5 分でわかるクラウドセキュリティ強化対策: クラウド ID の保護

Tenable の「5 分でわかるクラウドセキュリティ強化対策」ブログシリーズの第 1 回と第 2 回では、それぞれ CSPM (クラウドセキュリティポスチャー管理) と CWP (クラウドワークロード保護) について取り上げました。今回は、クラウド ID の保護にフォーカスします。クラウド ID の保護は容易ではありませんが、クラウドにおける ID はセキュリティ境界そのものであり、その重要性は非常に高いと言えます。 ID をどう守るべきか、詳しく解説しますので、ぜひご覧ください。

クラウド環境はめまぐるしく変化し、人やサービスアカウントを含む数万単位の ID が存在し、それぞれが独自のアクセス権や ID リスクを抱えているため、クラウド ID セキュリティの管理は非常に複雑です。

実際、Cloud Security Alliance (CSA) の「Top Threats to Cloud Computing 2024」レポートでは、ID とアクセス管理 (IAM) がクラウド環境における 2 番目に重大な脅威として挙げられています。

CSA は次のように警鐘を鳴らしています。「サイバー脅威が高度化する中、機密情報を不正アクセスから守ることはますます困難になっており、強固な IAM 戦略の導入と継続的な改善は、サイバーセキュリティ防御を強化するために不可欠です」

Tenable のセキュリティエンジニアリングシニアマネージャーである Christopher Edson もブログで次のように述べています。「クラウドでは、ほぼすべてが、過剰な権限や設定ミス一つでエクスポージャーにつながります。 クラウドのほとんどすべてのものは、過剰な権限や設定ミス 1 つで露呈してしまいます」

多くの企業と同様、複数のクラウドサービスプロバイダー (CSP) を利用している場合、ID 管理の課題はさらに複雑になります。なぜなら、各 CSP が独自の設定、ID ツール、アクセス管理構造を持っているためです。

ただし、すべての CSP が一致している点があります。IaaS (サービスとしてのインフラ) や PaaS (サービスとしてのプラットフォーム) 環境において、ID のセキュリティは顧客の責任である、ということです。代表例として、AWS の共有責任モデルが挙げられます。

では、急速に変化するマルチクラウド環境で、膨大な ID のアクセス権限をどのように管理し、すべての ID が最小権限の原則を順守し、ゼロトラストアーキテクチャを支える状態を維持できるのでしょうか。

この課題に対応するには、強力なクラウドインフラ権限管理 (CIEM) 機能を備えた統合型のクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) を導入することが鍵となります。すべての ID に対して一元的な管理を行うことで、誰がどのクラウドリソースにアクセスしているのか、最もリスクの高い権限が何かを常に把握できます。

統合型 CNAPP と CIEM を活用することで、クラウド ID 管理と保護のための5つのベストプラクティスを組織内で実現できます。

1 - マルチクラウド環境全体をエンドツーエンドで可視化

すべてのクラウド ID (ネイティブおよびフェデレーション) に加え、各 ID のリソースアクセス権限やセキュリティポリシーを、継続的かつ詳細に可視化することが不可欠です。さらに、すべてのクラウド環境を横断した ID の統一的かつ一貫性のあるビューを確保することも重要です。

対話型ダッシュボードと高度な可視化機能を備えた CIEM ツールを活用することで、以下のようなコアとなる ID 情報を一目で把握できます。

• ID 間の関係や接続状況
• コンピュート、データ、ネットワークリソースとの関連
• 過剰なアクセス権や潜在的な脆弱性、設定ミス、異常、ポリシー違反といったセキュリティリスク

また、ID のインベントリ作成やモニタリングは、マルチクラウド環境ではリソースやシステムへのアクセスが常に変化するため、継続的に実施する必要があります。そのため、クラウドの権限管理も頻繁かつ大規模に調整し、環境を常に最小権限の原則に沿った状態に保つことが求められます。具体的には、未使用 ID の削除、アクセスポリシーの微調整、権限の「適正化」(rightsizing) などが含まれます。

2 - リスクを分析

ID 全体の可視化に加え、ID データを分析し、ポリシー違反や ID リスク (例: 非アクティブユーザーや更新されていないアクセス認証情報) を検出できることが求められます。

この分析は、継続的かつ高度に行われる必要があります。人やサービス ID に関する複数の要素を相関分析し、攻撃者による権限昇格、ラテラルムーブメント、機密データの窃取を可能にするリスキーなシナリオを浮き彫りにします。

例えば、以下のような危険な組み合わせを検出する能力を持っている必要があります。

• 深刻な脆弱性を抱えた管理者権限付きの仮想マシン
• MFA (多要素認証) が未設定のまま、機密データにアクセスできるユーザーアカウント
• API キーなどのシークレットにアクセスできる開発者が、不審な行動を開始

さらに、統合されたマルチクラウド ID データを基に、異常なデータアクセスやログイン設定変更などの脅威を能動的に調査し、クエリやドリルダウンで深掘りする能力も重要です。

CSP のアクティビティログを含む複数のソースから得られる ID リスクに関する詳細なデータと豊富な文脈情報を活用することで、ID エクスポージャーを正確に評価し、対応の優先順位を適切に決定できます。

3 - アクセスコンプライアンスの継続的なモニタリングを実施

マルチクラウド環境を、政府規制、業界基準、社内ポリシーに準拠させることは、ますます困難になっています。中でも、ID 管理はクラウドコンプライアンスの中核を担います。

そのため、マルチクラウド環境全体にわたって、アクセス制御のガバナンスとコンプライアンスを統一し、ID セキュリティポリシーを自動かつ一貫してモニタリング、監査、強制適用することが重要です。

これにより、認証情報のローテーションや MFA (多要素認証) の利用などに関するポリシーの遵守状況を、迅速かつ確実に検出・対処できるようになります。

さらに、中央ダッシュボードからコンプライアンス指標を簡単に把握でき、特定の規制や業界基準への準拠状況を証明するレポートも容易に作成できます。

4 - 対応を自動化

クラウド環境の権限管理は非常に動的です。そのスピードと規模に対応するには、リスク対応プロセスも自動化されている必要があります。例えば、ガイド付きウィザードを活用することで、ロールのアクセス権調整を効率的に進めることができます。また、CNAPP の CIEM と SIEM (セキュリティ情報イベント管理) やチケッティングシステムとの連携により、対応作業のコラボレーションを効率化し、対応時間の短縮を実現します。さらに、開発初期の段階で ID ポリシーを強制適用するスニペットを IaC (コードしてのインフラ) に組み込むことで、IaC セキュリティを強化することも可能です。

5 - ジャストインタイム (JIT) アクセスを導入

強力な機能のひとつが、ジャストインタイム (JIT) アクセスマネジメントです。これは、特定のプロジェクト期間中など、限られた期間だけ ID に権限を付与し、その期間が終了するとアクセス権を自動的に剥奪または制限する仕組みです。JIT は、長期間放置されがちな静的かつ過剰な権限という、広く蔓延する脅威への有効な対策となります。また、ユーザーが一時的な権限昇格を申請するプロセスも自動化でき、運用の効率化にも貢献します。

クラウドセキュリティを強化するために、今すぐ 5 分でできるアクションを学びましょう。