ID とアクセス
マシン ID
別称: ワークロード ID, 非人間 ID
定義
ワークロード・デバイス・コンテナ・API クライアントなど非人間エンティティが他システムと認証・信頼関係を結ぶための暗号学的アイデンティティ。
マシン ID とは、ソフトウェアが「自分は何者か」を証明するためのデジタル資格情報の総称で、TLS 証明書、SSH 鍵、API トークン、クラウドのワークロード ID、SPIFFE ID、コード署名証明書などを含みます。マイクロサービス、Kubernetes、マルチクラウドの普及により、マシン ID の数は人間 ID をはるかに超え、攻撃面が広がっています。大規模に運用するには、自動発行とローテーション、公開鍵基盤、シークレット管理プラットフォーム、有効期限と不正利用の可観測性が不可欠です。盗難・期限切れの証明書や署名鍵を巡る事故が相次ぎ、マシン ID はゼロトラストアーキテクチャの基盤として注目されています。
例
- Kubernetes ワークロードに発行された SPIFFE ID により、マイクロサービス間の通信を mTLS で認証する。
- AWS Private CA が IoT デバイスへ自動発行した証明書を用いて相互 TLS 認証を行う。
関連用語
サービスアカウント
アプリケーション・スクリプト・サービスが他のシステムに認証するために用いる非人間アイデンティティで、通常は対話的ログインを行わない。
Credential Vault
Credential Vault — definition coming soon.
公開鍵基盤(PKI)
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
相互 TLS(mTLS)
クライアントとサーバーの双方が X.509 証明書を提示し、互いを暗号学的に認証する TLS の拡張方式。
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。