Cloud Infrastructure Entitlement Management の概要

Security Command Center の Cloud Infrastructure Entitlement Management（CIEM）機能を使用すると、複数のクラウド プラットフォームのデプロイでどの ID がどのリソースにアクセスできるかを管理し、構成ミスによる潜在的な脆弱性を軽減できます。

Security Command Center の CIEM 機能により、ID とアクセス構成のセキュリティを包括的に把握できます。具体的には、構成ミスを特定し、最小権限の原則を適用する際に次の CIEM 機能が役立ちます。

• Google Cloud、アマゾン ウェブ サービス（AWS）、Microsoft Azure（プレビュー）など、複数のクラウド プラットフォームでのデプロイにおける ID とアクセスの構成ミスを検出します。
• Google Cloud、AWS、Microsoft Azure（プレビュー）環境のプリンシパルに付与されているロールの分析情報を提供する脆弱性の検出結果を特定します。 Google Cloudと AWS IAM Identity Center の場合、これには他の ID プロバイダ（Entra ID（Azure AD）、Okta、オンプレミスの Active Directory など）のフェデレーション ID が含まれます。
• 過剰な権限を持つプリンシパルから権限を削除するなど、構成ミスを修復する方法に関するガイダンス。
• ケース管理。Security Command Center Enterprise のケースやその他のチケット管理システムを使用して、構成ミスを修正する取り組みを効率的に追跡します。

CIEM で ID とアクセスのセキュリティの問題を管理する

以降のセクションでは、ID とアクセスの構成ミスを管理する際に役立つ CIEM 機能について説明します。

ID とアクセスの検出結果へのクイック アクセス

セキュリティの問題は、特権プリンシパル、休眠中の ID、ローテーションされていないサービス アカウント キー、多要素認証の欠如など、ID とアクセスの構成ミスが検出されないことが原因で発生することがよくあります。CIEM は、クラウド環境全体で潜在的な ID とアクセスのセキュリティの問題を警告する検出結果を生成します。IAM Recommender、Security Health Analytics、CIEM など、さまざまな Security Command Center 検出サービスが、Security Command Center の CIEM 機能の一部とみなされる ID とアクセスの検出結果を生成します。たとえば、CIEM 検出サービス自体は、AWS と Microsoft Azure（プレビュー）の ID とアクセスに関する検出結果のサブセットを生成し、権限の高いロール、グループ、ユーザーを警告します。

CIEM を使用すると、Security Command Center は、Security Command Center のリスク概要ページの [ID とアクセスの検出結果] カードに、 Google Cloud、AWS、Microsoft Azure（プレビュー）の ID とアクセスの検出結果を分類して表示します。このカードを使用すると、Security Command Center の [検出結果] ページで、ID とアクセスの構成ミスの検出結果にフィルタされたビューですばやくアクセスできます。詳細を表示すると、各検出結果について検出された内容の詳細や、潜在的な攻撃ベクトルを回避するために構成ミスを修正する方法のガイダンスが表示されます。

ID とアクセスの検出結果を調査して ID とアクセスのセキュリティを把握する方法については、ID とアクセスの検出結果を調査するをご覧ください。

ID とアクセスの検出結果の修復ガイダンスと追跡

マルチクラウド インフラストラクチャを扱うセキュリティ チームは、ID とアクセスの構成ミスを大規模に修正することが困難です。Security Command Center は、修復ガイダンスと、ケース管理やレスポンス ハンドブックなどのセキュリティ運用機能を提供します。

検出結果のケースの確認について詳しくは、ID とアクセスに関する問題のケースを確認するをご覧ください。

フェデレーション ID の権限の検出

CIEM は、Entra ID（Azure AD）、Okta、オンプレミス Active Directory などの他の ID プロバイダとのフェデレーション ID の Google Cloud と AWS の権限に関する分析情報を提供します。これにより、ID とアクセス構成のセキュリティをより詳細に把握することができます。CIEM は IAM Recommender と統合して、Google Cloud リソースに対して過剰な権限を持つロールが付与されたフェデレーション ID を公開します。Cloud Infrastructure Entitlement Management を AWS IAM Identity Center と組み合わせて使用して、AWS リソースのフェデレーション ID の脆弱性を検出することもできます。不適切なアクセス許可と推奨される修復は、Security Command Center の [検出結果] ページから直接確認できます。検出結果に示される不適切なアクセス許可の詳細については、不適切なアクセス許可をご覧ください。

また、 Google Cloud IAM を使用すると、 Google Cloud コンソールの [IAM] ページで、他の ID プロバイダのプリンシパルの権限をさらに詳しく調べることができます。

次のステップ

• AWS の検出結果に対して CIEM 検出サービスを有効にする方法を確認する。
• Microsoft Azure の検出結果に対して CIEM 検出サービスを有効にする方法を確認する。
• ID とアクセスの検出結果を調査する方法を確認する。
• ID とアクセスに関する問題のケースを確認する方法を確認する。
• CIEM を強化する IAM Recommender の機能の詳細を確認する。