CIEMとIAMの違いは?どちらを使うべきでしょうか?ユーザー管理はどうすればよいのでしょうか?現代のソフトウェアにおけるアイデンティティ管理は、「ログインすべき人がログインでき、ログインできない人はできない」という冗談をよく言いますが、実際にはそれ以上に考慮すべき点があります。さらに、管理すべき技術やシステムの多様性により、特定のユースケースに対応するための専門的なアイデンティティ管理が必要となります。本記事では、CIEMとIAMの関係、そしてそれらが企業にどのように関係するかについて解説します。
CIEMの定義
クラウドインフラストラクチャ権限管理(CIEM)は、クラウドコンピューティングプラットフォームに関連するアイデンティティと権限を管理するプロセスです。最も効果的なクラウド管理者は、最小権限の原則に基づいてユーザーアクセスを整理します。つまり、ユーザーは業務に必要な特定のリソースのみにアクセスできるということです。これは、クラウド構成の読み取り権限と書き込み権限の両方に適用されます。CIEMは、これらの制御方法を説明するための手法です。
IAMの定義
アイデンティティおよびアクセス管理(IAM)は、企業全体およびすべての技術資産にわたるコンピューティングリソースへのアクセスを識別・制御する方法を指します。賢明な技術管理者は、すべての資産を最小権限の原則で保護するアプローチを取ります。この観点から、CIEMはIAMのサブセットと考えることができますが、IAMは通常、CIEMよりも一般的な概念に焦点を当てており、CIEMはクラウド環境に特有の課題に特化しています。
CIEMとIAMの3つの重要な違い
| カテゴリ | IAM | CIEM |
|---|---|---|
| 焦点と目的 | 全技術スイートおよびアプリケーションにわたるアイデンティティ管理に焦点を当てる。 | クラウドコンピューティングプロバイダーおよびそれらのリソースのセキュリティ要件に特化して焦点を当てる |
| 対象ユーザー | 社内外の関係者。アプリケーションのユーザーや特権リソースへのアクセスが必要な社内ユーザー。 | 社内ユーザーのみ、かつクラウドコンピューティングリソースとやり取りするユーザーのみ。はるかに小規模なグループ |
| セキュリティアプローチ | 非技術系ユーザーにも対応するセキュリティアプローチに焦点を当てる。 | 高度な技術系ユーザーに対応するセキュリティアプローチに焦点を当てる。はるかにセキュア |
CIEMとIAMの主な違い
1. 焦点と目的
CIEMとIAMの主な違いの一つは、その焦点と目的です。IAMは一般的なアイデンティティ管理戦略であり、特定の焦点があるとは限りません。前述の通り、アプローチがどれだけ一般的であっても、賢明なセキュリティ原則を適用する必要があります。一般的なアプローチを採用しているからといって、最小権限の原則のような概念を排除するわけではありません。
一方、CIEMはクラウドコンピューティングリソースに関するアイデンティティ管理に特化しています。これらのリソースは、より複雑であり、また一般的な技術資産よりも機密性が高い場合が多いです。クラウド管理コンソールへの不正アクセスが発生すると、短時間で大きな被害が生じる可能性があります。特定のクラウド資産の構成が許可されている従業員であっても、意図せず大きな混乱を引き起こすことがあります。
そのため、CIEMは高価値リソースへのきめ細かなアクセス制御を提供し、それを容易にすることに注力しています。IAMは、全技術リソースにわたる一般的なアクセス管理に焦点を当てています。
2. 対象ユーザー
CIEMは高価値な社内リソースに特化しているため、CIEMアプローチの対象は一般的なIAMアプローチよりもはるかに限定的です。CIEM戦略は外部顧客には適用されず、非技術系ユーザーにも適用されません。クラウドリソースの構成にアクセスが必要なのは、技術部門で働く人だけです。経営層や営業担当者、カスタマーサポート担当者が新たなクラウドコンピューティングリソースを立ち上げる必要はありません。
IAMははるかに広範なアプローチを取ります。すべての技術リソースへのアクセス管理方法をカバーします。つまり、IAM戦略は顧客も対象に含める必要があります。営業担当者がCRMにログインする方法も考慮しなければなりません。カスタマーサービス担当者がチケッティングシステムにアクセスする方法についても計画が必要です。
3. セキュリティアプローチ
CIEMとIAMは異なるタイプのリソースに焦点を当てていることを説明しましたが、それにより対象ユーザーも異なることが一般的です。IAM戦略は全技術資産にわたるアイデンティティを管理するため、さまざまなユーザーに対応する必要があります。多くの場合、非技術系ユーザーに対応したアプローチが求められます。
CIEMはより技術的なユーザーを対象としています。これにより、2要素認証などのセキュリティ機能が求められることが多いです。場合によっては、ハードウェア認証キーや、企業のシングルサインオンソリューションとの統合が必要になることもあります。
CIEMの利点
CIEM戦略を採用することで、さまざまなメリットがあります。第一のメリットは、クラウドセキュリティ体制の強化です。多くの場合、ビジネスはクラウド上で運営されています。クラウドプロバイダーで予期しない障害が発生すると、実際にビジネスに損失が生じます。包括的なCIEM戦略を採用することで、クラウドリソースへの不正アクセスに関連するリスクを最小限に抑えることができます。
ただし、心配すべきは不正アクセスだけではありません。CIEM戦略は、正規のユーザーが慣れていないシステムにアクセスするリスクも最小限に抑えます。たとえば、データベースサービスに精通しているチームがWebサーバーについては何も知らない場合、そのチームにクラウドプロバイダー上のWebサーバーへのアクセス権を与えなければ、日常業務に支障をきたすような変更を誤って行うことを防げます。
さらに、CIEMソリューションはOktaのようなシングルサインオンプロバイダーと直接統合されることが多いです。これにより、クラウド環境内でユーザーの自動プロビジョニングや削除が可能となり、グループ管理を利用してユーザーのグループメンバーシップをクラウドリソースのアクセスにマッピングできます。
IAMの利点
包括的なIAM戦略を採用することにも大きな利点があります。多くの企業は、前述のシングルサインオンプロバイダーを導入し、従業員や場合によっては顧客も、技術資産全体のアプリケーションに簡単にログインできるようにしています。このような技術を導入することで、従業員のオンボーディングも簡素化されます。新しいユーザーをすべてのアプリケーションに追加する作業も、環境全体の各システムに個別に追加する必要がなく、集中管理コンソールから迅速かつ容易に行えます。
包括的なIAM戦略の追加的なメリットとして、ビジネスを規制するルールや規制への準拠が可能になる点があります。誰が、どのサービスで、いつ、どのような操作を行ったかを明確に特定できます。高度に規制された業界では、ユーザーの操作を監査できることが重要な要件であり、IAM制限の大きな利点の一つです。
課題と制限事項
CIEMとIAMソリューションの課題と制限事項について見ていきましょう。
CIEMの課題
CIEM戦略には多くのメリットがありますが、重要な課題も伴います。これらの課題を把握しておくことで、導入計画時に備えることができます。
CIEMアプローチで最も重要なのは、複雑な統合が必要になるという点です。これは当然のことです。クラウドコンピューティング環境は、リソースと機能が複雑に絡み合っています。これらのシステムに権限を設定するのは簡単ではありません。さらに、クラウド環境が複雑になるほど、独自の統合を構築するのが難しくなります。その作業には価値がありますが、リソースのマッピングや、誰がアクセスを必要としているかを慎重に検討するための時間が必要になることを想定しておくべきです。
CIEM導入時のもう一つの重要な考慮事項は、既存のユーザー管理システムとの統合が難しい場合があることです。クラウドプロバイダーやユーザー管理システムに主流の技術を採用することで、この複雑さを軽減できます。選択した技術に既製の統合が用意されている場合もありますが、そうであっても必ずしも簡単に導入できるとは限りません。
IAMの課題
IAMも導入する価値がありますが、CIEMと同様にいくつかの課題が伴います。
まず、IAMは広範囲をカバーする必要があります。そのため、スケーリングが難しくなることがあります。考慮すべきことが非常に多く、選択した技術は高価値システムから技術的に未熟なユーザーまで、すべてをサポートする必要があります。
IAMのもう一つの重要な考慮事項は、脅威の状況が常に進化していることです。あらゆる種類のユーザーをサポートする必要があるため、高度な技術的知識を必要とするセキュリティシステムを利用できません。そのため、攻撃対象領域が広がります。また、ユーザー層が広いほど、アカウントフィッシングのような非技術的な攻撃にも脆弱になります。
選択のタイミング:CIEMとIAM
CIEMとIAMのどちらを選択すべきか迷っている場合、判断は明確です。クラウド環境やリソースのセキュリティを強化したい場合は、CIEM戦略を採用してください。従来型のエンタープライズリソースのセキュリティを強化したい場合は、IAMが適しています。
SentinelOneの支援内容
SentinelOneは、CIEMでもIAMでもシステムのセキュリティを支援します。SentinelOneはAIベースのアプローチを採用し、従来のユーザー管理エンドポイントとクラウドエンドポイントの両方に対する脅威を検知・ブロックします。
SentinelOneは、サーバーやコンテナ全体でAIによる脅威防御と独自のOffensive Security Engineを組み合わせたエージェントレスCNAPPを提供します。これには、Cloud Data Security(CDS)、Cloud Workload Security、Kubernetes Security Posture Management(KSPM)、Cloud Security Posture Management(CSPM)、Cloud Threat Intelligence Engineなどが含まれます。
CIEMおよびIAMセキュリティのための主な機能は以下の通りです:
- Singularity™ Identityは、クラウドインフラストラクチャ権限に対するリアルタイム防御を提供します。Active DirectoryおよびEntra ID向けの包括的なソリューションでネットワーク内の攻撃者を欺きます。
- ドメインコントローラーおよびエンドポイントに対する進行中のアイデンティティ攻撃を、管理・非管理デバイス、あらゆるOSからの攻撃元に関係なく検知します。既存のアイデンティティガバナンスソリューションとデータやSOARアクションを統合します。
- Singularity™ Marketplaceにより、1つのUIで統合およびクロスプラットフォームのセキュリティアクションを実現します。
- Singularity Identity Detection & Responseは、ネットワーク内の脅威アクターや内部関係者をリアルタイムで封じ込め、ラテラルムーブメントを飛躍的に困難にします。
- Singularity™ Hologramは、ICS-SCADAシステム、WindowsおよびLinux OS、サーバーレスやクラウドストレージ技術、POSシステム、ネットワークルーターやスイッチなどをデコイ化します。Singularity™ Endpointは、エンドポイント、サーバー、モバイルデバイスを保護し、エンタープライズ全体での予防・検知に優れた可視性を提供します。
- Singularity™ Identity Posture Managementは、Active DirectoryおよびEntra IDの脆弱性を可視化します。Singularity™ Identity for Identity Providers(IdPs)と組み合わせることで、AD攻撃検知や条件付きアクセス機能を追加し、エンタープライズのアイデンティティ基盤を保護します。AD攻撃対象領域の削減、アイデンティティ露出の継続的分析、ライブID攻撃の検知が可能です。デバイスレベルのAD攻撃経路、OSの問題、不正なドメインコントローラーなどを把握できます。オンプレミスActive Directory、Entra ID、マルチクラウド環境を完全にカバーします。
- Singularity™ Network Discoveryは、クラウド配信型のソフトウェア定義ネットワークディスカバリーソリューションであり、最小限の負荷でグローバルな可視性と制御を追加します。Network DiscoveryはSentinelエージェント機能を拡張し、ネットワーク上で検知した内容をレポートします。不正デバイスのブロックやスキャンポリシーのカスタマイズが可能です。IP対応デバイスに関する重要な情報を明らかにし、地域やグローバルで数秒以内にインベントリを作成します。
まとめ
CIEMとIAMは、包括的なクラウドセキュリティを実現するために企業に必要です。どちらも欠かすことはできず、脅威が進化する中でサイバーセキュリティ戦略の見直しが求められます。IAMとCIEMのセキュリティ機能を比較することで、それぞれにメリットとデメリットがあることが分かりました。
SentinelOneが貴社のユーザー管理にどのように役立つかご興味があれば、お気軽にお問い合わせください。CIEMおよびIAMセキュリティの強化をサポートいたします。無料ライブデモを予約していただければ、CIEMとIAMのセキュリティ機能を実際にご体験いただき、当社プラットフォームが貴社に適しているかご確認いただけます。
よくある質問
CIEM は IAM の専門的なバージョンです。クラウドにおけるアイデンティティとアクセス制御に特化しています。IAM は専門特化しておらず、すべてのインフラストラクチャにわたるアイデンティティと権限を管理します。
多くのクラウドサービスを利用している場合は、CIEM の導入を検討してください。クラウド、オンプレミス、ハイブリッド環境が混在している場合は、IAM を検討してください。
IAM はユーザーのプロビジョニングおよびプロビジョニング解除を簡素化し、セキュリティを強化し、コンプライアンスの遵守と報告を支援します。MFA、SSO、RBAC などの認証および認可メカニズムにより、不正アクセスや侵害のリスクを低減します。
CIEM は潜在的なセキュリティ問題の検出やアラートの生成に役立ちます。また、権限をコンプライアンス要件に合わせたり、「ドリフト」の発生を検出したりするのにも役立ちます。

