CIEM（クラウドインフラストラクチャエンタイトルメント管理）とは？

CIEM（クラウドインフラストラクチャエンタイトルメント管理）とは？

CIEM（クラウドインフラストラクチャエンタイトルメント管理）は、セキュリティチームがクラウド環境内でアイデンティティ、アクセス権、特権、および権限を分析し、管理するためのセキュリティプロセスです。主な目標は、クラウドリソースへの過剰な権限の非意図的でチェックされていない付与から生じるリスクを軽減することです。

CIEMオファリングは、専用のアイデンティティ中心のSaaS（サービスとしてのソフトウェア）ソリューションであり、ハイブリッドおよびマルチクラウドのIaaS（サービスとしてのインフラストラクチャ）におけるエンタイトルメントのガバナンスのための管理時間制御によるクラウドのアクセスリスクの管理に重点を置いています。CIEMを包括的なCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）に統合することで、クラウドネイティブアプリケーションの包括的なセキュリティを実現し、セキュリティの分断を防ぐことができます。

CIEMセキュリティソリューションを使用することで、セキュリティチームはクラウドのアイデンティティと権限を管理し、クラウドリソースやインフラストラクチャに対して最小特権の原則 (POLP) を適用できます。これにより、企業はクラウドの攻撃対象領域を縮小し、過剰な権限によるアクセスリスクを軽減できます。

クラウドインフラストラクチャエンタイトルメントとは？

クラウドインフラストラクチャエンタイトルメントは、クラウドリソースにアクセスするためにエンティティに付与されるさまざまな権限で構成されます。数千のリソースの規模で運用されているマルチクラウド環境では、企業のクラウドインフラストラクチャエンタイトルメントの管理と追跡は非常に複雑なタスクです。

クラウドプロバイダーでは、責任共有モデルで管理されています。IaaSオファリングにより、クラウドプロバイダーはサービスとストレージを利用できるようにし、データセンターの物理的なセキュリティを保証します。ただし、IaaSオファリングのユーザーは、セキュリティに責任を持ち、これらのインフラストラクチャリソースに、誰が（あるいは何が）アクセスできるか、またはできないかを設定します。

CIEMがクラウドセキュリティにとって重要な理由

静的リソースがある環境では、クラウドプロバイダーはIAM（アイデンティティおよびアクセス管理）のルールを使用してアクセスを管理します。例えば、展開の管理者ロールが割り当てられているユーザーは、特定のComputeインスタンス（Amazon EC2など）を再起動する権限を持つことができます。一方、自動化テスト実行者のロールが割り当てられている継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインには、そのインスタンスのテストを実行するSSHの権限がある場合があります。

しかし、今日のクラウド環境では、リソースは常に変化しています。多くのリソースはエフェメラル（一時的）であり、特定の瞬間のスケーリングのニーズに基づいてプロビジョニングまたはプロビジョニング解除されます。クラウドプロバイダーには、エフェメラルリソースの権限付与に適したソリューションがありますが、各クラウドプロバイダーは独自の方法を採用しています。そのため企業は、複数のクラウドにまたがる権限を管理し、理解することが課題になります。

今日の企業がより多くのシステムやビジネスプロセスをクラウドに移行するにつれて、これらのリソースへのアクセスを管理して監視する課題はますます複雑になっています。クラウドリソースは、もはや静的で予測可能なものではありません。さらに、企業はもはや1つのクラウドだけで運用するのではなく、インフラストラクチャにマルチクラウドのアプローチを採用しています。したがって、これらのリソースにアクセスするための適切な権限を設定することは、もはや以前のように簡単ではありません。これは、クラウドインフラストラクチャエンタイトルメントを管理するソリューションにより、まさに実現されます。

CIEMの仕組み

CIEMを導入することで、セキュリティチームや組織は、機械学習をはじめとする高度な手法を活用して、クラウド環境内でのアクセスの有効性を分析し、権限を監視して適切なサイズに調整し、偶発的な露出を検知して、修復に向けた推奨事項を生成できるようになります。

これは、最小特権の原則を適用し、ユーザー（または任意のエンティティ）にその役割を果たすために必要な最小限の権限を付与することによって行われます。このアプローチにより、過剰な権限の危険性を回避するポスチャからCIEMソリューションが開始されます。

また、CIEMは、すべてのクラウドでセキュリティ用語と使用法を統一するため、チームが複数のクラウドプロバイダーでコンテキストを切り替える必要性が軽減されます。最後に、多くのCIEMソリューションでは、機械学習を使用してアクセス記録と設定を分析し、企業の潜在的なアクセスリスクを判断します。これにより、CIEMソリューションは、過剰なエンタイトルメントを特定し、セキュリティ侵害のリスクを軽減するのに役立ちます。

CIEMのコア戦略コンポーネント

CIEMソリューションには、以下の共通のコアコンポーネントがあります。

• IAM（アイデンティティおよびアクセス管理）：CIEMによる一元的なアクセス管理を通じて、許可されたユーザーやアプリケーションのみが機密データおよびサービスにアクセスできるようになります。これらのポリシーとロールにより、組織内の誰がクラウドワークロードにアクセスできるか、どのファイルにアクセスできるか、また、アクセスできる時間、場所、理由が決まります。
• 最小特権の原則 (POLP)：CIEMを用いてPOLPを適用することで、ユーザーとアプリケーションには、タスクを実行するために必要な最小限のアクセス権のみが付与されます。POLPを適用してアクセス権を最小限に抑えることで、組織はデータ侵害や不正アクセスのリスクを軽減できます。
• 可視性、監査、修復：CIEMは、すべてのクラウド環境におけるユーザーのアクティビティを可視化し、疑わしい行動や異常な振る舞いを検知することができます。これには、UEBA（ユーザーとエンティティの振る舞い分析）や機械学習が使用されることがよくあります。セキュリティチームは、生成された推奨事項や修復手順を活用して、アクセス権を削減し、未使用の権限を取り消すことができます。
• ダッシュボードを使用して、クラウドの権限管理と一元的な可視化が提供されます。この制御センターにより、ITシステムによりマルチクラウド環境をシームレスに管理できます。
• アイデンティティガバナンス：アイデンティティガバナンスは、各クラウドエンティティに適用されるエンタイトルメントを指定することで、人間のアイデンティティか非人間アイデンティティかにかかわらず、エンタイトルメントのリスクを軽減します。
• コンプライアンス：CIEMによる可視性、コントロール、監査の強化により、セキュリティチームと組織はGDPR、HIPAA、CCPAなどのセキュリティ規制に準拠できます。

CIEMのセキュリティ上の主なメリット

クラウドリソースへのアクセスの管理と監視には、いくつかの課題があります。CIEMは、これに関与して次の利点を提供します。

IAM（アイデンティティおよびアクセス管理）の向上

今日のクラウド環境では、人やプロセスがいつでもリソースをプロビジョニングまたはプロビジョニング解除する可能性があります。これらのリソースへのアクセスを管理するには、CIEMソリューションが提供する動的なアプローチが必要です。これらのエフェメラルリソースへのアクセスの監視も同様に複雑です。

クラウドリソースへの最適なアクセス

手動または慎重さを欠いた権限に対する対応により、多くの企業が不適切な方法でアクセスを付与するという誤りを犯します。エンジニアリングチームの新しいメンバーにIAMポリシーを適用する例を考えてみましょう。おそらく、新しいメンバーによるタスクの実行の妨げになったり、新しいメンバーによる追加の権限の依頼が繰り返し必要になるのを防ぐために、企業はそのメンバーにあらゆる種類のアクション（メンバーのタスクや責任に関係のないアクションを含む）を実行する過剰な権限を与えるという間違いを犯します。

このように過剰な権限を付与すると、セキュリティ侵害のリスクが大幅に高まります。CIEMソリューションを使用することで、ITチームは各ユーザーが効率的に業務を処理するために必要な権限のみを簡単に提供できます。

マルチクラウド権限の可視性の向上

クラウドインフラストラクチャへのアクセスは、ユーザーによるリソースへのアクセスほど単純ではありません。アクセスが必要になる可能性のあるリソースは、次のとおりです。

• 仮想マシン
• コンテナ
• サーバーレス関数
• データベース
• 永続ストレージ
• アプリケーション
• その他

一方、これらのリソースにアクセスする必要があるエンティティには、次のものが含まれます。

• ユーザー
• モノのインターネット (IoT) デバイス
• その他のサーバーレス関数
• その他のアプリケーション
• その他のクラウドアカウント

数百以上のリソースがあり、その一部のリソースへのアクセスを必要とし、他のリソースへのアクセスを必要としない可能性がある数百または数千のエンティティが接続する環境では、アクセス管理の明確化の必要性は計り知れません。CIEMは、すべてのクラウドのエンタイトルメントの一元的な可視化を提供します。これは、アイデンティティ管理を改善し、アイデンティティベースの攻撃を防ぐのに役立ちます。

複雑さの軽減とセキュリティポスチャの強化

多くの企業はマルチクラウドのアプローチを採用しており、コストや可用性などの理由で、異なるクラウドでリソースをホストすることを選択しています。AWS、Azure、GCPは、他のすべてのクラウドプロバイダーと同様に、IAMに対するアプローチがそれぞれ異なります。そのため、企業は、すべてのクラウドリソースの権限を管理するための単一の統合型のアプローチが実現できなくなります。CIEMソリューションを使用すると、ITチームはマルチクラウド環境全体でエンタイトルメントを簡単に管理できます。

コンプライアンスと監査への対応

CIEMセキュリティソリューションは、マルチクラウド環境全体におけるIAMの自動化により、クラウド内の機密データが注意深く、コンプライアンスに準拠した方法で管理されることを常に保証します。多くのソリューションは、地方自治体や業界の規制当局が導入したクラウドセキュリティフレームワークに準拠します。

自動検知および修復

CIEMソリューションは、すべてのクラウドのエンタイトルメントのインベントリを保持し、不適切に設定されたエンタイトルメントを自動的に修正して、最小特権アクセスを適用し、一致するガードレールを実装することで、攻撃対象領域を減らして、リスクを最小限に抑えるように設計されています。

CIEMツールの考慮事項

組織のCIEMツールを選択する際には、さまざまな要因を考慮することが重要です。考慮事項の便利なリストは、次のとおりです。

これらの要因を慎重に検討することで、組織のセキュリティとエンタイトルメント管理のニーズに最も適したCIEMツールを選択できます。

CrowdStrike Falcon Cloud Securityのアプローチ

静的なクラウド環境における従来のIAMアプローチは、今日の動的なマルチクラウド環境に適用するには不十分です。さらに、今日の潜在的に数千のリソースと、それらのリソースへのアクセスを必要とするさらに多くのエンティティが存在する環境の規模で手動アプローチを適用することは不適切であり、意図せずに過剰なアクセス許可が発生し、セキュリティ侵害のリスクが高くなります。そこで、強力なCIEMソリューションが効果を発揮します。

CrowdStrike Falcon® Cloud Securityでは、マルチクラウド環境において、比類のないアイデンティティベースのセキュリティ、可視性、最小特権アクセスの適用が提供されます。これは、アイデンティティセキュリティと統合されたCIEM監視のための信頼性のある唯一の情報源として機能します。さらに、クラウドストライクの脅威インテリジェンス機能により、クラウド環境を脅かす多数の攻撃者に関する情報にアクセスできます。