CIEMとIAM?どちらを使うべきか?ユーザーをどう管理すべきか?現代のソフトウェアにおけるID管理とは、ログインすべき人は全員ログインでき、ログインできない人は全員ログインできないようにすることだと冗談を言いたくなります。実際には、それ以上に考慮すべき点があります。さらに、制御すべき技術やシステムの多様性から、特定のユースケースに対応するための専門的なアイデンティティ管理が必要となります。本稿では、CIEMと、それがIAMとどのように関連し、両方が御社にどのように関わるかについて説明します。
CIEMとIAMの主な相違点
1. 焦点と目的
CIEMとIAMの主な相違点は、その焦点と目的です。IAM は一般的な ID 管理戦略であり、特定の焦点を必ずしも持たないことを意味します。前述のように、アプローチがどれほど一般的であっても、賢明なセキュリティ原則を使用する必要があります。汎用的なアプローチを採用しているからといって、最小権限の原則といった概念を排除できるわけではありません。
一方、CIEMはクラウドコンピューティングリソースを取り巻くアイデンティティ管理に極めて焦点を絞っています。これらのリソースは、より一般的な技術資産よりもはるかに複雑で、かつ機密性の高い場合が多いのです。クラウド管理コンソールへの不正アクセスは、瞬時に甚大な損害をもたらし得ます。特定のクラウド資産の設定権限を持つ従業員でさえ、意図せず重大な混乱を引き起こす可能性があります。
このためCIEMは、高価値リソースに対するきめ細かなアクセス制御を提供し、その運用容易性に重点を置いています。IAM は、テクノロジーリソーススイート全体にわたる一般的なアクセス管理に重点を置いています。
2. 対象ユーザー
CIEMは高価値な内部リソースに極めて焦点を絞っているため、CIEMアプローチの対象者は一般的なIAMアプローチよりもはるかに限定的です。CIEM戦略は外部顧客には適用されず、非技術ユーザーにも適用されません。クラウドリソースの設定アクセスを必要とするのは、自社の技術組織内で働く人々だけです。経営幹部、営業担当者、カスタマーサポート担当者が新たなクラウドコンピューティングリソースを起動する必要は決してありません。
IAMはより広範なアプローチを取ります。これは、すべての技術リソースへのアクセス管理方法をカバーします。つまり、IAM戦略は顧客も対象とする必要があります。営業担当者がCRMにログインする方法についても考慮する必要があります。顧客サービス担当者がチケットシステムにアクセスする方法についても計画を立てる必要があります。
3. セキュリティアプローチ
CIEMとIAMが異なる種類のリソースに焦点を当てていることは説明しました。しかし、その性質上、CIEMとIAMが異なる対象層に焦点を当てることも一般的です。IAM戦略はテクノロジー基盤全体にわたるID管理を扱うため、必然的に多様なユーザー層への対応が求められます。多くの場合、これは非技術系ユーザー向けの対応策を意味します。
一方、CIEMはより技術志向の強いユーザー層を対象とします。これは、2要素認証ハードウェア認証キーの必要性や、企業向けシングルサインオンソリューションとの統合要件が生じる可能性すらあります。
CIEMの利点
CIEM戦略の採用には数多くの利点があります。最も重要な利点は、クラウドセキュリティ態勢の強化です。おそらく、貴社はクラウド上でビジネスを運営しているでしょう。クラウドプロバイダーにおける予期せぬ障害は、貴社に実際の金銭的損失をもたらします。包括的なCIEM戦略を採用することで、クラウドリソースへの不正アクセスに関連するリスクを最小限に抑えられます。
ただし、懸念すべきは不正アクセスだけではありません。CIEM 戦略は、権限のあるユーザーであっても、慣れないシステムにアクセスすることによるリスクを最小限に抑えます。例えば、データベースサービスには精通しているが、ウェブサーバーについては何も知らないチームがいるとします。クラウドプロバイダー上のウェブサーバーへのアクセスをそのチームに許可しないCIEM戦略により、日常業務を妨げる変更を誤って行う可能性を排除できます。lt;/p>
最後に、CIEMソリューションはOktaのようなシングルサインオンプロバイダーと直接連携することが多いです。これにより、クラウド環境内でユーザーの自動プロビジョニングとデプロビジョニングが可能になり、グループ管理などを活用してユーザーのグループ所属をクラウドリソースへのアクセス権限に紐付けることができます。
IAMの利点
包括的なIAM戦略を採用することには、いくつかの実質的な利点もあります。多くの企業は、前述のシングルサインオンプロバイダーを採用し、従業員や場合によっては顧客も、テクノロジーポートフォリオ全体にわたるアプリケーションに簡単にログインできるようにします。このようなテクノロジーを採用すると、従業員のオンボーディングなどのプロセスも簡素化されます。全アプリケーションへの新規ユーザー追加は、環境内の各システムに個別に追加する必要がなく、一元管理コンソールから迅速かつ容易に行えます。
包括的なIAM戦略の追加メリットとして、事業に適用される規則や規制への準拠が挙げられます。どのユーザーが、どのサービスで、いつ、どのような操作を行ったかを確実に特定できます。規制の厳しい業界では、このユーザー行動の監査機能が重要な要件であり、IAM制限の最大の利点の一つです。
課題と制限事項
CIEMとIAMソリューションの課題と制限について探ってみましょう。
CIEMの課題
CIEM戦略には確かな利点がある一方で、重要な課題も伴います。導入範囲を検討し始める段階で、これらの課題を理解し対策を計画しておくことが重要です。CIEMアプローチにおいて最も留意すべき点は、複雑な統合作業が必要となることです。これは当然のことと言えます。クラウドコンピューティング環境は、リソースと機能が複雑に絡み合ったネットワークだからです。こうしたシステムに権限管理を適用することは、単純な作業ではありません。さらに、クラウド環境が複雑になればなるほど、独自の統合設定は困難になります。この作業は価値がありますが、リソースのマッピングやアクセス権限の厳密な検討に時間を要することを覚悟すべきです。CIEM導入におけるもう一つの重要な考慮点は、既存のユーザー管理システムとの統合が困難な場合があることです。クラウドプロバイダーとユーザー管理システムに主流技術を採用することで、この複雑さを軽減できます。選択した技術向けに既製の統合ソリューションが存在する可能性はあります。しかし、たとえ存在しても、単純なプラグアンドプレイ操作とは限らない点に留意が必要です。
IAMの課題
IAMも取り組む価値がありますが、CIEMと同様に固有の課題を抱えています。
まず第一に、IAMは広範な領域をカバーする必要があります。そのためアプローチの拡張が困難になりがちです。考慮すべき事項が非常に多く、システムを支えるために選択する技術は、高価値システムから技術的に最も未熟なユーザーに至るまで、あらゆるものをサポートする必要があります。
IAMに関するもう一つの重要な考慮事項は、脅威の状況が絶えず変化していることです。あらゆるタイプのユーザーをサポートする必要があるため、高度な技術的知識を必要とするセキュリティシステムは使用できません。これにより攻撃対象領域が広がります。また、ユーザーベースが広ければ広いほど、アカウントフィッシングのような非技術的な攻撃に対して脆弱になります。CIEMとIAMの選択タイミング
CIEMとIAMのどちらを選択すべきか迷っている場合、結論は明確です:クラウド環境とリソースの保護を目指すならCIEM戦略を採用すべきです。より伝統的な企業リソースの保護を目指すなら、IAMが適切なアプローチです。
SentinelOneの支援内容
SentinelOneは、CIEMとIAMのどちらを利用している場合でも、システムの保護を支援します。SentinelOneはAIベースのアプローチを採用しており、従来のユーザー管理エンドポイントとクラウドエンドポイントに対する脅威を同等に検知・ブロックします。
SentinelOne は、サーバーとコンテナ全体で、独自の攻撃的セキュリティエンジンと AI による脅威防御を組み合わせた エージェントレス CNAPP を提供しています。これには、クラウドデータセキュリティ(CDS)、クラウドワークロードセキュリティ、Kubernetes Security Posture Management(KSPM)、Cloud Security Posture Management(CSPM). クラウド脅威インテリジェンスエンジンなど。
CIEMおよびIAMセキュリティにおける中核的な主要機能は以下の通りです:
- Singularity™ Identity は、クラウドインフラストラクチャの権限に対するリアルタイム防御を提供します。Active Directory および Entra ID 向けの包括的なソリューションにより、ネットワーク内の攻撃者を欺きます。
- ドメインコントローラーやエンドポイントに対する進行中のアイデンティティ攻撃を、あらゆる OS を実行する管理対象/非管理対象デバイスから検出します。既存のIDガバナンスソリューションとデータおよびSOARアクションを統合します。
- Singularity™ Marketplaceと連携し、単一UI内での統合とクロスプラットフォームセキュリティアクションを実現します。
- Singularity Identity Detection & Responseは、横方向の移動を指数関数的に困難にすることで、ネットワーク内の脅威アクターや内部関係者(インサイダー)をリアルタイムで特定します。
- Singularity™ホログラムは、ICS-SCADAシステム、WindowsおよびLinux OS、サーバーレスおよびクラウドストレージ技術、POSシステム、ネットワークルーターおよびスイッチなどを偽装します。Singularity™ Endpointエンドポイント、サーバー、モバイルデバイスを保護し、企業全体にわたる予防と検知による優れた可視性を提供します。
- Singularity™ Identity Posture Management は、Active Directory および Entra ID の脆弱性を発見します。Singularity™ Identity for Identity Providers (IdPs) と連携し、追加の AD 攻撃検知機能と条件付きアクセス機能を提供することで、企業の ID インフラストラクチャを保護します。AD の攻撃対象領域を縮小し、ID の露出を継続的に分析し、進行中の ID 攻撃を検知できます。デバイスレベルのAD攻撃経路、OSの問題、不正なドメインコントローラーなどを把握できます。オンプレミスActive Directory、Entra ID、マルチクラウド環境を完全にカバーします。
- Singularity™ Network Discovery は、最小限の手間でグローバルな可視性と制御を追加するように設計された、クラウド提供のソフトウェア定義ネットワーク検出ソリューションです。Network Discovery は Sentinel エージェント機能を拡張し、ネットワーク上で検知した内容を報告します。不正デバイスのブロックを可能にし、スキャンポリシーをカスタマイズできます。Network Discovery は IP 対応デバイスに関する重要な情報を明らかにし、地域全体または全世界にわたるインベントリを数秒で生成します。
まとめ
包括的なクラウドセキュリティを実現するには、CIEMとIAMの両方が必要です。どちらか一方だけでは機能せず、脅威が進化するにつれて、サイバーセキュリティ戦略を洗練させる必要があります。IAM と CIEM のセキュリティ機能を比較した結果、それぞれに長所と短所があることがわかりました。
SentinelOne が御社のユーザー管理にどのように役立つかご興味をお持ちでしたら、ぜひお問い合わせください。喜んでお手伝いいたします。CIEMとIAMセキュリティの強化を支援いたします。無料ライブデモを予約する当社プラットフォームのCIEMとIAMセキュリティ機能を実際にテストし、御社に最適なソリューションかどうかをご確認いただけます。
CIEMの定義