CIEM(Cloud Infrastructure Entitlement Management)とは、組織のクラウド環境におけるユーザとアプリケーションの権利、アクセス許可、アクセス権限を管理するためのソフトウェアベースのアプローチです。
目次
組織がクラウドインフラストラクチャとアプリケーションへの依存度を高めるにつれて、ユーザの権利、特権、許可の管理がサイバーセキュリティにとって重要になっています。
ほとんどのクラウドサーバは、従来のIAM(IDおよびアクセス管理)機能が限定的であるため、クラウド環境の規模、複雑さ、および動的な性質に適しているとは言えません。CIEMは、これらのギャップを埋める上で有効です。特に、従来のアクセス管理ソリューションでは課題となるマルチクラウド環境において、その効果を発揮します。
CIEMの主な利点は、セキュリティチームが最小権限のアクセスモデルを適用できることです。これにより、過剰な権限付与に伴う一般的なリスクを軽減できます。最小権限アプローチは、ゼロトラストセキュリティの原則に沿って、リソースとインフラストラクチャへのユーザアクセスを、特定のタスクを完了するために必要な最小限に制限します。CIEMは、クラウド環境におけるユーザIDの監視と追跡を簡素化することで、最小権限アクセスの適用を可能にします。
CIEMは、エンタープライズクラウド環境におけるIDルールとセキュリティポリシーの設定と適用を自動化します。CIEMソフトウェアは既存の権限をスキャンし、それらを使用しているユーザを記録し、必要に応じてアクセス権限を調整して、組織のポリシーに準拠させます。これらの調整は自動化することも、CIEMのアラート通知を受けてセキュリティチームが実行することもできます。
CIEMツールは高度に進化しており、機械学習と分析技術を用いてアクセスポリシーとそのクラウド環境への適用状況を把握・監視します。つまり、CIEMツールは権限が正しく割り当てられているかを確認するだけでなく、ユーザの行動を監視し、異常や潜在的な侵害をセキュリティチームに通知することもできます。これらの機能により、CIEMはクラウドプラットフォーム全体にわたり、組織に強力かつ包括的なセキュリティを提供します。
ほとんどのCIEMソリューションの主な機能は次のとおりです。
従来のID管理ツールとアプローチには、IAM、PAM(特権アクセス管理)、CSPM(Cloud Security Posture Management)などがあります。
クラウド環境は非常に動的であり、多くの場合、組織が直接管理できないリソース(サードパーティのクラウドプロバイダが運用するインフラストラクチャ、プラットフォーム、ソフトウェアなど)が関与します。こうしたマルチパーティ構成の特性により、クラウドセキュリティにおいては責任共有モデルが確立されており、クラウドプロバイダーと法人のお客さまがそれぞれの役割を担うことで、セキュリティの維持が図られています。
ユーザーは企業から発信され、その権限やアクセス許可は主に企業側の管理対象となるため、CIEMは、組織が責任共有モデルの中でアクセス権限管理の責任を果たすために不可欠なツールです。
クラウドサービスプロバイダーは、権限の付与と管理のために独自のツールを提供していますが、これらは通常、クラウドプラットフォームごとに固有であるため、マルチクラウド環境や大規模なクラウド構成では、権限の追跡・監視が非常に複雑になります。
クラウドプロバイダーのツールに依存し、統合的な権限管理を行わない場合、組織は以下のような課題に直面する可能性があります。
一方、CIEMは、すべてのクラウド環境にわたるユーザーと権限を一元的に可視化・管理することで、セキュリティチームが権限の追跡・調整を効率的に行えるよう支援します。これにより、見落としや不整合、コンプライアンス違反、セキュリティ侵害のリスクを低減できます。CIEMツールを活用することで、セキュリティチームはクラウドセキュリティポリシーをより効率的かつ効果的に実装できます。
CIEMソリューションを導入すると、次のような多くのメリットがあります。
CIEMを導入する前に、組織は以下のニーズを検討する必要があります。
Trend Vision One™ Cloud Securityは、単一のクラウドプラットフォームを利用する組織、マルチクラウド環境やハイブリッド環境を利用する組織に、包括的なCIEM機能を提供します。Trend Vision One Cloud Securityは、高度な可視性と継続的な監視、リスク評価、Cyber Risk Exposure Management(CREM)などを組み合わせ、CIEMを含むクラウドセキュリティ全体をカバーする包括的なソリューションを提供します。当社のTrend Vision One Cloud Securityがクラウド資産のセキュリティ維持にどのように役立つかについて、詳しくはこちらをご覧ください。
Verizon's data breach report & unsecured cloud storage
Shared Responsibility for Cloud Security
You're One Misconfiguration Away from a Cloud-Based Data Breach
Microsoft Azure Well-Architected Framework
Using Shift-Left to Find Vulnerabilities Before Deployment
AWS Well-Architected
Safe, Secure and Private, Whatever Your Business
National Institute of Standards and Technology (NIST)