Cloud Identity & Access Management

クラウドIAM（Cloud Identity & Access Management）とは、クラウド環境におけるユーザー、サービスアカウント、アプリケーションのIDを管理し、クラウドリソースへのアクセス権限を制御するためのフレームワークおよびサービスです。AWS IAM、Microsoft Entra ID（旧Azure AD）、Google Cloud IAMなど、各クラウドプロバイダが提供するIAMサービスは、クラウドセキュリティの最も基本的かつ重要な構成要素です。

クラウドIAMでは、「誰が（Identity）」「何に対して（Resource）」「何をできるか（Action）」を定義するポリシーを設定することで、きめ細かなアクセス制御を実現します。従来のオンプレミス環境とは異なり、クラウドでは数百〜数千のサービスやリソースが動的に作成・削除されるため、IAMの適切な設計と継続的な管理が不可欠です。設定ミスによる過剰な権限は、クラウド環境における最大の攻撃ベクトルの一つです。

近年では、マルチクラウド環境の普及に伴い、複数のクラウドプロバイダにまたがるIDとアクセス権限の統合管理が課題となっています。CIEM（Cloud Infrastructure Entitlement Management）ツールを活用し、過剰な権限の検出、未使用権限の削除、リスクの高いアクセスパスの可視化を自動的に行う取り組みが広がっています。

IAMポリシーの構造と設計原則

クラウドIAMポリシーは、アクセス制御のルールを定義するJSON形式のドキュメントです。AWSの場合、ポリシーはEffect（Allow/Deny）、Action（許可/拒否するAPI操作）、Resource（対象リソースのARN）、Condition（条件）の要素で構成されます。

ポリシー設計では最小権限の原則（Principle of Least Privilege）が最重要です。ユーザーやサービスアカウントには、業務遂行に必要な最小限の権限のみを付与し、ワイルドカード（*）によるリソースやアクションの包括的な許可を避けてください。AWS IAM Access AnalyzerやGoogle Cloud Policy Analyzerを使用して、未使用の権限を特定し削除する定期的な棚卸しが推奨されます。

サービスアカウントとワークロードID

サービスアカウントは、アプリケーションやサービスがクラウドリソースにアクセスするために使用する非人間のIDです。EC2インスタンス、Lambda関数、Kubernetesポッドなどのワークロードに割り当てられ、APIを通じてリソースにアクセスします。

サービスアカウントのセキュリティで最も重要なのは、長期的なアクセスキーの使用を避けることです。AWSではIAMロールとSTS（Security Token Service）による一時的な認証情報の使用、Google CloudではWorkload Identity Federationによる外部IDプロバイダとの連携が推奨されます。アクセスキーが漏洩した場合、攻撃者はクラウドリソースに無制限にアクセスできてしまうため、キーのローテーションと監視は不可欠です。

多要素認証（MFA）と条件付きアクセス

クラウドIAMにおける多要素認証（MFA）は、パスワードの漏洩による不正アクセスを防止するための重要な防御層です。特にルートアカウント（AWSの場合）や全体管理者アカウントには、MFAの強制が必須です。

条件付きアクセスポリシーを使用することで、より高度なアクセス制御が可能です。送信元IPアドレスの制限、特定の時間帯のみのアクセス許可、MFA認証の強制、特定のVPCエンドポイントからのみアクセスを許可するなどの条件を組み合わせて、ゼロトラストの原則に基づいたアクセス制御を実現できます。

クロスアカウントアクセスとフェデレーション

大規模な組織では、マルチアカウント戦略（AWS Organizations、Google Cloud組織ポリシーなど）を採用し、環境ごと（開発・ステージング・本番）や部門ごとにクラウドアカウントを分離します。クロスアカウントアクセスでは、AssumeRole（AWS）やサービスアカウントのなりすまし（Google Cloud）を使用して、一時的な認証情報でアカウント間のリソースにアクセスします。

IDフェデレーションでは、企業の既存のIDプロバイダ（Active Directory、Okta、Auth0など）とクラウドIAMをSAML 2.0やOpenID Connect（OIDC）で連携し、シングルサインオン（SSO）を実現します。これにより、クラウド独自のユーザー管理を最小化し、既存のID管理プロセスとセキュリティポリシーを適用できます。

CIEM（Cloud Infrastructure Entitlement Management）

CIEMは、クラウド環境における権限とエンタイトルメントを可視化・分析・最適化するためのセキュリティツールカテゴリーです。クラウド環境では、ユーザー、サービスアカウント、ロール、グループの数が急速に増加し、手動での権限管理が困難になります。

CIEMツールは、実際のAPIアクティビティログを分析し、付与されている権限と実際に使用されている権限のギャップ（権限のギャップ分析）を可視化します。これにより、過剰な権限を持つアカウントの特定、未使用権限の自動削減、リスクの高いアクセスパス（特権エスカレーションの経路）の検出が可能になります。

• 01
  最小権限ポリシーの設計と定期的な棚卸し：すべてのユーザーとサービスアカウントに最小限の権限のみを付与してください。IAM Access AnalyzerやCIEMツールを使用して、未使用の権限を定期的に検出・削除し、権限のスコープを継続的に縮小しましょう。
• 02
  ルートアカウントの厳格な保護とMFAの強制：ルートアカウント（AWS）やスーパー管理者アカウントの日常使用を禁止し、ハードウェアMFAトークンを設定してください。すべてのIAMユーザーにMFAを必須とし、条件付きポリシーでMFA未認証のAPIコールを拒否しましょう。
• 03
  長期的なアクセスキーの廃止：IAMユーザーの長期的なアクセスキーの使用を最小限に抑え、IAMロールとSTS一時認証情報への移行を進めてください。やむを得ずアクセスキーを使用する場合は、90日以内のローテーションを強制し、未使用のキーを速やかに無効化しましょう。
• 04
  SCPとPermission Boundaryによるガードレール：AWS Organizations のSCP（Service Control Policy）やIAM Permission Boundaryを使用して、組織全体で許可されない操作（特定リージョン外でのリソース作成など）を制限するガードレールを設定してください。
• 05
  IDフェデレーションとSSOの導入：企業の既存IDプロバイダ（Active Directory、Okta等）とクラウドIAMをSAML/OIDCで連携し、シングルサインオンを実現してください。クラウド固有のIAMユーザー作成を最小化し、退職者のアクセス権剥奪を既存のプロビジョニングプロセスで自動化しましょう。
• 06
  CloudTrail/監査ログによるIAMアクティビティの継続監視：AWS CloudTrail、Azure Activity Log、Google Cloud Audit Logsを有効化し、すべてのIAM操作（ポリシー変更、ロール作成、アクセスキー生成など）を記録・監視してください。SIEMと統合して不審なIAMアクティビティをリアルタイムで検知・アラートしましょう。