営の中核的な課題に

　PCや社内システムへのログイン、SaaSなどクラウドサービスを利用する際には、アイデンティティーに基づいて「誰」かを判別し、その属性に基づいてどこまでアクセスや操作を許すかを制御する仕組み、いわゆるアイデンティティー管理が不可欠だ。

　SailPointテクノロジーズジャパンの福島徹氏（日本法人代表）は2026年3月18日に開催した記者説明会において「デジタルトランスフォーメーションの成否を左右する重要な要素の一つが、サイバーセキュリティであり、その中核となっているのがアイデンティティーセキュリティです」と話す。

SailPointテクノロジーズジャパンの福島徹氏（日本法人代表（筆者撮影）

　アイデンティティーセキュリティは今や、単なるIT部門だけの課題ではなく、ビジネスを支える経営の中核的な課題と認識され始めている。今回の調査でも「47％がアイデンティティー管理の仕組みそのものを変更する必要があると回答しています。すなわち既存のやり方の延長線上ではなく、アイデンティティー基盤そのものの刷新が必要であると認識されています」（福島氏）。

　背景には、企業が管理すべきアイデンティティーの多様化・複雑化がある。「管理すべき対象は人間だけでなく、RPAや企業ネットワークに接続されているIoTデバイス、そして人間に変わって業務を遂行するAIエージェントなどが新しいアイデンティティーの主体として登場し始めています」（福島氏）。人間だけでなく、急速に増え続けている非人間のアクセス主体をいかに可視化し、適切に管理・統制するかが求められているのだ。

調査から見えてきたセキュリティの優先課題の「下克上」

　このような背景から実施されたのが「アイデンティティーセキュリティに関する実態調査2025」だ。2025年11月14〜19日にかけて、IT戦略やセキュリティ管理を統括する経営層を対象に実施し、343件の回答を得た。

　2022年から継続して実施され、今回で4回目となる調査だが、ITRの浅利浩一氏（プリンシパル・アナリスト）によると、「下克上のような大きな変化がありました」と言う。

ITRの浅利浩一氏（プリンシパル・アナリスト）（筆者撮影）

　まず特筆すべき事柄は、今後12カ月間で最も優先するIT施策に対する回答だ。経営層は常に予算を気にするものだが、例年上位に位置していた「ITコストの削減」が、前年の20％から11ポイント減らし9％にとどまった。一方で、常にほぼ最下位に位置し、時には1％や0％といった数値にしかならなかった「データ・プライバシーリスクの低減」「事業継続の管理」「サプライチェーンの管理」の3項目が、いずれも約5ポイント増加した。

　「この結果からは、地政学的なリスクも含め、予測困難なさまざまなリスクや攻撃に目が向いていることが見て取れます」（浅利氏）

　こうした考えを反映してか、過去12カ月間にテクノロジー投資が増加した分野として「機械学習・生成AI」「エージェント型AI」と並んで、「セキュリティツール」への投資が増加したとする回答は61％に上った。マネジメント層、経営層にとってセキュリティ分野は、最も大きな投資対象となっていることが伺える。

　では、具体的にどのような事柄を懸念しているかを尋ねたところ、例年通り「悪意または過失・インサイダーの脅威」が最多ではあったが、前年の40％から34％に減少した。一方で、「サプライヤーなど第三者による情報漏えい」「機密性の高い業務上の電子メールが個人的な電子メールに転送されている」「元従業員がデータへのアクセス権限を保持している」といった項目の増加が目立った。

　浅利氏はこの結果を踏まえ、「これまでの投資が、個々の懸念に個別に対応するポイント、ポイントのものにとどまっており、包括的な最善手が不十分だと想定されます」と指摘した。

　実際に過去の12カ月間で情報漏えいが起こったかどうか、起こったとすればどのような原因かを尋ねた質問では、「違反・漏えいがない」とする回答が19％に減った一方で、「第三者またはサプライチェーンのリスク攻撃」が一気に9ポイント増加し25％に達した。これもまた、個別対応に終始し全方位的な対処ができていないことの現れだと同氏は述べた。

　こうした状況を踏まえ、アイデンティティー管理の在り方を変更する必要があると考える企業は47％に達している。

　その上で浅利氏は「個別にさまざまな手を打つのではなく、最も影響力のある最善手、つまり『センターピン』を打っていかなければなりません」と強調した。ボーリングでセンターピンを一つ倒せば他のピンが次々倒れていくのと同じように、あらゆる情報へのアクセスや権限管理の土台となるアイデンティティーのセキュリティ対策を検討しなければ、全体の底上げは困難だという。

アイデンティティーはセキュリティにおける「センターピン」だ（出典：SailPointテクノロジーズジャパン発表資料）

解決の鍵となるアダプティブ・アイデンティティーとは？

　もちろん、アイデンティティー管理やアクセス制御といったアイデンティティーセキュリティソリューションは古くから存在している。だが今回の調査からは、環境が激変する今、従来のアイデンティティー管理だけでは不十分と認識されている状況も明らかになった。

　今後1年間で強化するセキュリティ投資を尋ねたところ、「全ての特権アクセス権限を継続的に検出」が7ポイント増加して21％に、「機密データへのアクセス権限に関するタイムリーなレビューとチェック」が6ポイント増加して18％に伸びていることが目立つ。

　「『継続的に』また『タイムリーに』、つまり状況を見ての動的な、ダイナミックな対応を強化していこうという方向性が確認できます」（浅利氏）

　もう一つ注目が高まっているのが、人間以外、つまりマシンやRPAなどロボットのアイデンティティーだ。今回の調査では、マシンアイデンティティーが増大傾向にあることは明白で、「8割以上の企業で、人間の10倍以上の数のマシンアイデンティティーを保有していることが明らかになりました」（浅利氏）。

　AIエージェントの抱えるセキュリティリスクの高まりも認識されており、絶え間なく変化するこれらの要素をいかに継続的に、また動的に対処していくかが、重要な課題になっている。

SailPointテクノロジーズジャパンの松本修也氏（ソリューションエンジニアリング本部本部長）（筆者撮影）

　SailPointテクノロジーズジャパンの松本修也氏（ソリューションエンジニアリング本部本部長）は、こうした状況に対し、「従来の静的なアイデンティティー管理ではなく、日々変化する脅威に対してAIと自動化を活用し、動的に最適化し、適用していく『アダプティブ・アイデンティティー』へのパラダイムシフトが必要です」と述べる。

　アダプティブ・アイデンティティーでは、誰が、という「人」の観点だけでなく、マシンやAIエージェントも含め、何がどのリソースになぜアクセスしているかをコンテキスト全体でリアルタイムに判断することが求められる。しかもいったん判断を下して終わりではなく、継続的にリスクを分析し、動的にアクセスを制御するというアプローチだ。

スタティックなアイデンティティー管理からアダプティブなアイデンティティー管理へのシフトが必要（出典：SailPointテクノロジーズジャパン発表資料）

　SailPointでは「Atlas」と呼ぶプラットフォームにデータグラフやポリシーエンジンを搭載し、さらにAI駆動のインテリジェンスを組み合わせることで、このアダプティブ・アイデンティティーを実現するという。

　具体的には、人だけでなく、マシン、AIを含む全てのアイデンティティーを統合的に管理し、誰がアクセスすべきなのかというコンテキストに基づいて継続的に制御することで、リアルタイムでのガバナンス、AIエージェントやマシンアイデンティティーの保護、ジャスト・イン・タイムによる動的な特権管理、アイデンティティーを中心とした脅威対応という4つのポイントを実現する。

　「私たちは20年以上アイデンティティーガバナンスを提供し、『アイデンティティーセキュリティは個別のツールでは解決できない』という結論にたどり着きました。コンテキストを共有しながら統合されたプラットフォームで制御する必要があると考えています」（松本氏）

　ひいてはこのプラットフォームが、今回のレポートで示された「セキュリティのセンターピンとしてのアイデンティティー」を実現し、企業のレジリエンスを支える基盤になるとした。