クラウドインフラストラクチャ権限管理(CIEM)は、クラウドセキュリティの重要な構成要素です。当ガイドではCIEMの複雑な仕組みを掘り下げ、クラウドリソースへのユーザーアクセスを管理・制御する役割を解説します。CIEMの主要機能、データ侵害や不正アクセスのリスク低減における利点、包括的なクラウドセキュリティ戦略における位置付けについて学びましょう。CIEMに関する専門家の知見で、時代の先を行き、クラウドインフラのセキュリティを確保しましょう。
CIEMの価値とは
全サイバーセキュリティ侵害の約10%は、IDを標的としたランサムウェア攻撃です。これは、悪意のある攻撃者が単純な有効な認証情報を使用してネットワークにアクセスし、その後ネットワーク内で検知されずにアクセス権限を拡大するものです。
2024年、ユナイテッドヘルスケアは史上最大級の機密個人データ侵害事件を経験し、全米人口の3分の1に影響が及んだ可能性があります。この事例では、攻撃者は侵害された認証情報を利用してリモートデスクトップにアクセスし、通常は暗号化されている大量のファイルにアクセスした後、ネットワーク内にランサムウェアを展開しました。
CIEMは、アイデンティティ管理、アクセス制御、継続的モニタリング、高度な分析を提供し、一元化されたリソースからゼロトラストネットワークセキュリティ原則を適用することで、この種の攻撃に対する防御を実現します。
CIEMの仕組み
大規模なクラウド環境ポートフォリオ全体で権限を管理し、アクセス権限を強制することは極めて複雑になり得ます。CIEMツールは、以下のコア機能を通じてユーザー権限の管理を統合し、侵害を監視します。
ユーザー発見と認証
ユーザー権限管理の第一歩は、ユーザーを正確に特定することです。CIEMソリューションは、内部・外部を問わず、人間・非人間・アプリケーションを問わず、組織の複数のクラウドネットワークを利用する全ユーザーに関する可視性を提供します。
CIEMソリューションはまた、すべてのユーザーに認証を要求し、認証されていないユーザーはクラウド環境から排除します。ユーザー認証には、単純なユーザー名とパスワードによる検証から、より複雑な多要素認証(MFA)などのプロトコルなど、いくつかの一般的な方法があります。
ガバナンスと権限管理
ユーザーが認証されると、CIEMソリューションは高度な分析を用いてユーザーの権限とアクセス権限を追跡し、潜在的なリスクを特定するとともに、セキュリティポリシー策定のための情報を収集します。機械学習を活用してユーザーのエンタイトルメントを監査し、未使用、過剰使用、適切な利用のいずれであるかを判断し、事前に定義されたセキュリティガバナンス構造やアクセス制御と比較することができます。
例えば、多国籍企業では、特定の国や特定の職務のユーザーが特定のリソースにアクセスできないようにする制限を設けている場合があります。CIEMソリューションは、複数のクラウド環境にわたるユーザーの権限を評価し、権限の可視性を提供することで、組織がガバナンス構造に基づいてユーザーを管理するための情報を提供します。
最小権限アクセスモデルの適用
CIEMソリューションの共通特性として、クラウドインフラストラクチャおよびリソース内でポリシーを作成・適用する機能があり、多くの場合最小権限の原則 (PoLP) セキュリティモデルに沿うことが多い。セキュリティの強制とPoLPモデルは、アクセスポリシーに基づいてユーザーのリソースに対する権限を制限または完全に制限することを目指す。機能的には、過剰な権限を最小化することで企業の攻撃リスクを低減する。
国別または役割別の制限を設ける多国籍企業を例にとると、CIEMツールは特定のユーザーに対して特定リソースへの読み取り専用アクセスを強制しつつ、他のユーザーへの書き込みアクセスを維持するといったセキュリティポリシーを適用できます。例えば、顧客対応のサポートスペシャリストがソフトウェア展開インフラにアクセスできるべきではありません。CIEMツールはこうした権限の不整合を特定し、制限を適用するために活用できます。これはコンプライアンス維持において特に有益です。
IDベースの侵害が発生した場合、PoLPモデルは攻撃者が重要リソースにアクセスまたは変更する能力を大幅に制限します。CIEMツールは、攻撃者のアクセスを企業ネットワークリソースのごく一部に限定し、単一ユーザーが使用する認証情報の使用に限定します。
継続的監視と対応
組織内では、ユーザーがリソースへの追加アクセスを正当に必要とする場合やアプリケーションのアクセス権限が変更される場合など、クラウド上の権限は絶えず変化します。CIEMソリューションは、機械学習などの高度な分析技術を活用し、時間の経過に伴う企業の基準となる権限活動(一般にユーザーおよびエンティティ行動分析(UEBA)と呼ばれる)を確立します。
UEBAは、行動異常、潜在的な脅威、セキュリティインシデントのリアルタイム監視と検知に活用できます。ほとんどのCIEMソリューションでは、集中管理型のUEBAダッシュボードが常時監視と脅威通知に利用可能で、脅威対応策の提供さえ行います。
例えば、CIEMシステムは前述のサポート担当者が、通常活動していない時間帯にこれまでアクセスしたことのないリソースへのアクセスを試みていることを検知する可能性があります。CIEMツールはその後、そのユーザーの全アクセスを制限し、行動の正当性や脅威レベルをさらに審査するまで待機させることができます。
CNAPPマーケットガイドCIEM FAQ
CIEMはCloud Infrastructure Entitlement Management(クラウドインフラストラクチャ権限管理)の略称です。クラウド環境全体におけるIDとアクセス権限を管理する、クラウドセキュリティソリューションの専門分野です。CIEMは、組織がクラウドインフラストラクチャ内で誰が何をアクセスできるかを制御するのに役立ちます。
マルチクラウドおよびハイブリッドクラウド環境におけるアクセス権限の管理に焦点を当て、可視性と制御を維持します。
CIEMは、クラウド環境における権限とアクセス権限を管理するセキュリティソリューションであり、許可されたユーザーとアプリケーションのみがリソースにアクセスできるようにします。シングルクラウドおよびマルチクラウド環境全体で、誰がどのリソースにアクセスできるかを可視化します。
CIEMは過剰な権限を特定し、アクセス権限を自動的に調整することで、最小権限の原則の実装を支援します。
CIEMはクラウド権限の膨大な規模に対処します。単一組織でもクラウド環境全体で数百万の個別権限が存在し得ます。適切な管理がなければ、これらは攻撃者が悪用する巨大な攻撃対象領域を生み出します。
特権IDの90%以上が、付与された権限の5%未満しか使用しておらず、いわゆる「クラウド権限ギャップ」が生じています。CIEMはこのギャップを解消し、過剰なクラウド権限に起因する侵害を防止します。
IAMはテクノロジー環境全体におけるID管理に焦点を当てているのに対し、CIEMはクラウドコンピューティングプロバイダーとその特有の要件に特化しています。従来のIAMは静的なオンプレミス環境向けに設計されましたが、クラウドインフラは動的で一時的な性質を持っています。
CIEMは、急速に変化するクラウド環境に必要な詳細な可視性と制御を提供し、クロスクラウド権限管理やクラウド固有のコンテキストにおける異常行動の検出に特化した機能を備えています。
CIEM は、過剰な権限を持つアカウント、権限が有効なままの非アクティブな ID、クラウドリソースへの無制限のアクセス権を持つ「スーパー ID」を検出します。クロスアカウントアクセスリスク、元従業員の孤立アカウント、異常な活動を行うマシンIDを特定します。
CIEMは設定ミス、更新されていない静的認証情報などの認証情報脆弱性、攻撃者がシステム内で横方向に移動している可能性を示す異常な動作も検知します。
まず、すべてのサードパーティアクセスを特定し、全クラウドサービスにわたる現在の権限を分類することから始めます。実装中は統合を継続的に監視し、クラウド権限の完全なカバレッジを確保してください。可視化を最優先に——変更を加える前に、誰が何をアクセスできるかを深く把握する必要があります。
是正措置とアラートのための自動化されたワークフローを設定し、長期にわたる権限を最小限に抑え、ジャストインタイムアクセスを優先するポリシーを確立します。
組織がクラウドサービスに大きく依存している場合やマルチクラウド環境で運用している場合にCIEMの導入を検討すべきです。特に、クラウドへの移行が急速に進んでおり、クラウドの権限をより適切に管理する必要がある場合に重要です。
金融、医療、政府などの規制の厳しい分野の組織は、コンプライアンス要件を満たすためにCIEMを必要とすることがよくあります。異なるクラウドプロバイダー間で権限を追跡するのに苦労している場合や、権限の無秩序な拡大に対処している場合、CIEMが役立ちます。