CIEM

CIEM（Cloud Infrastructure Entitlement Management：クラウドインフラ権限管理）とは、クラウド環境におけるユーザー、サービスアカウント、ロール、ポリシーなどのアクセス権限を包括的に可視化・分析・最適化するためのセキュリティソリューションです。マルチクラウド環境で急増する権限の複雑性に対応し、過剰な権限の検出と是正を自動化します。

クラウド環境では、IaC（Infrastructure as Code）による自動構築やDevOpsの迅速なデプロイにより、権限スプロール（Permission Sprawl）と呼ばれる過剰権限の蔓延が深刻な問題となっています。調査によると、クラウド環境で付与された権限のうち実際に使用されているのはわずか数パーセントに過ぎず、残りの大部分は不要なリスクを生み出しています。

CIEMはこの課題に対して、クラウドプロバイダー（AWS、Azure、GCP等）のIAMポリシーを横断的に分析し、実際の使用状況に基づいた権限の自動ライトサイジングを実現します。従来のCSPM（Cloud Security Posture Management）がインフラ設定の監査に焦点を当てるのに対し、CIEMはID・権限という最も攻撃されやすいレイヤーに特化したソリューションです。

クラウド権限スプロールの問題

権限スプロール（Permission Sprawl）とは、クラウド環境において必要以上の権限が広範囲に付与され、管理不能な状態に陥る現象です。開発者やDevOpsチームは迅速な開発を優先するあまり、テスト時に付与した広範な権限をそのまま本番環境に持ち込んだり、「AdministratorAccess」のような万能ポリシーを安易に使い回したりする傾向があります。

さらに、マシンID（サービスアカウント、Lambda関数のロール、Kubernetesのサービスアカウントなど）の数は人間のIDの数をはるかに上回り、その権限管理はさらに困難です。AWSだけでも1万を超えるIAMアクション（権限）が存在し、手動での最適化は事実上不可能です。

マルチクラウド権限可視化

CIEMの中核機能の一つが、マルチクラウド環境における権限の統合的な可視化です。AWS IAM、Azure RBAC、GCP IAMはそれぞれ異なる権限モデルとポリシー構文を持ちますが、CIEMはこれらを正規化された形式に変換し、統一的なダッシュボードで表示します。

可視化により、「誰が」「どのリソースに」「どのような操作を」「実際に行ったか」を把握できます。グラフベースの分析エンジンにより、複雑な権限チェーン（例：ユーザー→グループ→ロール→ポリシー→リソース）を辿り、実効権限（Effective Permissions）を正確に算出します。これにより、直接的には見えない暗黙的な権限昇格パスも検出可能です。

自動ライトサイジング

自動ライトサイジング（Automated Rightsizing）とは、実際の使用状況に基づいて過剰な権限を自動的に削減し、最小権限の原則を実現するプロセスです。CIEMはクラウドプロバイダーの監査ログ（AWS CloudTrail、Azure Activity Log、GCP Cloud Audit Logsなど）を継続的に分析し、各IDが実際に使用した権限と付与された権限のギャップを特定します。

分析結果に基づいて、CIEMは最適化されたIAMポリシーを自動生成し、管理者に提案します。一部のソリューションでは、承認ワークフローを経て自動的にポリシーを適用する機能も提供されています。ただし、稀にしか使用しないが重要な権限（災害復旧時のみ必要な権限など）を誤って削除しないよう、除外リストの管理が重要です。

CIEM vs CSPM：役割の違いと補完関係

CSPM（Cloud Security Posture Management）はクラウドインフラの設定ミス（S3バケットの公開設定、セキュリティグループの過剰な開放など）を検出・修正するソリューションです。一方、CIEMはID・権限レイヤーに特化し、「誰が何にアクセスできるか」を管理します。

両者は補完的な関係にあり、CSPMがインフラの「外壁」を守るのに対し、CIEMは「鍵と錠前」を管理すると表現できます。例えば、CSPMがS3バケットの暗号化設定を検証する一方で、CIEMはそのバケットへのアクセス権限を持つIDが過剰でないかを検証します。近年はCNAPP（Cloud Native Application Protection Platform）として、両者を統合したソリューションが主流になりつつあります。

主要なCIEMソリューション

CIEMソリューションは急速に市場が拡大しており、専業ベンダーと大手セキュリティベンダーの両方が参入しています。代表的なソリューションとして、Ermetic（Tenableが買収）、CloudKnox（Microsoftが買収し、Microsoft Entra Permissions Managementとして提供）、Zscaler CIEM、CrowdStrike Falcon Cloud Security、Prisma Cloud（Palo Alto Networks）などがあります。

選定のポイントとしては、対応するクラウドプロバイダーの範囲、権限分析の精度、ポリシー自動生成の品質、既存のSIEM/SOARツールとの統合性、およびコンプライアンスレポート機能の充実度が挙げられます。特にマルチクラウド環境では、全プロバイダーを横断的にカバーできることが必須要件となります。

Just-In-Time（JIT）アクセスとの連携

CIEMはJust-In-Time（JIT）アクセスと組み合わせることで、権限管理をさらに強化できます。JITアクセスでは、ユーザーが必要な時にのみ一時的な権限を申請・取得し、作業完了後に自動的に権限が失効します。CIEMの分析データに基づいて、各ユーザーに必要な「ベースライン権限」と「JITで付与すべき追加権限」を明確に定義できます。

この組み合わせにより、常時付与される権限を最小限に抑えつつ、業務に必要な権限を必要な時間だけ提供するという、最小権限の原則の理想的な実装が可能になります。

• 01
  全クラウドアカウントの権限棚卸しの実施：CIEMソリューションを導入し、AWS、Azure、GCPなどすべてのクラウドアカウントのIAMポリシー、ロール、サービスアカウントを定期的に棚卸ししてください。特に、AdministratorAccessやOwnerなどの高権限ポリシーが付与されたIDを特定し、業務上の正当性を検証しましょう。
• 02
  未使用権限の自動検出と削減：クラウドプロバイダーの監査ログを分析し、90日以上使用されていない権限を自動的に検出する仕組みを構築してください。CIEMが生成する最適化ポリシーを定期的にレビューし、段階的に権限を削減して最小権限の原則を実現しましょう。
• 03
  マシンIDの権限管理の強化：サービスアカウント、Lambda関数のロール、CI/CDパイプラインの認証情報など、マシンIDに付与された権限を重点的に管理してください。人間のIDよりも数が多く、かつ監視が手薄になりがちなマシンIDは、攻撃者にとって格好のターゲットです。
• 04
  権限昇格パスの検出と遮断：CIEMのグラフ分析機能を活用し、低権限のIDから管理者権限に到達可能な権限昇格パスを検出してください。iam:PassRole、sts:AssumeRole、lambda:CreateFunctionなどの危険な権限の組み合わせは、意図しない権限昇格を引き起こす可能性があります。
• 05
  クロスアカウント・クロスクラウドのアクセス制御：信頼ポリシーやリソースベースポリシーを通じた他アカウント・他クラウドからのアクセスを厳密に管理してください。外部アカウントからのAssumeRoleや、クロスクラウドのサービスアカウント連携は、攻撃者のラテラルムーブメントの経路となり得ます。
• 06
  権限変更の継続的モニタリングとアラート：IAMポリシーの変更イベントをリアルタイムで監視し、高権限ポリシーの付与、新規管理者ロールの作成、信頼ポリシーの変更などの重要イベントに対してアラートを設定してください。変更管理プロセスを経ない権限変更は即座にエスカレーションしましょう。