マルチクラウド環境のID管理で考慮すべきこと

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

Varonisの「データセキュリティ」コラムの第66回目では、「マルチクラウド環境のID管理で考慮すべきこと」と題して、認証、アクセスインテリジェンス、修正の自動化、統合監視、コンプライアンスのベストプラクティスに基づいてマルチクラウド環境のセキュリティを強化する方法を解説する、Daniel Miller（Varonisのテクニカルコンテンツマネージャー）のブログ記事をご紹介します。

組織がマルチクラウド戦略を採用するケースが増えるにつれ、ID管理は解決すべき最も重要かつ複雑な課題の1つになっています。  

各クラウドプロバイダーには、独自のIDフレームワーク、アクセス制御、認証標準を導入しています。この断片化により、リスクが増大し、可視性が妨げられ、コンプライアンスへの取り込みが複雑にするサイトが生み出されます。統合されたIDセキュリティ戦略がなければ、組織は攻撃者が悪用する隙間に対して脆弱なままになります。

この記事では、マルチクラウド環境で効果的にIDを管理するために必要なことと、セキュリティとコンプライアンスを維持しながらこの渾沌を簡素化する方法について探ります。

マルチクラウドのID管理の理解

マルチクラウドID管理とは、複数のクラウドサービスプロバイダー間で、ユーザーID、アクセス制御、認証を管理するためのプロセス、テクノロジー、戦略を指します。これには、AWS、Microsoft Azure、Google Cloudなどのプラットフォーム間のIDポリシーの調整も含まれます。

マルチクラウドのセキュリティの複雑性は、各プロバイダーが独自のIDシステムを持ち、認証メカニズムとアクセスモデルが異なっていることから生じています。これにより、IDのサイロが断片化し、ユーザーはプラットフォーム間で複数のアカウントを持ち、それぞれ異なるレベルのアクセス権レベルを持つ可能性があります。このようなサイロ化は、攻撃表面を拡大するだけでなく、環境間で一貫したセキュリティポリシーと可視性を維持することを困難にします。

マルチクラウドID管理における主な考慮事項

一元化されたIDガバナンス

マルチクラウド環境では、IDガバナンスに対する一元的なアプローチが不可欠です。 

そうすることによって、組織は、ID情報の信頼できる唯一の情報源を維持し、アクセス制御ポリシーがすべてのプラットフォームで一貫して適用されるようにすることができます。この一元化により、セキュリティとコンプライアンスに不可欠な、アクセスの監視と監査も強化できます。

例えば、ある診療所で内科医が辞職したとしましょう。一元化されたIDガバナンスによって、IT部門は、AWS、Microsoft 365、あるいは医療機関向けの特別なアプリケーションのいずれでホスティングされているかに関係なく、すべての患者データシステムに対する内科医のアクセス権を即座に取り消す単一のワークフローをトリガーすることができます。これにより、業務効率が向上し、不正アクセスのリスクも軽減されます。

認証とフェデレーション

強力な認証プラクティスは、すべてのクラウド環境で一貫していなければなりません。 

SAML、OAuth、Open ID Connect (OIDC) などの標準を使用したフェデレーションIDにより、ユーザーは一度認証すれば、複数のシステムにアクセスできます。多要素認証 (MFA) は、すべてのプラットフォームで強制されるべきであり、シングルサインオン (SSO) ソリューションは、セキュリティを強化しながらユーザー体験を簡素化できます。

従業員が毎日何十種類ものクラウドツールを使用しているマーケティング会社を想像してみてください。フェデレーションとSSOを適切に実装することにより、チームメンバーは強力なMFAを使用していったん安全にログインすれば、セキュリティや生産性を損なうことなく、AWS、Google Cloud、さまざまなSaaSプラットフォームにわたってすべての必要なツールにシームレスにアクセスできます。

包括的なアクセスインテリジェンス

すべてのクラウドプラットフォームに渡って、誰がアクセス権を持っているのかを理解することは非常に重要です。

組織は、エンタイトルメント、（直接割り当てされたものだけではなく）実効アクセス許可の解析、過剰な権限や潜在的な権限昇格リスクを検出できるソリューションを必要としています。

例えば、コンプライアンス監査中に、セキュリティ部門はアクセスインテリジェンスダッシュボードを使用して、どの従業員が機密性の高い財務データにアクセス権を持っているのかを迅速に特定することができます。これには、直接アクセス権と、グループメンバーシップや継承されたアクセス許可による間接アクセス権が含まれ、環境全体のアクセス権を完全かつ正確に把握できることを確実にします。

修正の自動化機能

複数のクラウドに跨がるアクセス許可の手作業による管理は、範囲を拡大することが難しいものです。修正の自動化ツールは、リスクのある構成を特定して修正し、過剰なアクセス許可を削除し、最小権限の原則を強制することができます。これらのツールは、すべてのクラウド環境で一貫したデータラベルと情報漏洩防止 (DLP) ポリシーを適用することもできます。

開発者が誤って複数のクラウドにまたがる本番データベースへの管理者アクセス権を入手してしまった場合を想像してみてください。修正の自動化システムは、手動の介入なしに、この構成不備を検出し、アクセス許可を適切なレベルに引き下げ、セキュリティ部門とユーザーの両方に通知することができます。

脅威の検出と脅威への対応

マルチクラウド環境におけるセキュリティ監視は、包括的かつ統合されたものでなければなりません。

組織は、ユーザーの通常の振る舞いをベースライン化し、すべてのプラットフォームにわたって異常を検出し、データに対するアクセスアクティビティの検索可能な監査証跡を維持するソリューションを実装する必要があります。適時のインシデント対応には、クラウドの境界を跨いだ統合されたアラート機能と対応ワークフローが不可欠です。

例えば、クラウドを跨いだ脅威検出システムに求められるのは、通常は営業時間中にオフィスから財務記録にアクセスしている経理担当者のアカウントが、午前2時に海外の拠点から大量のデータを始めた場合に、疑わしいアクティビティとしてフラグを立てることです。このような可視性によって、データ侵害が拡大する前に防止することができます。

コンプライアンス管理

マルチクラウド環境では、規制コンプライアンスがより複雑になります。組織は、GDPR、HIPAA、CCPAなどの関連するコンプライアンスフレームワークにクラウドサービスをマッピングする必要があります。一貫したデータ分類、統合監査、コンプライアンスチェックの自動化は、規制要件を満たし、高額な罰金を回避するためには不可欠です。

例えば、PCIコンプライアンス監査の準備をしている小売業は、統合されたコンプライアンスレポートを使用して、すべての顧客支払いデータが — AWS、Azure、SaaSアプリケーションのどこに保存されているかに拘わらず — 暗号化とアクセス制御の基準を満たしていることを検証できます。これにより、数週間単位の手動の検証作業を省くことができ、監査への準備が整えられます。

マルチクラウドID管理の実装アプローチ

クラウドプロバイダーのネイティブツール

各主要クラウドプロバイダー — AWS、Azure、Google Cloud — は、それぞれ独自のID管理ツール群を提供しています。

これらのネイティブソリューションは、それぞれのエコシステムに深く統合されているため、その単一のクラウド内で運用している組織にとって最適なものとなっています。多くの場合、既存のサブスクリプションにバンドルされていて、プロバイダーのアーキテクチャーに合わせて最適化されており、シームレスなパフォーマンスとサポートを提供しています。

ただし、ネイティブツールの利点は、マルチクラウド環境では減少します。これらのツールは、通常、自社のクラウド内でIDを管理するように設計されており、他のクラウドをまたいで管理するようには設計されていません。結果として、複数のプロバイダーを使用している組織は、別々のIDシステムを管理することとなり、複雑さの増大と、IDサイロのリスクにつながります。この断片化のため、一貫したポリシーの強制、アクセスの監視、統一された方法で脅威に対応することが難しくなります。

サードパーティ製のID アズ ア サービス (IDaaS) 

サードパーティ製のIDaaSプラットフォームは、複数のクラウド環境にわたるID管理に対する一元化されたアプローチを提供します。これらのクラウドベースのソリューションは、IDガバナンス、認証、アクセス制御を統合するために特別に設計されています。多くの場合、フェデレーションID、SSO、MFAなどの高度な機能が含まれており、すべて単一の管理コンソールを通じて管理することができます。

IDaaSの主な利点は、管理を簡素化でき、クラウド間で一貫したポリシーを強制できることです。しかし、このアプローチでは追加のコストと外部ベンダーへの依存が生じる可能性があります。特に複雑なレガシー環境を持つ組織の場合、既存のシステムとの統合にも多大な労力を要します。これらの課題にもかかわらず、IDaaSは、断片化されたクラウド環境全体でID管理を合理化しようとしている企業にとって、依然として強力な選択肢であり続けています。 

IDに焦点を当てたデータセキュリティ態勢管理 (DSPM) 

DSPMプラットフォームには、ID管理機能が組み込まれており、従来のIDツールを超えたデータ中心のアプローチを可能にしています。これらのソリューションは、ID、データ、脅威インテリジェンスを単一のプラットフォームに統合し、組織がクラウド環境全体で最小権限アクセスを強制し、異常をリアルタイムで検出し、自動的にリスクを修正できるようにします。 

IDとデータの交差点に焦点を当てることにより、DSPMプラットフォームはセキュリティのより包括的なセキュリティの全体像を提供します。組織が、誰がアクセス権を持っているのかだけではなく、何にアクセス権を持っているのか、そのアクセス権をどのように使用しているのかを把握するのに役立ちます。このレベルの知見は、データ侵害を防止し、コンプライアンスを確保するために重要です。DSPMは、複雑な環境や高いデータの機密性を持つ組織に最適です。 

マルチクラウドID管理のベストプラクティス 

•    明確なID戦略から開始する：技術的なソリューションを導入する前に、要件、ガバナンスモデル、ポリシイーを定義します。 

•    最小権限アクセスの実装：すべてのクラウドプラットフォームにおいて、ユーザーが職務を遂行するために必要な最小限のアクセス権のみを持つようにします。 

•    IDライフサイクル管理の自動化：ユーザーのプロビジョニング、変更、プロビジョニング解除を合理化します。 

•    特権アクセス管理を優先：管理者アカウントと広範なアクセス許可を持つサービスプリンシパルに特に注意を払います。 

•    アクセス権の定期的な見直し：定期的にアクセス権レビューを実施し、不要なアクセス許可を特定して削除する。 

•    セキュリティ部門のトレーニング：さまざまなクラウドプラットフォームにわたるID管理の微妙な違いについてセキュリティ部門を教育します。 

•    継続的な監視と監査：包括的なログ記録と監視を実装し、マルチクラウド環境全体で疑わしいアクティビティを検出します。 

クラウド上のIDの簡素化

Varonisは、ID、データ、脅威インテリジェンスを1つのプラットフォームに統合しています — 最小権限の自動化、リアルタイムの異常検出、信頼できるクロスクラウドの修正を実現します。Varonisを使用すると、どんなに複雑な環境であっても、環境に合わせて拡張できる、クラウドセキュリティへの統合された、データ優先のアプローチが得られます。 

クラウドIDと機密性の高いデータの実際の安全性を確認する準備はできましたか？  

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/multi-cloud-identity

ブログ著者について

Daniel Miller

Daniel MillerはVaronisのテクニカルコンテンツマネージャーです。彼はユーザーと開発者両方の声を広めることに情熱を注いでいます。新しいテクノロジーを学んでいない時には、コンサートに行ったり、新しいレシピを試したり、読書をしたりしています。

（翻訳：跡部 靖夫）