クラウドセキュリティ
CIEM(クラウドインフラ権限管理)
別称: クラウド権限管理
定義
クラウド環境に存在するアイデンティティと権限を可視化・分析し、適切な水準に絞り込むための分野およびツールカテゴリ。
パブリッククラウドでは、IAM ユーザー、ロール、サービスプリンシパル、フェデレーション ID、ワークロード ID にわたって数千ものきめ細かな権限が存在します。CIEM ツールはすべての有効権限を棚卸し、実際の利用状況と突き合わせて過剰な権限を可視化します。たとえば、s3:* が付与されているのに実際は GetObject しか使っていないロールなどです。さらに、PassRole/AssumeRole 連鎖などの権限昇格経路、未使用 ID、アカウント間信頼の不適切な構成も検出します。結果は自動修復、スコープを絞ったロール、必要時のみ昇格(JIT)などに活用されます。CIEM は CNAPP の中核であり、権限モデルがベンダーごとに異なるマルチクラウド環境で特に価値が高い領域です。
例
- iam:PassRole で本番管理者ロールに移れる開発者ロールを検出する。
- 90 日分の CloudTrail アクティビティから最小権限 IAM ポリシーを自動生成する。
関連用語
クラウドセキュリティ
パブリック・プライベート・ハイブリッドクラウド環境に置かれたデータ・アプリケーション・インフラを保護するための、ポリシー・統制・技術の総体。
CNAPP(クラウドネイティブアプリケーション保護プラットフォーム)
CSPM・CWPP・CIEM・IaC スキャン・ランタイム検知を統合し、クラウドネイティブアプリをビルドから実行時まで包括的に保護する統合プラットフォーム。
アイデンティティとアクセス管理 (IAM)
デジタルアイデンティティを定義し、どの ID がどの条件下でどのリソースにアクセスできるかを制御するための技術領域と仕組み。
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。
IAM Misconfiguration
IAM Misconfiguration — definition coming soon.