クラウドインフラストラクチャエンタイトルメント管理(CIEM)とは

クラウドインフラストラクチャエンタイトルメント管理(CIEM)の定義

クラウドインフラストラクチャエンタイトルメント管理(CIEM)は、パブリッククラウド環境でのデータ侵害リスクを軽減する、自動化されたクラウドセキュリティソリューションの一種です。CIEMソリューションは、人間および非人間エンティティの権限とアクティビティを継続的に監視して、それらが適切なアクセス制御の範囲内で動作するようにし、過度のエンタイトルメント(資格)が付与されることを防止します。

効果的なCIEMソリューションを採用することで、組織がアクセス管理を合理化しながら全体的なクラウドセキュリティポスチャを強化し、DevOpsへの悪影響を最小化するのをサポートする、自動化された総合的なレポートを得られます。

 

CIEMのコンポーネント

現在さまざまなCIEMソリューションが市場に出回っていますが、完全に同じ構成になっていたり、機能がすべて共通していたりするものはありません。しかし、どれも基本的なレベルでは以下のようなコンポーネントを有しています。

  • アイデンティティガバナンスそれぞれの人間および非人間エンティティに適用するポリシーを決定するルール
  • セキュリティポリシークラウドおよびワークロードアクセスに関して、誰が、何を、いつ、どこで、なぜアクセスするかを決定するルール
  • 一元管理:担当部門がマルチクラウドエコシステム全体を1か所で管理できるダッシュボード

 

CIEMソリューションが必要とされる理由

現代の組織は、引き続きより多くのコアオペレーションをクラウドに移行しており、アマゾンウェブサービス(AWS)やMicrosoft Azure、Google Cloud Platform(GCP)などの複数のクラウドサービスプロバイダーのプラットフォームにわたってプロセスや関連するワークロード、アプリケーション、データを拡張しています。一部のマルチクラウド環境には、上記すべてに加えてさらに多くの要素が含まれる場合があります。

1つの組織のクラウドエコシステムには、フェデレーションされていないアカウントや、デフォルトまたは設定ミスによるアクセス許可、さらには未使用の許可を含む、ユーザ、システム、そしてクラウドサービスに付与された数百万の個別の許可を含むことがあります。これらの管理を怠ると攻撃対象領域が大幅に広がり、攻撃者が導入されているクラウドシステムに侵入しやすくなってしまいます。Gartnerは、2023年までにクラウドセキュリティ障害の75%はアイデンティティやアクセス、および特権に対する不十分な管理に起因するようになると予測しています。

特権アクセス管理(PAM)などの、これまで広く使用されてきた従来型のセキュリティソリューションは、最新のエンタイトルメント関連の問題に完全には対処しきれません。具体的には、クラウドの特徴である一時性と柔軟性に対応できない、もしくはクラウド設定に重点を置いていて会社のエンタイトルメントの可視性を提供できないためです。CIEMは、クラウドエンタイトルメントに関する詳細な可視性と自動修復機能を提供することでこれらの問題に対処し、組織が最小限の特権アクセス原則を維持できるようにサポートします。

 

最新のクラウドセキュリティにおけるCIEMの役割

現代の一般的な組織にとって、クラウドアクセスリスクの管理とは、誰が何にアクセスしているかを把握することだけにとどまりません。事実、管理対象となる「人」が存在しない場合も多くあります。現在、クラウドエンタイトルメントの半分以上はアプリケーション、マシン、サービスアカウントに付与されています。OT(例:工場のフロアサーバやロボット)とIoTデバイス(例:カードリーダー、配送トラッカー、プリンタ)は、相互接続しながら常に情報を交換するアプリケーションやデータベースに接続します。

そのため、不適切なデータ共有を防ぐために、エンタイトルメントは細部まで検証される必要があります。しかし、管理対象のユーザとサービスの数が数千、数万を超え、管理が必要なリソースや個々のエンタイトルメントの数がそれをさらに上回る可能性もあるため、人間の対応能力だけでは要件の変化に追従するのに十分なスピードや正確性を実現できません。現在の環境において、これを可能にできるのはCIEMと自動化のみに限られます。

 

エンタイトルメント管理の課題

CIEMで対処できる具体的な課題について簡単に見てみましょう。効果的なCIEMソリューションには、一般的なアイデンティティおよびアクセス管理(IAM)設定と特権アクセス管理が含まれ、自動化されたガバナンスを提供して以下の実現をサポートします。

  • 高速で俊敏なDevOpsを実現する上での障害を克服し、開発者が迅速かつ安全にコードを導入し続けられる環境を整備
  • 世界規模で広がりうる動的なマルチクラウド環境で複雑なモニタリングとガバナンスを管理
  • 過剰な許可を抑制し、特権アカウントを含む、人間および非人間アカウントによる誤用や乱用を防止
  • 異なるセキュリティフレームワークやガバナンス要件などを備えた、複数のクラウドインフラストラクチャにおいて可視性を維持し、コンプライアンスを確保

CIEMのメリット

効果的なCIEMソリューションを活用することで、組織のユーザ、非人間のアイデンティティ、そしてクラウドリソースのエンタイトルメントを視覚化でき、エンタイトルメントの状況を分析してリスクを明らかにし、脅威を検出しながら最小特権付きアクセスを維持することが可能です。この点についてもう少し詳しく見ていきましょう。

 

DevOpsのスピードと俊敏性

DevOps部門はクラウドインフラストラクチャのアクセス設定を管理しますが、それを支えるのはセキュリティではなく、イノベーションとスピードです。最小特権付きアクセスを維持するために必要な、手動のきめ細かなアクセス許可設定は、DevOps部門にとってあまりにも煩雑です。そのため、ロールアウトを加速させたりサービスをより効率的にプロビジョニングしたりするために、DevOps部門が過剰な許可を付与することは珍しくありません。

CIEMツールは、アプリケーションを破損したりDevOpsを妨害したりすることなく過剰な許可を自動的に修復し、開発者が本来の仕事に集中できるようにサポートします。

 

単一のダッシュボードでの可視性

CIEMは複数のクラウドプラットフォームにわたるエンタイトルメントの概要を一元的に提供するため、クラウド内で「誰が何を見られるか」をより簡単に管理できます。このハイレベルなエンタイトルメントの概要はチームがリスクを評価し、軽減戦略を策定する上で役立ちます。

また、CIEMを使用することで、セキュリティ部門は自動化された総合レポートを活用しながら、複数のクラウド、サービス、ユーザ、およびエンティティにわたって、各人間/非人間のユーザがアクセスできるリソースを管理できます。

 

全体的なセキュリティポスチャの強化

適切に構築されたCIEMソリューションは、以下の機能を通じて攻撃対象領域を縮小し、パブリッククラウド上でのリスクを最小限に抑えます。

  • 既存のエンタイトルメントすべてに関して、正確なインベントリを作成、維持
  • 設定ミス、未使用、ポリシー違反、またはその他の問題のあるエンタイトルメントを特定して自動的に修復
  • 敵意のあるアクティビティ、人為的なミス、セキュリティポリシーからの逸脱など、内部または外部の脅威となりえる異常なクラウドトランザクションを検出
  • 優先度の高い問題を検出し、実行可能な修復計画を提示して修正に活用
  • ゼロトラストの重要な要素である最小特権の原則を適用
  • それぞれに独自のセキュリティ設定と用語を持つ複数のクラウド環境にわたって、統一されたガードレールを実装

CIEM vs CSPM:どちらがパブリッククラウドのリスク軽減により適しているのか

ブログを読む(英語)
CIEM vs CSPM:どちらがパブリッククラウドのリスク軽減により適しているのか

クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)の5大メリット

ブログを読む(英語)
CIEM vs CSPM:どちらがパブリッククラウドのリスク軽減により適しているのか

エンタイトルメント:パブリッククラウドで最も見落とされがちなリスク

ブログを読む
エンタイトルメント:パブリッククラウドで最も見落とされがちなリスク

CSPMCIEMの比較

設定ミスと過剰な許可は、パブリッククラウドを利用する組織が直面している最大の問題です。パブリッククラウドを活用する際に、これらの課題に対処してリスクを軽減するために構築されたツールとして、クラウドセキュリティポスチャ管理(CSPM)とCIEMの2種類があります。

両者を比較してみましょう。

 

CSPMツールは設定ミスを低減

クラウドプロバイダーの「ビッグ3」であるAzure、AWS、Google Cloudだけでも何百もの異なるサービスを提供しており、それぞれにセキュリティとリスクに影響を与える設定オプションが存在します。簡素なマルチクラウド戦略であっても、モニタリングする必要のある機能設定の数は数千に上る可能性があります。CSPMツールは以下の点でのサポートを通じ、これらの一般的なパブリッククラウドサービスにおける設定ミスの問題に対処します。

  • パブリッククラウド設定の問題をモニタリング
  • デジタルインベントリをトラッキングし、セキュリティポスチャを計算
  • リスクプロファイル別に問題の優先順位を付け、修復を自動化
  • ポリシーガードレールを適用し、セキュリティとコンプライアンスを維持

 

CIEMツールは過剰な権限付与に対処

CSPMは設定ミスに焦点を当てる一方、CIEMツールはパブリッククラウドの導入において蔓延する異なるセキュリティギャップ、つまりアイデンティティと特権に対する不十分な制御に対処します。数百人のクラウドユーザがいる状況では、何万ものリソースや数千万もの個別のエンタイトルメントを管理する必要があるため、担当部門が手動で処理しきれません。このような状況に対して、CIEMツールは以下の点で役立ちます。

  • クラウド環境全体にわたって、誰が何にアクセスできるかを特定
  • 人間と非人間のアイデンティティのアクセス許可を把握
  • シンプルで透過性の高い最小特権アクセスモデルを構築して適用
  • エンタイトルメントのマルチクラウドセキュリティポリシーを実装

 

CSPMとCIEMのどちらが必要か

クラウドリスクを軽減するうえでCSPMとCIEMツールがそれぞれどう役立つか解説しましたが、どちらを導入する必要があるのでしょうか?答えは「両方」です。設定ミスと過剰な許可はどちらもパブリッククラウドのセキュリティリスクをもたらす主な原因であり、CSPMとCIEMを組み合わせることで、パブリッククラウドを脅かすセキュリティ問題のほとんどを最小限に抑えることができます。

 

Zscalerのソリューション

CIEMならびにCSPMポリシーは、マルチクラウド環境全体でクラウドインフラストラクチャや機密データ、およびネイティブアプリケーションの導入を保護する総合的なクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)である、 ZscalerのPosture Controlにネイティブに組み込まれています。

Posture Controlの強力なCIEM機能により、以下のようなメリットが得られます。

総合的なIAMリスクポスチャの可視性
AIおよび機械学習を活用した分析は、膨大な量のエンタイトルメントデータの管理に役立ちます。人間と非人間のアイデンティティの両方に関するデータをリスクベースで確認することで、高リスクな過度の許可を容易に特定し、クラウドアイデンティティの設定を検査することができます。

リスクベースの優先順位付け
ほとんどのセキュリティプラットフォームは、アクションをとれないほど過剰な数のアラートを生成してしまいます。Posture Controlはプロファイルに基づいて組織のセキュリティリスクに優先順位を付け、最小限の労力で最大限のリスク削減を可能にします。

エンタイトルメントの最適化
Posture Controlは機械学習、コホート分析などを使用して、非表示、未使用、または誤設定の許可、および各クラウドプラットフォームに固有の機密リソースに対する危険なアクセスパスを特定します。これらの許可を削除することで、攻撃対象領域を最小化して最小特権アクセスを実現できます。

DevOpsの保護
DevOpsプロセスにおける効果的なエンタイトルメント管理により、セキュリティやイノベーションのいずれにも妥協する必要性が解消されます。

一貫性のあるコンプライアンスに準拠したIAM設定
マルチクラウド環境全体に一貫したポリシーと自動化されたガードレールを適用して、CIS、GDPR、SOC2、NIST、PCI DSS、ISOなどへのIAMコンプライアンスを維持することで、貴重な資産へのアクセスに対して強力かつきめ細かな制御が可能になります。

 

Posture Controlの詳細

デモを申し込む