CIEMソリューションにより、複雑なクラウドインフラストラクチャを持つ企業に大きなメリットをもたらす方法を紹介します。
Rapid7クラウドリスクソリューションクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) は、ハイブリッドおよびマルチクラウドのサービスとしてのインフラストラクチャ (IaaS) およびサービスとしてのプラットフォーム (PaaS) アーキテクチャで、エンタイトルメントとデータガバナンスの管理のための管理時間コントロールを活用するソリューションのカテゴリです。 ガートナーは®、CIEMを、クラウドアクセスリスクの管理に重点を置いた、ID中心のSaaS(Software-as-a-Service)ソリューションと定義しています。
CIEMソリューションが登場したのは、マルチクラウドやハイブリッドクラウドインフラの利用が増加し、 IDおよびアクセス管理(IAM) の課題が複雑化しているためです。これらのツールは 、通常、ユーザーとエンティティが必要なものだけに適切なタイミングで適切な理由でアクセスできる 最小特権原則(LPA) の原則に従って、 動的なクラウド環境のIDガバナンスを処理します。
IAMとエンタイトルメント管理の課題は、通常、動的なマルチクラウド環境やハイブリッドクラウド環境で動作する断片的なソリューションに集中しています。これには、特権アクセス管理だけでなく、ID の管理とガバナンスも含まれます。言うまでもなく、このアプローチには課題が数多くあります。
つまり、マルチクラウドIAMには、より洗練されたアプローチが求められるのです。そのため、包括的なCIEMソリューション市場が成長しているのです。 以下では、クラウド インフラストラクチャ管理に対する最新のアプローチと、これらの課題にどのように対処するかについて説明します。
CIEMソリューションは、思慮深く戦略的なアプローチを網羅する必要があります。 CIEMソリューションは、組織のクラウドインフラストラクチャに現在アクセスしているエンティティ(従業員、クライアント、アプリケーション、クラウドサービスなど)を可視化する必要があります。この分析では、アクセスされている特定のリソース、アクセスの種類、および時間もカバーする必要があります。簡単に言えば、収集される情報には、「誰が」、「何を」、「いつ」といった情報が含まれる必要があります。
次に、その分析は、クラウドインフラストラクチャ全体のリスク管理を扱う次の実装ステップに情報を提供します。この手順の主なタスクには、最小特権の原則の実装が含まれます。つまり、エンティティには、作業を完了するために必要なアプリケーションとデータにしかアクセスさせないというものであり、余計なアクセス権は付与しません。
最後に、クラウドエンジニアは、正アクセスなどの疑わしいアクティビティが発生したときに実行可能なアラートを受信することなどの、24時間使用可能な手段とマルチクラウド環境を必要としています。
最終的に、 トップCIEMプロバイダー と提携することで、企業は専門家と協力して、組織のクラウドセキュリティ アプローチと互換性のある実装戦略を考案できます 。CIEMはクラウドテクノロジーの比較的新しい分野であるため、プラットフォームを実装するためのベストプラクティスはまだ開発中であり、専門家の意見はさらに価値があります。
適切なCIEMプラットフォームには、堅牢かつさまざまな機能が含まれている必要があります。たとえば、アクセス制御とプロビジョニングのための使いやすいモジュールは、クラウド管理者がクラウドインフラストラクチャにアクセスするすべてのアカウントの権限を管理するのに役立ちます。このモジュールは、最小特権の原則と、会社のその他のガバナンス ポリシーの適用も促進する必要があります。
関連するエンタイトルメント管理モジュールにより、管理者は各ユーザーの特定の権限を制御できます。自動監査機能は、企業が、停止中のアカウントやアクティブなユーザーのいないアカウントを調整するのに役立ちます。これらアカウントは、必要に応じて削除する必要があります。企業のクラウドインフラストラクチャにとって、重大なセキュリティリスクになり得るからです。監査は、クラウド管理者が各アカウントの現在のエンタイトルメント レベルを追跡するのにも役立ちます。
多くの主要なCIEMプラットフォームは、 Amazon Web Services(AWS)、 Microsoft Azure 、 Google Cloud などの主要なクラウドプロバイダーとシームレスに統合されています。もちろん、優れたプラットフォームは、マルチクラウドやハイブリッドクラウドのインフラもサポートしています。CIEMプラットフォームを選択する際には、統合の容易さが実装の成功につながるということを忘れないでください。
CIEMのコンポーネントは、IAMが持つクラウドベースの性格を引き継いでいます。主なコンポーネントは次のとおりです。
アイデンティティルール:適切な人または資産が正しいインフラストラクチャにアクセスできることを確認するために、クラウド環境内で実施されるチェック。
コンプライアンス: コンプライアンスには、クラウド アクセスとプライバシーに関する組織の管理体制を示す、自動監査機能の明文化ドキュメントが含まれる必要があります。
ユーザー行動分析 (UBA): 特定のデータを用いて、組織のクラウド インフラストラクチャにアクセスしようとしているエンティティと、その行動を可視化できます。
セキュリティ ポリシー: セッション ポリシー、サービス制御ポリシー、アクセス許可境界、ID ベースのポリシーを含むガイドラインです。
CIEMソリューションの実装は、複雑なクラウドインフラストラクチャを持つすべての企業に大きなメリットをもたらします。最適なプラットフォームは、ハイブリッド環境およびマルチクラウド環境の両方において、クラウド上の現在のアクティビティを可視化します。
CIEMにより、企業のクラウドベースのアプリケーションや重要なデータを、ハッカーやその他の悪質なサイバー犯罪者から保護することができます。繰り返しますが、停止中のアカウントや標準外のアクティビティなどの潜在的な 脅威を検出したときに自動的にそれを検知し、アラートを発します。過度に寛容なアクセスを割り当てるなど、新しいユーザーアカウントを作成する際のミスもシステムによって検出されるため、潜在的に危険なミスが業務に影響を与えるのを防ぎます。
さらに、重要な規制コンプライアンス要件を持つ企業は、CIEMプラットフォームの自動監査機能を役立てることができます。このアプローチは、クラウドアクセスに関する会社の厳格な管理、特に重要なデータプライバシーの考慮事項を詳述したドキュメント証跡を提供します。銀行、保険、および金融セクターの企業は、特にこの機能を活用すべきでしょう。
まだ新しいクラウド管理ソリューションであるCIEMプラットフォームは、今後より改善や進化が期待されますが、今ある課題も、それがもたらすメリットと比較したら微々たるものです。
ただし、CIEMベンダーを検討する際は、統合ソリューションを構築してきているベンダーを選択しましょう。既存のIAMベンダーの多くは、クラウド未対応製品を単にクラウド移植しているだけであり、今日の複雑なマルチクラウドで動作するために必要なシームレスな統合を提供していません。
クラウドベースのIAMの効果的なソリューションを実現するには、クラウドインフラストラクチャに対する各クライアント独自のアプローチを考慮する必要があります。これは、クラウドのアクセスと権限に関する複雑なポリシーを持つ組織に特に当てはまります。
2022年クラウド誤設定レポート:最新のクラウドセキュリティ侵害と攻撃の傾向