CIEM(Cloud Infrastructure Entitlement Management) しーあいいーえむ
クラウド権限管理IAM最小権限の原則過剰権限CSPMAWS/Azure/GCP
CIEMについて教えて
簡単に言うとこんな感じ!
クラウド上の「誰が・何に・どこまでアクセスできるか」を一元管理して、余計な権限を自動で見つけてくれるセキュリティツールだよ。「鍵を渡しすぎてないか」を常に監視してくれる番人みたいな存在なんだ!
CIEMとは
CIEM(Cloud Infrastructure Entitlement Management:クラウドインフラ権限管理)とは、クラウド環境において「誰(ユーザー・アプリ・サービス)が・何に(リソース)・どの操作を(権限)」できるかを可視化・分析・是正するセキュリティ管理の仕組みです。AWSやAzure、GCPといったマルチクラウド環境では、設定された権限の数が膨大になり、人手での管理が追いつかなくなるため、CIEMが自動的に過剰権限や不審なアクセス設定を検出します。
クラウドでは「とりあえず広めの権限を与えておく」運用が横行しやすく、実際には使われていない権限(=ゴースト権限)が大量に蓄積されがちです。この状態はサイバー攻撃者に悪用されるリスクが高く、CIEMはその状況を継続的にスキャンして最小権限の原則(必要最低限の権限しか付与しない考え方)を実現するために使われます。
ガートナーが2021年ごろから提唱し始めたカテゴリで、現在ではCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)の重要な構成要素として位置づけられています。
CIEMが管理する権限の世界
クラウド環境での権限管理は、登場人物が非常に多く複雑です。CIEMが把握・整理する対象を整理すると次のようになります。
| 管理対象の種類 | 具体例 | リスクの例 |
|---|---|---|
| 人間のユーザー | 開発者・管理者のアカウント | 退職後もアクティブな権限が残っている |
| マシンID | EC2インスタンス・Lambdaなどのサービス | 不要なS3バケットへのフルアクセス |
| サードパーティ連携 | SaaS連携のOAuthトークン | 本来不要なデータへのアクセス権 |
| グループ・ロール | IAMロール・AzureのマネージドID | ロールの継承で権限が意図せず拡大 |
「許可されている権限」vs「実際に使っている権限」のギャップが危険
CIEMの核心は、付与されている権限と実際に使われている権限のギャップ(=過剰権限)を可視化することです。
例:あるIAMユーザーの状況
付与されている権限:S3フルアクセス / EC2フルアクセス / RDS読み取り / Lambda実行 / IAM管理 ...(50種類)
実際に使った権限:S3読み取り / EC2起動停止(過去90日間の実績)
→ 48種類が「眠ったまま」の過剰権限!
攻撃者に乗っ取られたら全部悪用される可能性ありCIEMが行う主なアクション
- スキャン — 全クラウド環境の権限設定を自動収集
- リスクスコアリング — 過剰権限・未使用権限を危険度でランク付け
- 推奨事項の提示 — 「この権限は削除できます」と自動提案
- 自動是正 — 設定に応じて過剰権限を自動削除・縮小
- 継続監視 — 新たな権限追加をリアルタイムで検知
歴史と背景
- 〜2015年 — クラウド黎明期。IAM(Identity and Access Management)の概念は存在するが、手動管理が中心。権限の棚卸しは年次の手作業
- 2017〜2018年 — マルチクラウド採用が加速。AWS・Azure・GCPを併用する企業が増え、権限の数が爆発的に増加。「どこに何の権限があるか分からない」問題が顕在化
- 2019年 — Capital Oneの大規模データ漏洩事件。AWS上の過剰なIAMロール設定が悪用され、1億人超の個人情報が流出。クラウド権限管理の重要性が世界的に認識される
- 2020年 — Ermetic・Authomize・CloudKnoxなどCIEM専業スタートアップが登場。Gartnerがカテゴリとして認定
- 2021年 — MicrosoftがCloudKnoxを買収(現:Microsoft Entra権限管理)。大手ベンダーがCIEMを取り込む動きが加速
- 2022〜現在 — CIEMはCSPM(クラウドセキュリティ態勢管理)と統合されCNAPPプラットフォームへ。Palo Alto Networks・Wiz・Orca Securityなどが機能として内包
CIEM・CSPM・IAMの違いと関係
似た用語が多く混乱しがちなので、整理します。
| 用語 | フルネーム | 主な管理対象 | 何を見るか |
|---|---|---|---|
| IAM | Identity and Access Management | ユーザー・ロール・ポリシー | 権限の設定・付与そのもの |
| CSPM | Cloud Security Posture Management | クラウドリソースの設定 | 設定ミス・コンプライアンス違反 |
| CIEM | Cloud Infrastructure Entitlement Management | 権限と実際の使用状況 | 過剰権限・未使用権限のギャップ |
| CNAPP | Cloud-Native Application Protection Platform | 上記すべてを統合 | クラウド全体のリスクを一元管理 |
CIEMが特に重要な場面
- マルチクラウド環境 — AWS・Azure・GCPを横断して権限を一元管理したい
- コンプライアンス対応 — SOC2・ISO27001・PCI DSSなどで最小権限の証明が求められる
- ゼロトラスト移行 — 「信頼しない・常に検証する」を権限レベルで実装したい
- M&A後の統合 — 買収した企業のクラウド権限を安全に整理したい
関連する規格・フレームワーク
| 規格・フレームワーク | 内容 |
|---|---|
| NIST SP 800-207 | ゼロトラストアーキテクチャの指針。最小権限の原則を定義 |
| CIS Benchmarks | クラウドサービス別のセキュリティ設定ベストプラクティス |
| SOC 2 Type II | アクセス管理の証跡・最小権限の実装が審査対象 |
| ISO/IEC 27001 | 情報セキュリティのアクセス制御要件(箇条9) |
| PCI DSS v4.0 | カード情報へのアクセスを必要最小限に限定する要件 |
関連用語
- IAM(Identity and Access Management) — ユーザーやシステムのアクセス権限を管理する基盤の仕組み
- CSPM(Cloud Security Posture Management) — クラウドリソースの設定ミスやコンプライアンス違反を検出する仕組み
- CNAPP(Cloud-Native Application Protection Platform) — CIEM・CSPMなどを統合したクラウドセキュリティの統合プラットフォーム
- ゼロトラスト — 「何も信頼しない・常に検証する」を基本とするセキュリティ設計思想
- 最小権限の原則 — 必要最低限の権限のみを付与するセキュリティの基本原則
- SIEM — セキュリティイベントのログを収集・分析する監視システム