今日のハイパーコネクテッドなクラウド環境では、API、サービス、および人間以外のエンティティに割り当てられるマシンIDが至るところに存在します。これらは、安全な連携をまとめる上で不可欠な要素です。しかし、管理を誤ると、リスクベクターとなります。
次のような問題が頻繁に発生しています。
- 人間とAPIの両方で使用されるサービスアカウント
- 平文で出回る基本認証の認証情報
- 誰が(または何が)何をしているかを監査する明確な方法がない
このため、当社はMachine Identity Consoleを開発しました。これにより、インバウンドAPI連携の管理方法に明確さ、制御、および信頼性をもたらします。
ServiceNowにおけるマシンIDとは
当社のMachine Identity Consoleにおいては、マシンIDは特に、インバウンドAPI連携に使用されるサービスアカウントを指します。「Web Service Access Enabled」がtrueに設定されている、および/またはAPIにアクセスしたすべてのアカウントを表示することで、これらのIDの可視性を提供しています。これらのIDは、自動化、連携、および安全な通信に不可欠ですが、多くの場合、可視化されておらず、管理されていません。
Machine Identity Console: 実世界の利用のために構築
このコンソールは、すべてのインバウンド連携に対する単一のビューを提供します。アクションにつながるインサイトと直感的なUIによって、API接続の検出と管理を支援します。
主な機能は次のとおりです。
- セキュリティの向上: リスクを特定し、推奨事項に従い、簡単な手順でマシンIDのセキュリティを段階的に改善します。
- 使用状況の可視化: 過去7日間でどのマシンIDがどのAPIにアクセスしたかを確認します。
- 認証方法の追跡: どのIDが基本認証、OAuth、またはその他の方法を使用しているかを把握し、安全でない構成をアップグレードするための推奨事項を取得します。
- 数回のクリックでOAuthを使用した新しいインバウンド連携を作成します。UIがグラントタイプとスコープについてガイドするため、基本認証からOAuthへの移行がこれまで以上に容易になります。
セキュリティ上の発見事項とリスクスコアリング
このコンソールは、次の4つの主要な発見事項に基づいてMachine Identity Security Scoreを計算します。
- 100日間ログインがないアカウント
- 基本認証を使用しているアカウント
- Webサービスアクセスが無効化されている連携アカウント
- UIとAPIの両方にログインしているアカウント
このスコアは、リスクの高いIDを特定し、予防措置を講じるのに役立ちます。例えば、100日以上使用されていない連携がある場合、コンソールはそれを非アクティブ化することを提案します。
アクションにつながるセキュリティ推奨事項
可視化は始まりに過ぎません。このコンソールは、各発見事項を解決するための現実的でアクションにつながる推奨事項を提供します。未使用のアカウントの削除であれ、認証方法のアップグレードであれ、連携を強化し、セキュリティ体制を改善するための明確な次のステップが得られます。
二重目的のサービスアカウントはもう必要ありません
当社が認識している最大のリスクの1つは、人間とAPIの両方でサービスアカウントが使用されていることです。これは混乱、過剰な特権、および監査の悪夢の原因となります。
新しいコンソールでは、懸念事項の分離が容易になります。
- 人間のIDは人間に紐付けられるべきです。
- マシンIDはAPIとサービスにスコープされるべきです。
サービスアカウントを人間ユーザーのアカウントから分離することは、単なるベストプラクティスではなく、コンプライアンス、セキュリティ、および運用上の透明性にとって不可欠です。アカウントが人間と連携の両方で使用される場合、誰がどのアクションを実行したかを追跡することが困難になります。明確な分離により、誰が何を行ったかを常に把握でき、すべてのアカウントが必要なアクセス権のみを持つことが保証されます。
基本認証について(そして、なぜそれをやめるべきなのか)
基本認証は馴染みがあるかもしれませんが、時代遅れです。これは認証情報を平文で送信し、粒度が不足しており、トークンの有効期限やスコープベースのアクセスのような最新のセキュリティプラクティスをサポートしていません。
一方、OAuthは今日のセキュリティ状況に合わせて構築されています。
- トークンベース: パスワードが飛び交うことがありません
- スコープアクセス: IDができることを正確に定義できます
- 取り消し可能で監査可能: トークンを簡単に追跡、有効期限切れ、取り消しできます
基本認証をまだ使用している場合は、再検討する時期です。このコンソールは、基本認証を使用しているアカウントにフラグを立てるだけでなく、新しいインバウンド連携エクスペリエンスにより、OAuthベースの新しい連携を作成するプロセスも簡素化します。詳細はこちらhereでご確認ください。
マシンIDアクセスコントロール
環境のセキュリティをさらに強化するため、ServiceNowはマシンIDアクセスコントロールを提供しています。これは、どのインバウンドAPIがどのような条件下で特定の資源にアクセスできるかを定義する方法です。詳細はこちらhereでご確認ください。
これらのコントロールは、最小特権とコンテキストセキュリティを強制し、サービスアカウントが本来の役割のみを果たすようにします。
今後の展望
まだ始まったばかりです。コンソールの進化を続ける中で、当社は以下の点に注力しています。
- IDライフサイクル管理の自動化
- リスクの高いIDや過剰な特権を持つIDに関するインサイトの提示
- チームが自信を持ってOAuthを導入できるように支援
ご興味をお持ちの方、ご懸念のある方、またはサービスアカウントのクリーンアップをご希望の方は、ぜひ当社にご連絡ください。
当社のチームは、このZurichリリースでいくつかの素晴らしい新機能を展開しました。詳細については、当社のブログをご覧ください。Machine Identity Consoleおよびその他の最新アップデートに関する今後のウェビナーをお見逃しなく。
- プラットフォームセキュリティ&ServiceNow VaultのZurichリリースにおける新機能: 2025年10月8日 午前8時(PT)| 午前11時(ET)| 午後5時(CEST)
免責事項: 一部の日本語は、翻訳ソフトウェアを使用してお客様の便宜のために翻訳されています。正確な翻訳をご提供できるよう相当な努力を払っておりますが、いかなる自動翻訳も人間の翻訳者に代わすることはなく、そのようなことは意図されておりません。翻訳は「現状のまま」提供されています。他言語への翻訳の的確性、信頼性または正確性については、明示または黙示を問わず、いかなる保証も行われません。翻訳ソフトには限界があるため、一部のコンテンツが正確に翻訳されていない場合があります。これらの資料の公用言語は英語です。翻訳の際に生じる相違または不一致は、コンプライアンスまたは履行の目的に関しては拘束力を有さず、法的効力はないものとします。
この記事は機械翻訳されております。最新は元となる記事をご覧ください: https://www.servicenow.com/community/platform-privacy-security-blog/introducing-machine-identity-con...
