AIがリスクを増大させる方法

古代ローマの軍隊には、兵士が毎日陣地に入るための「合言葉」がありました。¹ 役人が粘土板に刻んだ合言葉はさまざまな部隊に配られ、粘土板が返却されなかった場合はすぐに見つけ出し、返却しなかった兵士は罰されました。

明らかに、古代ローマ時代から現在に至るまで1つの共通点があります。安全を守りたいなら、パスワードがどこにあるか知る必要があるということです。

残念ながら、認証情報の追跡を維持することは、現在の組織にとってより困難になっています。今日の企業は、開発者シークレット、パスキー、共有ログイン、APIキー、SSHキー、サービスアカウント、シングルサインオンアクセストークンなど、従来のパスワードを超え、絶えず増え続けるさまざまな認証情報を管理する必要があります。

これらの認証情報は1か所に存在しません。ブラウザ、スクリプト、開発環境、Slackメッセージ、AIツール、構成ファイル、時にはプレーンテキストのスプレッドシートに存在しています。

一元管理された可視性と制御の外で認証情報が拡散する現象は「認証情報のスプロール」と呼ばれており、攻撃者はこれを悪用しようと躍起になっています。² これは、AIベースのツールやエージェントの台頭による特に差し迫った問題であり、未管理の認証情報の規模や範囲が拡大しただけでなく、SSOやPAMには対処できないアクセス管理やアイデンティティ管理の課題を提示しています。

What causes credential and secrets sprawl?

認証情報のリスクは、新たな問題ではありません。しかし、近年では、認証情報が使用される場所や方法の管理は、「途方もなく困難な仕事」から「終わりが見えない仕事」に進化しています。つまり、容易でなかった仕事が、ほぼ不可能な仕事になったということです。その理由を理解するために、まず、認証情報のスプロールを招くいくつかの主要な要因の概要から始めましょう。

パスワードのスプロール

未管理のパスワードや不適切なパスワードの使用における危険性は、長年知られているにもかかわらず、パスワードは依然としてデータ侵害やハッキングにおいて最も一般的なベクトルの1つです。³

1Passwordの2025年年次報告書「アクセスと信頼のギャップ」によると、従業員の3分の2が、以下を含む不適切なパスワードの使用方法を実践しています。⁴

• 複数の仕事用アカウントで同じパスワードを使用する

• ITデフォルトのパスワードを変更しない

• 仕事用とプライベート用のアカウントで同じパスワードを使用する

• 自分や同僚にパスワードをテキストやメール、その他のメッセージで送信する

これらの不適切な慣行は、攻撃者が以前の侵害で盗んだ認証情報を使用してGitHub、Bitbucket、Gitlabの開発者のリポジトリにログインしたときなど、壊滅的な影響を与える可能性があります。ジャーナリスト兼アナリストのRobert Lemos氏が報じたように、「この攻撃は、パスワードを不適切に管理することは危険であることを浮き彫りにしています…影響を受けた開発者のリポジトリをホストしているサービスはいずれも、侵害の兆候を発見していません。その代わりに、攻撃者は認識されていないインターネットアドレスから有効な認証情報を使用してログインし、被害者のコードを削除しました。」 ⁵

未管理のSaaSとAI

セキュリティアナリストのFrancis Odum氏はこう述べています。⁶「組織によるSaaSアプリケーションの採用が増加するにつれて、エンタープライズ級のパスワード管理の必要性はより顕著になっています。従業員は仕事用のアカウントに個人の認証情報を使用することが多く、認証情報の再利用やセキュリティインシデントのリスクが高まっています。シングルサインオン（SSO）と多要素認証（MFA）が標準的な管理手段となっているものの、それらは企業アプリケーションの全範囲に対応できず、可視性のギャップが生じています...」

SaaSのスプロールはサイバーセキュリティ業界では長年知られている問題です。⁷ 平均的な企業は、シングルサインオン（SSO）プラットフォーム内だけで100以上のアプリケーションを管理していますが、⁸ 多くのアプリはSSOの対象外です。

1Passwordの調査によると、平均的な会社では、使用するアプリの3分の1がSSO（シングルサインオン）の保護外にあることが判明しました。これはITチームにとって、特に退職手続き中に大きな盲点となります。⁹

従業員の3分の1以上（38％）が、退職後に以前の雇用主のアカウント、データ、またはアプリケーションに正常にアクセスしています。

1Password Annual Report 2025: The Access Trust Gap

現在、AIはSaaSのスプロールを加速させており、その速度はSSOの能力をはるかに超えています。従業員の4人に1人は、自社で承認されていないAIアプリケーションを使用したことがあり、従業員の3分の1以上は自社のAIポリシーを故意に無視したことを認めています。¹⁰

従業員は、AIコーディングツール、ブラウザ拡張機能、ライティングアシスタント、データ分析ツール、エージェントプラットフォームなどを、IT部門が評価や承認を行う前に試用していることがよくあります。これらのツールの多くは、企業のシングルサインオンと適切に連携せず、連携したとしても、導入はしばしば正式なオンボーディングプロセス外で始まっています。シャドウAIは、深刻なリスクをもたらす可能性があります。無害なアプリでも会社データや認証情報を露出する可能性があるセキュリティ上の欠陥が含まれている可能性があるからです。¹¹

AIエージェントが認証情報にアクセスする方法も異なります。AIエージェントが機能するには、ユーザーのログイン情報以外にも、APIキー、OAuthトークン、サービスアカウント、その他の機械認証情報が必要になる場合がよくあります。これらの認証情報は、ローカルに保存されたり、スクリプトに埋め込まれたり、ブラウザに保存されたり、チームメンバー間で非公式に共有されたりする可能性があり、従来のIDシステムの可視範囲をはるかに超えています。

未管理のアプリとAIツールはそれぞれが、少なくとも1件の組織が保護できない未管理の認証情報を表します。結果として、一元管理されたガバナンスの外に存在するアプリケーションと認証情報が絶えず拡大し続けることになります。

シングルサインオンの制限についての詳細は、当社の電子書籍「SSOだけではIDセキュリティに不十分な理由」をお読みください。

開発者のシークレット

SSHキー、APIキー、サービスアカウント認証情報、環境バリアブル、サーバートークンなどの開発者のシークレットは、組織の最も重要なシステムの鍵です。ユーザーパスワードとは異なり、これらの認証情報は多くの場合、バックグラウンドで静かに動作し、アプリケーション、インフラストラクチャ、自動化、そして現在ではAIエージェントを支えています。

しかし、これらのシークレットが従来のアイデンティティシステム内に存在することはまずありません。代わりに、コードリポジトリー、ローカル環境ファイル、CI/CDパイプライン、クラウドコンソール、スクリプト、コラボレーションツーに保存されます。一貫したガバナンスと専用のツールがない場合、このようなシークレットは多くの場合、監視されないまますばやく拡散されます。

GitGuardianの2025年レポート『The State of Secrets Sprawl』では、この問題がいかに急速に加速しているかが示されています。

2024年、私たちは23,770,171件の新たにハードコードされたシークレットがGitHubの公開リポジトリに追加されたことを発見しました。

GitGuardian Report

この数値はシークレットの総数が前年比で25％増加したことを示しています。彼らの言葉を借りれば、「シークレットのスプロールは時間の経過とともに着実に悪化しています。」¹²

シークレットのスプロールは、開発者が誤って公開コードに機密情報を漏洩させてしまう場合など、さまざまな方法で起こり得ます。しかし、GitGuardianのレポートではより基本的な懸念が指摘されています。「シークレットの検出では、ソースコード管理ツールが主に注目を集めてきましたが、シークレットはSlack、Jira、Confluenceなどチームがコラボレーションやプロジェクト管理で使用するさまざまなツールに現れます。」¹³

Slackのようなアプリを介してプレーンテキストのシークレットが送信されるのは、シークレットの衛生管理に対するアプローチが危険なほど緩いことを示しています。残念ながら、サイバー犯罪者たちはこの傾向を認識しています。Dark Reading氏の報告によると、「...サイバー犯罪者も国家主体のアクターも、実証済みのプレイブックに従い「シークレットの不適切な衛生管理」を利用してキャンペーンを進めています。」¹⁴

AIは現在、このダイナミクスを加速させています。開発者がAIコパイロットを使用してコードを生成したり、インフラストラクチャを立ち上げたり、ワークフローを自動化したりする中、マシンの認証情報がより高速に作成され、再利用されるようになっています。一元的な監視がなければ、シークレットはリポジトリ、プロンプト、パイプライン、エージェント間で拡散します。これらすべてが、従来のIDおよびアクセス管理（IAM）と特権アクセス管理（PAM）システムが管理するために設計されていたものをはるかに超えて、アイデンティティの露出を拡大させています。

How AI is worsening credential sprawl 

AIやAIエージェントの台頭により、現代の職場の生産性は劇的に向上しました。しかし、それらは同時に認証情報のスプロールを劇的に加速させており、そのリスクについてはより詳細な分析が必要です。

未管理のAIエージェントアクセス

AIエージェントはまったく新しい種類のアイデンティティを構成します。さまざまなレベルのアクセスを必要としますが、セキュリティツールには見えない形で動作する場合が頻繁にあります。

The Hacker Newsはこう述べています。「AIエージェントは孤立して行動しません。機能するためには、データ、システム、リソースへのアクセスが必要です。この非常に特権的で、見過ごされることが多いアクセスは、APIキー、サービスアカウント、OAuthトークン、その他のマシン認証情報など、非人間IDを通じて行われます。」¹⁵

すべての非人間ID（NHI）は認証情報のリスクを伴い、AIエージェントによる使用がスプロールを劇的に増加させています。数値はさまざまですが、2025年には、平均的な企業環境において1人の人間のアイデンティティに対し、82 ¹⁶ ~最大144 ¹⁷ の非人間のID（NHI）が存在していました。いずれにせよ、その数は急増しています。

さらに懸念されるのは、これらのマシンアイデンティティの多くが非常に高度のアクセス権限を持っているにもかかわらず、通常であれば高い権限を持つユーザーに適用されるような厳格な監視を受けていないという点です。実際、最近の調査では20の非人間ID（NHI）のうちの1つは完全な管理者権限を持っていますが、過去9か月内でアクティブだったNHIは合計のわずか38%だったことが判明しています。¹⁸

これが何を意味するかと言うと、AIエージェントにはより強力なレベルのアクセス権が与えられており、そのアクセスはセキュリティチームによって管理されないことが多く、エージェントは必要以上に強力な権限を保持していることがしばしばあるということです。

エージェント型アプリケーションと機能は前例のないスピードで進化しており、リスクを理解する前に新しいツールが採用されることも少なくありません。1Passwordのバイスプレジデント兼セキュリティ戦略担当のJason Mellerは、これらのツールがいかに強力であり、同時に恐ろしいものであるかについて2つのブログ記事を執筆しました。^19、20

1Passwordのバイスプレジデント兼セキュリティ戦略担当者であるJason Mellerは、このリスクをこう説明しています。「簡単にまとめると、OpenClawのように動作するエージェントゲートウェイは強力です。なぜならファイル、ツール、端末に加え、人間の考え方や構築するものを捉える長期的な「メモリ」ファイルに実際にアクセスできるからです。」

この組み合わせこそが、現代の情報窃盗犯が悪用しようと狙っているものです。

Jason Meller
Vice President and Security Strategist, 1Password

OpenClawは確かに注目を集めましたが、こうした問題は1つのツールだけに限った話ではありません。MITの「AIエージェントインデックス」では、エージェント開発者の大半が、ツールのセキュリティについてほとんど情報を共有していないことが研究者によって示されました。「25/30のエージェントは内部の安全性に関する結果を開示しておらず、23/30のエージェントには第三者によるテスト情報がありません。」²¹ むしろ、OpenClawは、AIエージェントに未管理のアクセスレベルを付与した場合のセキュリティリスクの深刻さを示す指標です。その人気、そのセキュリティリスクにより、セキュリティチームは標準の企業の防御策ではAIエージェントの問題に対処できないという事実を真剣に受け止めざるを得なくなったからです。

『1Passwordのエンタープライズアイデンティティ変革の内部』で、Francis Odum氏は「AIエージェントの拡散がアイデンティティスプロールと重大なアクセスギャップを生み出している」と指摘しています。なぜなら、従来の認証情報はAI向けに設計されていないため、危険な回避策が出現したからです。²²

開発者はシークレットのハードコーディングに依存することがよくあります。これは、過度の特権を与えられたエージェント、限られた監査可能性、データ損失リスクの高まりにつながります。

Francis Odum

AIは認証情報のセキュリティ実践を悪化させる

AIベースのツールも、不適切な認証情報セキュリティ対策を模倣することで、認証情報のスプロールを悪化させています。

バイブコーディング（生成AIを使ってコードを書く）は、不適切なセキュリティ習慣を複製する傾向があります。たとえば、主にバイブコーディングで作られたプラットフォームの1つであるMoltbookでは、データベースの構成ミスにより、100万以上のAPI認証トークンがメールアドレスやプライベートメッセージとともに公開されていることがすぐに判明しました。²³

繰り返しますが、これは単一のプラットフォームに限った話ではありません。GitGuardianは、マイクロソフトのAIアシスタントであるCopilot（バイブコーディングや他の目的に使用される）の使用状況を分析し、Copilotがアクティブなリポジトリでは、少なくとも1つのシークレットが漏洩する可能性が40％高いことを発見しました。²⁴

全体的に、バイブコーディングはコーディング経験の少ない従業員でも使用できるため、コーディングセキュリティのトレーニングが行き届かず、標準的なチェックやコードのセキュリティに対して適用されるべき監視を受けていないコードを実行する可能性があります。

従来のアイデンティティセキュリティは遅れをとっています

従業員による認証情報の使用や保存方法を監視することは常に容易ではありません。しかし、AIはアイデンティティセキュリティモデルを根本的に変革します。

AIツールやエージェントは、人間のように認証、保存、または認証情報を使用しません。埋め込みトークン、APIキー、サービスアカウント、プログラムによるアクセスパターンに依存します。継続的に動作し、容易に複製でき、本来の目的が終了した後も長期間存続することがよくあります。

従来のIDセキュリティツールは、インタラクティブなログイン、セッションベースの認証、明確に定義された権限階層など、人間の行動を考慮して設計されました。監督なしに拡張し、プログラム的に認証する自律的なソフトウェアアイデンティティを統制するために設計されていません。

ある意味、これはほぼ意図的なものです。Saumitra Das氏がCorporate Compliance Insightsの記事で述べているように、「本来、自律型エージェントは割り当てられた仕事を完了するために、最も簡単で効率的な方法を見つけるように訓練されています。これは、彼らはガードレールを迂回する方法を特定できることがしばしばあるという意味です...」²⁵

AIとイベント主導型の自動化がこれまでにない規模でNHIを作成するとともに、従来のアクセス制御方法は不十分であることがすぐに明らかになりました。TechTargetが報告したように、「古いIAMや特権アクセス管理（PAM）ツールの大半は、このレベルの量や解約を処理するように設計されていません。」²⁶

この記事では、以下を含む、非人間ID（NHI）がどのように認証情報を使用するかに関連するいくつかの問題点を指摘しています。

• NHIは、JSONトークン、クラウドIDおよびアクセス管理（IAM）ロール、OAuth2シークレット、APIキーなど、幅広い認証方法を使用しています。これらにはそれぞれ独自のセキュリティ要件があります。

• チームがさまざまなビジネスプロセスを自動化するために必要なアクセスをツールに適用するために、NHIには過度なアクセス権や長期間有効な認証情報が与えられていることがよくあります。

• 異常検出は、AIエージェントに何か問題が発生しても常に検知できません。なぜなら、AIには逸脱する可能性のある「正常」な動作パターンが実際に存在しないからです。

このような要因はいずれも、会社のセキュリティスタックの有効性に重大な損傷を与える可能性があります。

The costs of credential sprawl

認証情報のスプロールが会社全体で蔓延した場合、何が起こるのでしょうか？侵害が発生した際の攻撃領域の拡大から、時間のかかる手動のプロセスによるセキュリティ態勢の管理、コンプライアンス、インシデント対応まで、被害はさまざまな形で広がります。

コンプライアンス違反

ITおよびセキュリティチームは、SOC 2、PCI DSS、ISO 27001:2022、HIPAAなどの規制基準へのコンプライアンスを達成し、証明するという困難な課題に常に直面しています。

これらの基準のそれぞれに、認証情報の安全な使用および保存に関する要件があります。たとえば、PCI DSSでは、「監査ログは、IDおよび認証資格情報へのすべての変更を記録する...」と義務付けられています。27

SOC 2も同様に、企業が認証情報へのアクセスをプロビジョニングする方法に関連するさまざまな要件があり、これには「個人が認証情報へのアクセスを必要としなくなった場合に、認証情報へのアクセスを削除するプロセスを組織が実施すべきである」ことを決定づける要件が含まれています。²⁸SOC 2では、これらの要件がユーザー認証情報へのアクセスだけでなく、「内部および外部のインフラストラクチャとソフトウェア」が認証情報にアクセスする方法にも適用されることにご留意ください。

規制当局は、概して、会社が機密情報を保護するために精査したことを証明することを期待しています。認証情報の管理における「精査」とは、管理者が認証情報が使用された場所や方法を監督できるように、必要なツールを実装することを意味します。認証情報がスプロールすると、企業は精査する能力を根本的に失ってしまします。

さらに、セキュリティツールはAIブームに追いついていないかもしれませんが、規制当局が企業を大目に見る可能性は低く、むしろ、規制当局は審査をさらに強化しています。Itamar Apelblat氏がBleepingComputerの記事で指摘したように、「これらの各フレームワークにおいて、組織は規制対象データやワークフローで起こったことに対して責任を取る必要があります。これらのシステム内で行動するのがAIエージェントであっても、責任が免除されることはありません。」²⁹

リスクへの曝露

コンプライアンス基準が認証情報とアクセス管理にこれほど重点を置いている理由を理解するのは難しくありません。簡単に言えば、認証情報のスプロールは組織に対するサイバー攻撃のリスクを大幅に高めます。

侵害された認証情報は、長い間、攻撃者にとって最も一般的な侵入ポイントとなっています。³⁰ 過去3年間に重大な侵害を経験したCISOの50％は、認証情報への不正アクセスが根本的な原因だと特定しています。³¹

認証情報のスプロールは会社の攻撃対象領域を増加させます。認証情報がセキュリティやIT管理の監視なしに保管されている場合、悪意のある第三者がシステムに侵入する格好の機会となります。認証情報のスプロールが急増する中、会社はこれまで以上に大きなリスクに直面しています。

2025年、IBMはシャドーAIが侵害の20％を占め、AI関連のセキュリティ侵害の97％が適切なアクセス制御を持たないAIに関連すると報告しました。また、IBMはこう指摘しています。「…データは多くの場合、複数の環境にわたって保存されており、AIシステムが1つでも監視されていない場合、情報が広範囲に漏洩する可能性があります。」³²

インシデント対応

侵害の修復やインシデント対応はすでにコストと時間のかかるプロセスです。認証情報のスプロールはこれらの問題をさらに悪化させています。たとえば、シャドーAIは侵害対応の複雑さとコストを増加させます。シャドーAIが関連する侵害は、関連しない同等の侵害よりも最大67万ドル多く費用がかかる可能性があります。³³

GitGuardianによると、2022年に漏洩したシークレットの70%が2025年でもまだ有効でした。³⁴これは非常に懸念すべき数字であり、侵害された認証情報が標準的なビジネスプロセスによって修復されていないことを示しています。それらは自動的に期限切れになったり、チームによってローテーションされたりしていません。そして、これらの既存の問題が解決されないまま放置されているため、新たな侵害が発生するたびに、ITチームとセキュリティチームは、規模と複雑さが増し続けるリスクの山に埋もれてしまうのです。

TechTargetが報告したように、NHIとAIエージェントはこの問題をさらに複雑化させています。「多くの組織がNHIを使用してクラウド環境をリンクしているため、シークレットは複数のシステム間で重複または再利用されることが多く、単一のアイデンティティが侵害された場合、修復とローテーションが困難になります。」³⁵

Solutions for credential sprawl

従来のIDおよびアクセス管理（IAM）戦略では、認証情報スプロールの問題を管理するには必ずしも十分ではありません。むしろ、チームは複数の角度から問題に取り組む、多角的な取り組みが必要になります。

認証情報管理

認証情報スプロールの問題はパスワード管理から始まります。残念ながら、パスワードは長年にわたりセキュリティチームを悩ませてきたにもかかわらず、多くの企業は依然としてパスワードをしっかりと管理していません。しかも、今日のチームはこれまで以上に多くのツールとログイン情報を運用しています。

明確な戦略がなければ、認証情報スプロールは管理されないまま拡散されます。最近のブログで詳しく探求したように、³⁶ 認証情報管理には、認証情報の使用方法に対処するために構築された戦略が必要です。チームには以下のシステムが必要です。

• 対象範囲：保護される認証情報。パスワード、パスキー、APIトークン、SSHキー、NHI、AIエージェントのシークレットを指します。

• コントロール。つまり、それらの認証情報の管理方法、保存場所、共有方法、適用される規則、およびそれらの規則の適用方法を指す。

• ライフサイクル：認証情報が変化する方法。作成、オーナーシップ、ローテーション、失効、証明など、特に人間とマシンのIDのロールや特権が変化する場合を指します。

これらすべての要件を満たすための最初のステップは、エンタープライズパスワードマネージャー（EPM）です。EPMはパスワードを管理するだけではなく、強力な認証情報管理戦略のそれぞれの柱に重要な要素でもあります。アナリスト兼研究員であるFrancis Odum氏は、「1Passwordを構造的に支えるのが、そのエンタープライズパスワードマネジメント（EPM）コアです。このゼロ知識保管庫は、人間のユーザーと非人間ID（NHI）の両方を対象とした、唯一の「すべての従業員の認証情報記録システム」として機能します...」と報告しています。³⁷

それにもかかわらず、1Passwordの調査によると、会社が提供するパスワードマネージャーを使用する従業員はわずか約38%に過ぎません。³⁸

1PasswordのようなEPMは、企業が認証情報のスプロールを抑制し、AIエージェントの使用を管理するためのミッションクリティカルなツールです。³⁹ EPMは、認証情報の使用状況を一元的に可視化し、管理者がロールベースのボールトアクセスを通じて最小権限の原則を適用するのを可能にします。構造化されたオンボーディングとオンボーディングワークフローにより、ユーザーには業務に必要な認証情報、パスキー、シークレットへのアクセスのみが付与されます。そして重要なことに、EPMは、摩擦を起こすことなく、保護を開発者のワークフローやAI活用型の自動化に拡張します。

認証情報は暗号化されているため、チームは情報窃盗犯やその他の標的型攻撃による不正アクセスを防ぐことができます。また、1Passwordの侵害監視機能は、管理対象の認証情報が侵害された場合、ユーザーと管理者にできる限り迅速に通知します。⁴⁰

つまり、仕事用のすべてのアプリへの認証情報は安全に一元管理され、ITチームは従業員のアクセスを簡単に監視し、オンボーディングとオフボーディングを管理し、パスワードエコシステムの強度とセキュリティを測定できます。

EPMの効果に欠かせない要素に注目する価値があります。それは、認証情報のガバナンスは隙間なく配備される必要があるという点です。企業は、すべての従業員、エージェント、シークレット、ワークフローに対して認証情報管理を徹底する必要があります。アイデンティティ領域の一部のみを保護するだけでは、会社を安全に守れません。

AIエージェントと人間の統合アクセス管理

AI認証情報のスプロールは、企業内で権限が委任される方法の根本的な変化を反映しています。AIシステムはもはや人間を支援するツールではありません。エージェントはアプリケーション、データ、ワークフローに独立してアクセスし、行動するようになっています。それでもほとんどのアクセス制御は、キーボードを操作する人間を前提としています。

従業員、特に開発者は、AIを採用して生産性を向上させるよう奨励されていますが、エージェントとマシンのIDへのアクセスを安全に委任するための専用ツールがなければ、従業員は従来のセキュリティツールでは対応できない危険な回避策に頼る可能性があります。AI認証情報のスプロールに対処するには、ワークフローを妨げることなく非人間のアクセスを統制するツールが必要です。

1Password® Unified Accessを使用すると、チームは以下が可能になります。

• リスク発見：開発者およびエンドユーザーのデバイスで実行されている未管理のAIツールやエージェントを特定し、ローカルファイルや開発者の環境に保存されている認証情報や秘密情報を検出します。

• セキュアな認証情報：露出した認証情報を保管し、リスクの高いAIツールやエージェントのアクセスを削除します。実行時にエージェント、自動化ツール、CI/CDに認証情報を提供することで、シークレットの長期保存を減らし、必要な場合にのみ使用されるようにします。

• エージェントのアクションを監査：すべてのアクションについて明確な帰属情報を取得します。また、認証情報が使用された時間や方法、人間、エージェント、マシンの間で誰が使用したかを示します。

SaaS管理

認証情報のスプロールとSaaSのスプロールは不可逆的に密接に結びついています。IT部門とセキュリティチームが認証情報の保管場所や保管方法を効果的に決定するためには、従業員が使用しているアプリケーションを知る必要があります。

しかし、SaaSの無秩序な拡大の残念な点は、チームがそれを手動で管理するための時間や人員を確保することがほぼ不可能であることです。

1Password SaaS Managerは、自動化を通じてこの問題を解決します。⁴¹ 40,000を超えるアプリの連携により、チームは従業員が使用するアプリの完全なインベントリを構築し、維持でき、これにはシングルサインオンの背後で保護できないアプリも含まれます。継続的なアプリ発見機能も含まれており、組織全体のシャドーITやシャドーAIアプリの使用を明らかにすることができます。

自動化されたオンボーディングとオフボーディングのワークフローにより、チームは従業員のアプリへのアクセスを必要なときだけ提供し、不適切にオフボーディングされた従業員による未承認アクセスのリスクを回避することもできます。

使用されているアプリケーションが会社の承認を受けているかどうかにかかわらず、それらを特定することは、すべての認証情報が安全に使用および保管されていることを確認するための重要なステップです。アプリケーション領域が一部でも管理されていない場合、チームは徹底的な認証情報のセキュリティを確保できません。

AI is here: do you know where your credentials are?

認証情報のスプロールは決して新しい問題ではありません。しかし、状況は改善するどころか悪化しているようです。複数の調査によると、チームが使用するエンドポイントやアプリの数は増え続け、全体的に認証情報が増加し続けているにもかかわらず、認証情報管理の実践は着実に低下しています。認証情報は、コードベース、Slackメッセージ、AIチャットボット、スプレッドシートなどにひっそりと存在し、おそらく家の付箋にも書かれているかもしれません。

認証情報の管理はこれまでになく重要です。率直に言えば、未管理の妊娠情報は会社のエコシステムを危険にさらします。認証情報が全面的に保護されていない場合、ビジネスにはセキュリティ対策が施されていないアクセスポイントが無数に存在するということです。

企業のパスワード管理は、あらゆるレベルでセキュリティを優先する企業にとって任意のソリューションではありませんでした。しかし基本的な認証情報管理の展開を推進することは、AIの急速な台頭とともにより差し迫った課題となっています。1Passwordは会社が自社のエコシステム全体で認証情報が使用される方法を抑制および管理するための重要なソリューションです。パスワードマネージャーの強力なセキュリティを基盤として、私たちはスプレッドシートからAIエージェントまで、あらゆる場所でチームが認証情報を管理できるシステムを構築しています。

Additional sources:

^{3, 30} Data Breach Investigations Report, Verizon, 2025 (PDF)

⁸ Businesses at Work, Okta, 2025

^{12, 13, 24} The State of Secrets Sprawl, GitGuardian, 2025 (PDF)

^{17, 18, 34} The NHI & Secrets Risk Report, HubSpot, 2025 (PDF)

²⁷  PCI DSS: v4.0.1, PCI Security Standards Council, 2024

^{32, 33} Cost of a Data Breach Report, IBM, 2025