2022.08.29

ハイブリッドクラウド、マルチクラウドの権限管理をする「CIEM」とは?

鈴木孝崇
SB C&S株式会社 テクニカルマーケティングセンター
このエントリーをはてなブックマークに追加

こんにちは、SB C&Sの鈴木です。

クラウドセキュリティのお話をしていると、パブリッククラウド利用時の権限管理で課題を抱えているお客様がいらっしゃいます。ハイブリッドクラウド、マルチクラウド環境の権限管理を保護する機能として、「CIEM」というものがありますので、本記事ではCIEMについてまとめます。

目次

  1. CIEMが解決する課題
  2. CIEMとは?
  3. CIEMに求められる機能
  4. 選定のポイント
  5. まとめ

CIEMが解決する課題

パブリッククラウド利用時、アカウントやリソースに権限を割り当てることができますが、権限の管理について、以下のような課題を抱えていないでしょうか。

  • 管理者権限を付与されているアカウントやリソースが多数存在する
  • 長期間利用されていない権限が存在する
  • マルチクラウド、ハイブリッドクラウド環境で複数のパブリッククラウドを跨いでの権限管理ができていない

例えば、長期間利用されていない管理者権限があり、そのアカウントが乗っ取られてしまった場合、被害はとても大きなものになることが考えられます。

CIEMでは、このような課題を解決することができます。

CIEMとは?

CIEMとは、Cloud Infrastructure Entitlement Managementの略で、ハイブリッドクラウド、マルチクラウド環境の権限を管理し、権限侵害によるセキュリティ被害を防止することを目的としています。

パブリッククラウドには様々な種類の権限があり、管理が複雑になってしまうのですが、きちんと管理ができていないと、上述したような課題が発生してしまいます。

CIEMはこのような課題を解決するため、パブリッククラウド上に存在する権限を可視化し、過剰な権限を付与していればその修復を行って、最小権限の付与を実現する機能となっています。

CIEM機能概要.png

CIEMに求められる機能

では、上記の内容を実現する際にどのような機能が必要なのでしょうか。ここでは、CIEMに求められる4つの機能を説明します。

①権限の可視化

これがCIEMの最も基本的な機能となります。一元化されたダッシュボードから複数パブリッククラウドのアカウントの権限を管理し、適切な権限を付与できるようにするために必要不可欠な機能です。

さらに製品によっては、「アクセスパス」という形で割り当てられている権限をグラフで可視化できるものもあります。

可視化.png

これができると以下のような観点でアカウントやリソースの関連性がわかりやすくなるので、より管理しやすくなります。

    図1.png

    「アクセスパス」で可視化可能であるかが、製品選定の際の差別化要因の一つにもなり得ます。

    ②ポリシー準拠状況監視

    権限を割り当てる際、所属している部署のポリシーに基づいて付与されることが一般的ですが、付与した後も適切な権限が割り当てられているか継続的に監視し、ポリシーから逸脱してないか確認できる機能も、CIEMに求められます。

    具体的な機能としては、パブリッククラウド上で割り当てられている権限の状況を常時監視し逸脱している権限があれば即時アラートをあげる、というような機能です。

    ③不必要な権限のはく奪

    利用しているクラウド環境で過剰な権限を付与している場合や、未使用なアカウントが放置されていた場合に、修復して最小権限を付与できるようにする機能も、CIEMに求められます。

    いわゆる権限をはく奪する機能になるのですが、これを実現するための具体的な機能が以下となります。

    1. 異常な権限に対して、自動修復を実施する
    2. 異常な権限を修復するために、設定の推奨手順を表示し、手動で設定変更する

    1のメリットは、異常を検知したら即時自動修復し、リスクを瞬時に取り除くことです。しかしながら、権限をはく奪してしまったがために他のシステムに影響を与えてしまったり、作業ができなくなってしまう可能性も含んでいます。

    そんな懸念を払拭したい場合、2の機能を利用します。

    2のメリットは、異常の内容を確認し問題なければ、誰でも推奨手順に従って設定を変更できるという点です。

    また、自動修復機能については、メーカーにより提供していないものもありますので、こちらを提供しているか否かも差別化要因の一つになります。

    選定のポイント

    ここまでCIEMがどんな機能なのかについて説明してきました。CIEMは様々なメーカーが提供しておりますが、他のセキュリティ機能を提供しているメーカーがCIEMの領域まで乗り出してきているというケースも多くなってきました。ここまでの内容を踏まえて、CIEMを選定する際のポイントを以下にまとめます。

    • どのパブリッククラウドに対応しているか
    • アクセスパスでの可視化は可能か
    • 設定の自動修正は可能か
    • 同一製品、同一メーカーでCSPMやCWPPなどの他のクラウドセキュリティ機能もカバーしているか

    まとめ

    CIEMの概要からメーカーの選定ポイントまで、まとめさせていただきました。

    マルチクラウド、ハイブリッドクラウドの環境で権限管理をするのは複雑になってしまいますが、CIEMツールで一元的に可視化することで管理が容易になります。加えて、別のクラウドセキュリティ機能(CSPM、CWPPなど)もカバーできる製品であれば、単一製品でクラウド全体をセキュアにすることも可能です。

    次の記事では、Prisma CloudのCIEM機能について説明いたしますので、ぜひご覧ください。

    この記事の著者:鈴木孝崇

    SB C&S株式会社 テクニカルマーケティングセンター

    テクニカルサポート、サーバー運用保守、RPA開発、パブリッククラウドのプリセールスを経て、現在ゼロトラスト領域のソリューションSEとして活動中。
    PMPやGoogle Professional Cloud Architectなど20個の資格を取得。
    CSPM、CWPPのプロフェッショナルを目指して、日々奮闘しています。


    DevOps Hubのアカウントをフォローして
    更新情報を受け取る

    • Like on Feedly
      follow us in feedly

    関連記事

    このエントリーをはてなブックマークに追加

    お問い合わせ

    DevOpsに関することなら
    お気軽にご相談ください。

    Facebook、TwitterでDevOpsに関する
    情報配信を行っています。