クラウドネイティブサービスとマルチクラウド環境の台頭により、人間、マシン、サービスのアイデンティティが広範囲に作成されるようになりました。そして、各アイデンティティがさまざまなクラウドシステム上でアクセスを許可された特定のファイルと、実行を許可されたアプリケーションを持っています。クラウドインフラストラクチャ権限管理(CIEM)とは、このようなアイデンティティと権限を大規模に管理することに重点を置いています。CIEMによって、誰がまたは何が各クラウドリソースにアクセスできるかを特定し、そのアクセスを必要最低限のものに厳密に制限することで、最小権限の原則を適用します。
複数のクラウドプロバイダーやサービスにまたがるインフラストラクチャを構築する組織が増えるにつれて、管理しなければならないアイデンティティ数や権限数も急速に増加します。従来のIDおよびアクセス管理(IAM)ツールでは、現代の流動的な環境やそれに伴う複雑さに対応しきれていません。CIEMツールを使えば、そのギャップを埋めることができます。クラウドプラットフォーム全体の権限を可視化し、攻撃対象領域を縮小し、コンプライアンス強化への取り組みをサポートします。また、ゼロトラストセキュリティなどより広範なアーキテクチャとも連携しています。
なぜ従来のIAMではクラウド時代に対応できないのか
従来組織ではIAMシステムを導入してアカウント作成、認証、ロールベースのアクセス制御、基本的な承認ワークフローを処理していました。しかし、これらのフレームワークは、静的なオンプレミス環境を使用している人間向けに構築されたものでした。
そのためクラウド時代にはそぐわない構造となっています。
まず、従来のIAMはユーザーID認証を重視しますが、クラウドサービス全体に対する権限の把握が十分にできません。多くの場合、リソースの権限(誰がまたは何が、いつ、どのようなコンテキストで、どの権限を持つか)に対するきめ細かな制御ができないのです。そのため、IAMではクラウドコンテキストにおける多数のIDや進化し続ける権限の管理が煩雑になります。
第二に、クラウド環境では、サービスアカウント、APIキー、短期間の認証情報、ワークロードIDなど一時的なIDが導入され、インフラストラクチャが拡張および移行するにつれて権限付与も動的に行われます。人間のユーザーや静的なロールを想定して設計されたIAMシステムでは、その流動性に対応しきれません。そのため、IAMの弱点はクラウドセキュリティ最大の課題とみなされています。
CIEMは、IDセキュリティとリソースレベルのガバナンスの間で橋渡しをし、クラウドサービス全体のIDと権限を組織に向けて可視化します。CIEMを使用すると、さまざまなユーザーアカウントを分析して過剰なアクセス権を持っているIDを発見し、その情報を元に最小権限の原則に基づく運用を徹底することができます。その結果、権限管理が欠けていたレイヤーが把握でき、データアクセスガバナンスの取り組みを強化できます。
CIEMソリューションのコア機能
CIEMツールは、組織がクラウド環境全体のIDと権限を管理し、クラウドデータを保護するのに役立つ、以下のような基本的な機能を数多く提供しています。
可視性: マルチクラウドインフラストラクチャ全体で、ユーザー、サービスアカウント、ロール、権限といったインベントリを完全に管理します。
リスクの検出: 過剰な権限、不要なアクセス権限の増加 (権限の乖離)、権限昇格のリスクを特定します。
最小権限の適用: 最小権限の原則に沿ったアクセス権が実装できるよう、ポリシーの推奨事項を自動的に適用します。
継続的な監視: アラートと修復のワークフローを提供して長期にわたり安全な態勢を維持します。
統合: 主要なクラウドプロバイダー(AWS、Azure、GCP)にプラグインし、サードパーティのセキュリティシステムやガバナンスツールと連携します。
これらの機能の組み合わせにより、組織全体でどのようなアクセスが存在し、どうあるべきかをマッピングし、それが逸脱したときに検出して修正する手段を把握できます。
最新のクラウドセキュリティにおけるCIEMの利点
CIEMツールは、セキュリティ、コンプライアンス、運用効率など幅広く次のようなメリットをもたらします。
攻撃対象領域の縮小: 必要なものだけに厳密に権限を制限し、侵害後に攻撃者が権限を悪用したり、ラテラルムーブメントを防ぎます。
コンプライアンスの強化: 権限を継続的に可視化することで、監査を簡素化し、ガバナンス要件への準拠を証明します。
インシデント対応の改善: 権限のコンテキストが明確になるため、調査と修復を迅速に行うことができます。
運用効率: 自動的に権限を適正化することで、手動によるレビュー負荷が削減されるため、セキュリティチームはより価値の高いタスクに集中できるようになります。
このような利点により、金融サービスやその他の規制の厳しい業界において、CIEMはクラウドセキュリティに不可欠な要素となっています。
CIEMはゼロトラストアーキテクチャをどのようにサポートしているのか
ゼロトラストモデルは、ユーザー、システム、ワークロードを確認せずに信頼すべきではないという前提に立って運用しています。そのため、すべてのアクセス要求を、検証、認可し、必要最小限の範囲にアクセスを限定しなければなりません。
最小権限の原則はゼロトラストの中核をなす信条であり、CIEMはそれをクラウドプラットフォーム全体で一貫して適用できるようなメカニズムを提供しています。すべてのアイデンティティとその権限をマッピングすることで、従来の管理対策では見過ごされていた過剰な権限を持つアカウント、孤立したロール、危険なアクセスパスを明らかにします。権限をユーザーとワークロードのニーズに厳密に沿うように常に監視および調整し続けることで、継続的な検証が可能になります。
またCIEMは、侵害された認証情報が機密資産に到達しないよう防いで、アイデンティティの回復力およびデータセキュリティの強化に貢献します。
Rubrikがクラウド保護を支援
クラウドの導入が拡大するにつれて、人間とマシンのアイデンティティ、そしてその権限数は同じスピードで増加します。可視性と制御がなければ、無秩序に増加し、不必要なリスクを生み出す原因となります。CIEMツールは、組織が過剰な権限を持つアクセスを特定し、権限を適正化し、あらゆるクラウド環境でアイデンティティセキュリティを強化できるよう支援することで、これらの課題に対処します。権限管理をデータを中心としたセキュリティ管理に統合させることで、セキュリティチームがリスクを軽減し、コンプライアンス要件を満たし、ゼロトラストの原則を運用できるような手段を提供します。
Rubrikはデータ保護とアイデンティティセキュリティを組み合わせ、最新のクラウドの脅威からデータを守ります。詳細をお知りになりたい方、あるいは、セキュリティ専門家にご相談したい方は、Rubrikの営業チームにお問い合わせください。