/ クラウド インフラストラクチャー エンタイトルメント管理(CIEM)とは
クラウド インフラストラクチャー エンタイトルメント管理(CIEM)とは
CIEMソリューションが必要な理由
現代の組織は、ますます多くのコア オペレーションをクラウドへ移行し続けています。プロセスや関連するワークロード、アプリケーション、データを、複数のクラウド サービス プロバイダーのプラットフォームにわたって拡張しています。たとえば、Amazon Web Services (AWS)やMicrosoft Azure、Google Cloud Platform (GCP)などです。これらすべて、あるいはそれ以上のプラットフォームにまたがるマルチクラウド環境もあるでしょう。
1つの組織のクラウド環境で個別に付与されるアクセス許可は、数百万件単位にのぼることもあります。アクセス許可は、ユーザー、システム、クラウド サービスに対して付与され、その中には、連携されていないアカウントに付与されるものや、デフォルトで付与されるもの、設定ミスによるもの、さらには実際には使われていないものも含まれています。こうした権限の管理を怠ると攻撃対象領域が大幅に広がることになり、攻撃者にとっては、クラウド環境に展開されるエンティティーに侵入しやすい状況が生まれます。Gartnerの予測では、2023年までに、クラウド セキュリティの問題75%が、アイデンティティー、アクセス、特権の不適切な管理に起因するものになるとみられています。
特権アクセス管理(PAM)など、広く使用されている従来型のセキュリティ ソリューションでは、最新のエンタイトルメントの問題に完全に対応することはできません。クラウドならではの一時性や柔軟性に対応できないか、クラウドの設定には強いものの組織のエンタイトルメント状況に関する可視性が欠けているのです。CIEMは、クラウド エンタイトルメントに関する詳細な状況を把握し、自動修正する機能を通じて、こうした問題に対処し、組織が最小特権アクセスの原則を維持できるように支援します。
CIEMの構成要素
現在、市場にはさまざまなCIEMソリューションが出回っており、構成や機能が完全に同じものはありません。しかし、基本的なレベルでは、いずれのソリューションも共通で以下のような要素を備えています。
- アイデンティティー ガバナンス:人かそれ以外かを問わず、各エンティティーに対しどのポリシーを適用するかを決定するルール
- セキュリティ ポリシー:クラウド アクセスおよびワークロード アクセスに関して、アクセス元のユーザーやエンティティー、時間や場所、目的を定義するルール
- 一元管理:担当部門がマルチクラウド エコシステム全体を1か所で管理できるダッシュボード
最新のクラウド セキュリティにおけるCIEMの役割
現代の一般的な組織にとってのクラウド アクセス リスクの管理とは、誰が何にアクセスしているかを把握することだけではありません。実は、管理対象となる「人」が存在しない場合も多くあります。現在、クラウド エンタイトルメントの半分以上はアプリケーション、マシン、サービス アカウントに対して行われています。OT (工場のフロア サーバーやロボットなど)とIoTデバイス(カード リーダー、出荷状況追跡システム、プリンターなど)は、アプリケーションやデータベースに接続するうえ、このアプリケーションやデータベースも互いに接続し、情報をやり取りしています。
不適切なデータ共有を防ぐためには、エンタイトルメントの詳細な検証が必要です。しかし、管理対象のユーザーやサービスは数千、数万を超え、管理が必要なリソースや個々のエンタイトルメントの件数はそれをさらに上回る可能性もあるため、人間だけではとても十分なスピードや正確性をもって要件の変化に対応することはできません。現在の環境においては、CIEMや自動化の力なしにこうした対応を実現することは不可能です。
エンタイトルメント管理の課題
CIEMで対処できる具体的な課題について簡単に見てみましょう。効果的なCIEMソリューションには、一般的なアイデンティティーおよびアクセス管理(IAM)設定と特権アクセス管理の機能が含まれ、ガバナンスを自動化することで次のような取り組みに役立ちます。
- 高速で敏捷性に優れたDevOpsを実現するにあたっての課題を克服し、開発者が迅速かつ安全にコードを導入し続けられる環境を整備する
- グローバルに拡大し得る動的マルチクラウド環境における、複雑なモニタリングやガバナンスを管理する
- 権限の過剰な付与を抑制し、特権アカウントも含め、人間のアカウントおよびそれ以外のアカウントによる誤用および悪用を防止する
- 異なるセキュリティ フレームワークやガバナンス要件などを持つ複数のクラウド インフラストラクチャーにわたって可視性の維持とコンプライアンスの確保を実現する
CIEMのメリット
効果的なCIEMソリューションを活用することで、組織のユーザー、人間以外のアイデンティティー、そしてクラウド リソースのエンタイトルメントを視覚化でき、エンタイトルメントの状況を分析してリスクを明らかにして、脅威を検出しながら最小特権アクセスを維持することが可能です。この点についてもう少し詳しく見ていきましょう。
DevOpsのスピードと俊敏性
DevOps部門はクラウドインフラストラクチャのアクセス設定を管理しますが、それを支えるのはセキュリティではなく、イノベーションとスピードです。最小特権付きアクセスを維持するために必要な、手動のきめ細かなアクセス許可設定は、DevOps部門にとってあまりにも煩雑です。そのため、ロールアウトを加速させたりサービスをより効率的にプロビジョニングしたりするために、DevOps部門が過剰な許可を付与することは珍しくありません。
CIEMツールは、アプリケーションの動作を中断したりDevOpsの業務を妨げたりすることなく過剰な許可を自動的に修復し、開発者が本来の仕事に集中できるようにサポートします。
単一のダッシュボードでの可視性
CIEMでは、複数のクラウド プラットフォームにわたるエンタイトルメントの概況を一元的に把握でき、クラウド内で「誰が何を見られるか」をより簡単に管理できます。エンタイトルメントに関するハイレベルな情報を確認できることで、リスク評価やリスク軽減策の立案にも役立ちます。
また、自動で作成される包括的なレポートを活用することで、複数のクラウド、サービス、ユーザー、およびエンティティーにわたって、人間やそれ以外のアカウントに対して、どのリソースへのアクセスを許可するかを管理できます。
全体的なセキュリティ態勢の強化
適切に構築されたCIEMソリューションは、以下の機能を通じて攻撃対象領域を削減し、パブリック クラウド上でのリスクを最小限に抑えます。
CSPMとCIEMの比較
設定ミスや過剰なアクセス許可は、パブリック クラウドを利用する組織が直面する最大の問題です。パブリック クラウドの活用にあたり、この課題に対処してリスクを軽減するために構築されたツールには、クラウド セキュリティ ポスチャー管理(CSPM)とCIEMの2種類があります。
両者を比較してみましょう。
CSPMは設定ミスを減らすためのツール
クラウド プロバイダーの「ビッグ3」と呼ばれるAzure、AWS、Google Cloudだけでも、数百種類の異なるサービスを提供しており、セキュリティやリスクに影響を及ぼす設定オプションもそれぞれに存在します。簡素なマルチクラウド戦略であっても、モニタリングを要する機能設定は数千に上る可能性があります。こうした一般的なパブリック クラウド サービスにおいて設定ミスの問題に対応できるよう、CSPMツールは以下のような機能を提供します。
- パブリック クラウドの設定の問題をモニタリングする
- デジタル インベントリーをトラッキングし、セキュリティ態勢を数値化する
- リスク プロファイルに基づき問題の優先順位付けを行い自動的に修正を行う
- セキュリティとコンプライアンスを維持するためのポリシー ガードレールを適用する
CIEMは過剰な権限付与に対処するためのツール
CSPMは設定ミスに焦点を当てています。一方、CIEMツールはこれとは異なるセキュリティ ギャップに対応するものです。それは、アイデンティティーと特権の制御不足です。このセキュリティ ギャップは、パブリック クラウド環境に広く蔓延しています。クラウド ユーザーが数百人規模になると、数万単位のリソースや数千万単位の個別のエンタイトルメントを管理しなければならず、手動で処理できる範囲を大きく超えてしまいます。そこで、CIEMツールは以下のような機能を提供します。
- クラウド環境全体にわたって、誰が何にアクセスできるかを特定する
- 人間やそれ以外のアイデンティティーに対するアクセス許可を把握する
- シンプルで透過性の高い最小特権アクセス モデルを構築および適用する
- エンタイトルメントに関するマルチクラウドのセキュリティ ポリシーを実装する
CSPMとCIEMのどちらが必要か
さて、クラウド リスクを軽減するうえで、CSPMとCIEMツールがそれぞれどう役立つか解説しましたが、どちらを導入する必要があるのでしょうか?答えは「両方」です。設定ミスと過剰な許可はどちらもパブリック クラウドのセキュリティ リスクをもたらす主な原因であり、CSPMとCIEMを組み合わせることで、パブリック クラウドを脅かすセキュリティ問題のほとんどを最小限に抑えることができます。
Zscalerのソリューション
CIEMならびにCSPMポリシーは、マルチクラウド環境全体でクラウド インフラストラクチャーや機密データ、およびネイティブ アプリケーションの導入を保護する総合的なクラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)である、Zscaler Posture Controlにネイティブに組み込まれています。
Posture Controlの強力なCIEM機能により、以下のようなメリットが得られます。
包括的なIAMリスク態勢の可視性
AIや機械学習を活用した分析により、膨大な量の権限データを管理できます。人間とそれ以外のアイデンティティー両方に関するデータをリスクベースで確認することで、高いリスクを伴う過剰な許可を容易に特定し、クラウド アイデンティティーの設定を検査することができます。
リスクベースの優先順位付け
ほとんどのセキュリティ プラットフォームは、対処可能な限度をはるかに超える数のアラートを生成します。Posture Controlは、プロファイルに基づいて組織のセキュリティ リスクに優先順位を付け、最小限の労力で最大限のリスク削減を可能にします。
権限のライトサイジング
Posture Controlは、機械学習、コホート分析などを使用して、非表示、未使用、設定ミスを含むアクセス許可と各クラウド プラットフォームに固有の機密リソースに対する危険なアクセス パスを特定し、このようなアクセス許可を削除することで攻撃対象領域を最小限に抑え、最小特権アクセスを実現します。
DevOpsの保護
DevOpsプロセスにおける効果的なエンタイトルメント管理により、セキュリティやイノベーションのいずれにも妥協する必要がなくなります。
各種基準に準拠した一貫性のあるIAM設定
マルチクラウド環境全体で一貫したポリシーと自動化されたガードレールを適用し、CIS、GDPR、SOC2、NIST、PCI DSS、ISOなどへのIAMコンプライアンスを確保することで、貴重な資産へのアクセスに対する強力かつきめ細かい制御が可能になります。