CIEMソリューションが必要な理由
現代の組織は、ますます多くのコア オペレーションをクラウドへ移行し続けています。プロセスや関連するワークロード、アプリケーション、データを、複数のクラウド サービス プロバイダーのプラットフォームにわたって拡張しています。たとえば、Amazon Web Services (AWS)やMicrosoft Azure、Google Cloud Platform (GCP)などです。これらすべて、あるいはそれ以上のプラットフォームにまたがるマルチクラウド環境もあるでしょう。
1つの組織のクラウド環境で個別に付与されるアクセス許可は、数百万件単位にのぼることもあります。アクセス許可は、ユーザー、システム、クラウド サービスに対して付与され、その中には、連携されていないアカウントに付与されるものや、デフォルトで付与されるもの、設定ミスによるもの、さらには実際には使われていないものも含まれています。こうした権限の管理を怠ると攻撃対象領域が大幅に広がることになり、攻撃者にとっては、クラウド環境に展開されるエンティティーに侵入しやすい状況が生まれます。Gartnerの予測では、2023年までに、クラウド セキュリティの問題75%が、アイデンティティー、アクセス、特権の不適切な管理に起因するものになるとみられています。
特権アクセス管理(PAM)など、広く使用されている従来型のセキュリティ ソリューションでは、最新のエンタイトルメントの問題に完全に対応することはできません。クラウドならではの一時性や柔軟性に対応できないか、クラウドの設定には強いものの組織のエンタイトルメント状況に関する可視性が欠けているのです。CIEMは、クラウド エンタイトルメントに関する詳細な状況を把握し、自動修正する機能を通じて、こうした問題に対処し、組織が最小特権アクセスの原則を維持できるように支援します。
CIEMの構成要素
現在、市場にはさまざまなCIEMソリューションが出回っており、構成や機能が完全に同じものはありません。しかし、基本的なレベルでは、いずれのソリューションも共通で以下のような要素を備えています。
- アイデンティティー ガバナンス:人かそれ以外かを問わず、各エンティティーに対しどのポリシーを適用するかを決定するルール
- セキュリティ ポリシー:クラウド アクセスおよびワークロード アクセスに関して、アクセス元のユーザーやエンティティー、時間や場所、目的を定義するルール
- 一元管理:担当部門がマルチクラウド エコシステム全体を1か所で管理できるダッシュボード
最新のクラウド セキュリティにおけるCIEMの役割
現代の一般的な組織にとってのクラウド アクセス リスクの管理とは、誰が何にアクセスしているかを把握することだけではありません。実は、管理対象となる「人」が存在しない場合も多くあります。現在、クラウド エンタイトルメントの半分以上はアプリケーション、マシン、サービス アカウントに対して行われています。OT (工場のフロア サーバーやロボットなど)とIoTデバイス(カード リーダー、出荷状況追跡システム、プリンターなど)は、アプリケーションやデータベースに接続するうえ、このアプリケーションやデータベースも互いに接続し、情報をやり取りしています。
不適切なデータ共有を防ぐためには、エンタイトルメントの詳細な検証が必要です。しかし、管理対象のユーザーやサービスは数千、数万を超え、管理が必要なリソースや個々のエンタイトルメントの件数はそれをさらに上回る可能性もあるため、人間だけではとても十分なスピードや正確性をもって要件の変化に対応することはできません。現在の環境においては、CIEMや自動化の力なしにこうした対応を実現することは不可能です。
エンタイトルメント管理の課題
CIEMで対処できる具体的な課題について簡単に見てみましょう。効果的なCIEMソリューションには、一般的なアイデンティティーおよびアクセス管理(IAM)設定と特権アクセス管理の機能が含まれ、ガバナンスを自動化することで次のような取り組みに役立ちます。
- 高速で敏捷性に優れたDevOpsを実現するにあたっての課題を克服し、開発者が迅速かつ安全にコードを導入し続けられる環境を整備する
- グローバルに拡大し得る動的マルチクラウド環境における、複雑なモニタリングやガバナンスを管理する
- 権限の過剰な付与を抑制し、特権アカウントも含め、人間のアカウントおよびそれ以外のアカウントによる誤用および悪用を防止する
- 異なるセキュリティ フレームワークやガバナンス要件などを持つ複数のクラウド インフラストラクチャーにわたって可視性の維持とコンプライアンスの確保を実現する