クラウドインフラストラクチャエンタイトルメント管理 (CIEM) の定義
クラウドインフラストラクチャエンタイトルメント管理 (CIEM) は、クラウド環境内のアイデンティティ、アクセス権、特権、および権限を管理するために使用されるプロセスです。主な目標は、クラウドリソースへの過剰な権限の非意図的でチェックされていない付与から生じるリスクを軽減することです。
CIEMは、クラウドセキュリティテクノロジーの分野では比較的新しいソリューションであり、GartnerのHype Cycle for Cloud Security, 2020に選出されたことで注目を集めました。CIEMオファリングは、専用のアイデンティティ中心のサービスとしてのソフトウェア (SaaS) ソリューションであり、ハイブリッドおよびマルチクラウドのサービスとしてのインフラストラクチャ (IaaS) におけるエンタイトルメントのガバナンスのための管理時間制御によるクラウドのアクセスリスクの管理に重点を置いています。
クラウドインフラストラクチャエンタイトルメントとは?
クラウドインフラストラクチャエンタイトルメントは、クラウドリソースにアクセスするためにエンティティに付与されるさまざまな権限で構成されます。数千のリソースの規模で運用されているマルチクラウド環境では、企業のクラウドインフラストラクチャエンタイトルメントの管理と追跡は非常に複雑なタスクです。
クラウドプロバイダーでは、責任共有モデルで管理されています。IaaSオファリングにより、クラウドプロバイダーはサービスとストレージを利用できるようにし、データセンターの物理的なセキュリティを保証します。ただし、IaaSオファリングのユーザーは、セキュリティに責任を持ち、これらのインフラストラクチャリソースに、誰が(あるいは何が)アクセスできるか、またはできないかを設定します。
2023年版クラウドリスクレポート
この新しいレポートをダウンロードして、2023年に最も蔓延しているクラウドセキュリティの脅威について精通し、2024年にはそれらの脅威からの保護を強化してください。
CIEMがクラウドセキュリティにとって重要な理由
静的リソースがある環境では、クラウドプロバイダーはアイデンティティ/アクセス管理 (IAM) のルールを使用してアクセスを管理します。例えば、デプロイ管理者のロールが割り当てられているユーザーは、特定のComputeインスタンス(Amazon EC2など)を再起動する権限を持つことができます。一方、自動化テスト実行者のロールが割り当てられている継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインには、そのインスタンスのテストを実行するSSHの権限がある場合があります。
しかし、今日のクラウド環境では、リソースは常に変化しています。多くのリソースはエフェメラル(一時的)であり、特定の瞬間のスケーリングのニーズに基づいてプロビジョニングまたはプロビジョニング解除されます。クラウドプロバイダーには、エフェメラルリソースの権限付与に適したソリューションがありますが、各クラウドプロバイダーは独自の方法を採用しています。そのため企業は、複数のクラウドにまたがる権限を管理し、理解することが課題になります。
今日の企業がより多くのシステムやビジネスプロセスをクラウドに移行するにつれて、これらのリソースへのアクセスを管理して監視する課題はますます複雑になっています。クラウドリソースは、もはや静的で予測可能なものではありません。さらに、企業はもはや1つのクラウドだけで運用するのではなく、インフラストラクチャにマルチクラウドのアプローチを採用しています。したがって、これらのリソースにアクセスするための適切な権限を設定することは、もはや以前のように簡単ではありません。これは、クラウドインフラストラクチャエンタイトルメントを管理するソリューションにより、まさに実現されます。
CIEMの仕組み
CIEMソリューションの標準的なアプローチは、最小特権の原則を適用することです。これは、ユーザー(または任意のエンティティ)にそのロールを実行するために必要な最小限の権限を付与するアプローチです。このアプローチの採用により、過剰な権限の危険性を回避するポスチャからCIEMソリューションが開始されます。
また、CIEMは、すべてのクラウドでセキュリティ用語と使用法を統一するため、チームが複数のクラウドプロバイダーでコンテキストを切り替える必要性が軽減されます。最後に、多くのCIEMソリューションでは、機械学習を使用してアクセス記録と設定を分析し、企業の潜在的なアクセスリスクを判断します。これにより、CIEMソリューションは、過剰なエンタイトルメントを特定し、セキュリティ侵害のリスクを軽減するのに役立ちます。
CIEMおよびCSPMトレンドレポート
このレポートをダウンロードし、セキュリティリスクを軽減してクラウドネイティブ開発を拡大するための取り組みにおけるEnterprise Strategy Groupが提供するトレンドを検討してください。
CIEMコンポーネント
CIEMソリューションのすべてで共有している構成要素は、以下の3つです。
- セキュリティポリシーとルール:セキュリティを強化する目的で組織で設定されるポリシーとルールです。これらにより、クラウドワークロードにアクセスできるユーザー、ユーザーがアクセスできるファイル、ユーザーがアクセスできる時間、場所、理由を決定します。
- User entity and behavior analytics (UEBA):UEBAは、機械学習を使用してシステム内の異常な振る舞いを識別し、他の方法では検知が困難な攻撃を防ぐのに役立ちます。
- 一元管理:ダッシュボードを使用したクラウドのエンタイトルメントの一元的な可視化と管理が提供されます。この制御センターにより、ITシステムによりマルチクラウド環境をシームレスに管理できます。
- アイデンディティガバナンス:アイデンディティガバナンスは、各クラウドエンティティに適用されるエンタイトルメントを指定することで、人間のアイデンディティか人間以外のアイデンディティかにかかわらず、エンタイトルメントのリスクを軽減します。
CIEMの利点
クラウドリソースへのアクセスの管理と監視には、いくつかの課題があります。CIEMは、これに関与して次の利点を提供します。
エフェメラルリソースのアクセス管理
今日のクラウド環境では、人やプロセスがいつでもリソースをプロビジョニングまたはプロビジョニング解除する可能性があります。これらのリソースへのアクセスを管理するには、CIEMソリューションが提供する動的なアプローチが必要です。これらのエフェメラルリソースへのアクセスの監視も同様に複雑です。
クラウドリソースへの最適なアクセス
手動または慎重さを欠いた権限に対する対応により、多くの企業が不適切な方法でアクセスを付与するという誤りを犯します。エンジニアリングチームの新しいメンバーにIAMポリシーを適用する例を考えてみましょう。おそらく、新しいメンバーによるタスクの実行の妨げになったり、新しいメンバーによる追加の権限の依頼が繰り返し必要になるのを防ぐために、企業はそのメンバーにあらゆる種類のアクション(メンバーのタスクや責任に関係のないアクションを含む)を実行する過剰な権限を与えるという間違いを犯します。
このように過剰な権限を付与すると、セキュリティ侵害のリスクが大幅に高まります。CIEMソリューションを使用することで、ITチームは各ユーザーが効率的に業務を処理するために必要な権限のみを簡単に提供できます。
可視性の大幅な改善
クラウドインフラストラクチャへのアクセスは、ユーザーによるリソースへのアクセスほど単純ではありません。アクセスが必要になる可能性のあるリソースは、次のとおりです。
- 仮想マシン
- コンテナ
- サーバーレス機能
- データベース
- 永続ストレージ
- アプリケーション
- その他
一方、これらのリソースにアクセスする必要があるエンティティには、次のものが含まれます。
- ユーザー
- モノのインターネット (IoT) デバイス
- その他のサーバーレス機能
- その他のアプリケーション
- その他のクラウドアカウント
数百以上のリソースがあり、その一部のリソースへのアクセスを必要とし、他のリソースへのアクセスを必要としない可能性がある数百または数千のエンティティが接続する環境では、アクセス管理の明確化の必要性は計り知れません。CIEMは、すべてのクラウドのエンタイトルメントの一元的な可視化を提供します。これは、アイデンティティ管理を改善し、アイデンティティベースの攻撃を防ぐのに役立ちます。
複雑さの軽減
多くの企業はマルチクラウドのアプローチを採用しており、コストや可用性などの理由で、異なるクラウドでリソースをホストすることを選択しています。AWS、Azure、GCPは、他のすべてのクラウドプロバイダーと同様に、IAMに対するアプローチがそれぞれ異なります。そのため、企業は、すべてのクラウドリソースの権限を管理するための単一の統一されたアプローチが実現できなくなります。CIEMソリューションを使用すると、ITチームはマルチクラウド環境全体でエンタイトルメントを簡単に管理できます。
コンプライアンス
CIEMソリューションは、マルチクラウド環境全体におけるアイデンティティアクセス管理の自動化により、クラウド内の機密データが注意深く、コンプライアンスに準拠した方法で管理されることを常に保証します。多くのソリューションは、地方自治体や業界の規制当局が導入したクラウドセキュリティフレームワークに準拠します。
セキュリティポスチャの強化
CIEMソリューションは、すべてのクラウドのエンタイトルメントのインベントリを保持し、不適切に設定されたエンタイトルメントを自動的に修正して、最小特権アクセスを適用し、一致するガードレールを実装することで、攻撃対象領域を減らして、リスクを最小限に抑えるように設計されています。
2023年版脅威ハンティングレポート
2023年版脅威ハンティングレポートでは、クラウドストライクのCounter Adversary Operationsチームが、攻撃者の最新の手口を明らかにし、侵害阻止に役立つ知識とインサイトを提供しています。
CIEMツールの考慮事項
組織のCIEMツールを選択する際には、さまざまな要因を考慮することが重要です。考慮事項の便利なリストは、次のとおりです。
| 能力 | 要件 |
|---|---|
| シームレスな統合 | 評価期間中にCIEMツールを試用して、既存のクラウドインフラストラクチャおよび管理システムとシームレスに統合されることを確認します。 |
| ユーザーフレンドリーなインターフェース | ユーザーインターフェイスは、管理者とユーザーの両方にとって直感的で移動しやすいものである必要があります。 |
| きめ細かなポリシー制御 | 役割、権限、エンタイトルメントなどのきめ細かいレベルでアクセスを定義して管理できるツールを探します。 |
| スケーラビリティ | ツールが、パフォーマンスを損なうことなく組織のニーズに合わせて拡張できるかどうかを検討します。 |
| コンプライアンスのログ記録 | CIEMツールにコンプライアンスの監視、レポート、監査の機能が備わっていることを確認します。 |
| 自動化 | ソリューションに堅牢な自動化機能を持たせることで、エンタイトルメントを管理する管理者の負担を軽減できます。 |
| セキュリティ | 多要素認証や脅威検知などの堅牢なセキュリティ機能を備えたCIEMツールを優先します。 |
| 費用効率 | 組織の予算を考慮して、CIEMツールが提供する価値に対してのCIEMツールのコストを評価します。 |
| ベンダーの評価 | カスタマーレビュー、アナリストレポート、受賞歴、サポートサービスを確認して、ベンダーの評価を調査します。 |
| 統合 | ベンダーがCIEMのみではなく、それ以上の包括的なセキュリティポートフォリオを提供しているかどうかを確認します。CIEMソリューションを包括的なセキュリティスイートに統合することで、ベンダーの統合をサポートし、セキュリティポスチャ全体を強化できます。 |
これらの要因を慎重に検討することで、組織のセキュリティとエンタイトルメント管理のニーズに最も適したCIEMツールを選択できます。
CrowdStrike Falconクラウドセキュリティのアプローチ
静的なクラウド環境における従来のIAMアプローチは、今日の動的なマルチクラウド環境に適用するには不十分です。さらに、今日の潜在的に数千のリソースと、それらのリソースへのアクセスを必要とするさらに多くのエンティティが存在する環境の規模で手動アプローチを適用することは不適切であり、意図せずに過剰なアクセス許可が発生し、セキュリティ侵害のリスクが高くなります。そこで、強力なCIEMソリューションが効果を発揮します。
CrowdStrike Falcon®クラウドセキュリティでは、マルチクラウド環境において、比類のないアイデンティティベースのセキュリティ、可視性、最小特権アクセスの適用が提供されます。これは、アイデンティティセキュリティと統合されたCIEM監視のための信頼できる唯一の情報源として機能します。さらに、クラウドストライクの脅威インテリジェンス機能により、クラウド環境を脅かす多数の攻撃者に関する情報にアクセスできます。
詳細
Falconクラウドセキュリティによるアクセス管理とセキュリティポスチャに関するクラウドストライクのクラウドセキュリティアプローチについて説明します。視聴:エンドポイントでの検知と対応 (EDR):適切なソリューションを選択する
