[Google Cloud Next '24 Las Vegas] IAMの新機能 - 最小権限から組織ポリシー、AIを活用した支援まで

2024.04.13 Yudai Imai

Google Cloud Next '24 Las Vegasとは

Google Cloud Next '24は、2024年4月9日から4月11日の3日間、アメリカ・ラスベガスのMandalay Bayにおいて開催されるGoogleのクラウドサービスに関する世界最大級のイベントです。開発者、エンジニア、IT専門家、業界リーダーが集結し、3日間にわたり技術の最前線を駆け巡ります。特に今年のイベントは、AI/ML（人工知能・機械学習）にフォーカスが当てられ、セッションの約4割がAI/ML関連となり、その最新情報が発表されることが強く期待されています。

私たち日本情報通信株式会社も、Google Cloudに精通した専門家として、技術イノベーションの最新動向を取り入れ、顧客に対するソリューション提供に活かしていくことを目指して参加しています。

このような貴重な機会ですので、現地からいち早くブログで最新情報や熱量を発信してまいります。

本記事で紹介するセッション概要

講演日時：2024年4月9日 12:30 - 13:15 GMT-7
セッションタイトル：What's new with IAM - from least privilege to organization policies and AI-powered assistance
登壇者
- Abhishek A Hemrajani
  - Google Cloudの開発者メディア責任者
セッション内容のサマリ
- ユーザーID、アクセス制御、組織のガードレールは、クラウドセキュリティアーキテクチャの中核です。Google Cloud Identity and Access Management (IAM) は、WorkforceやWorkloadを簡単にオンボード化し、オペレーターや開発者にスムーズなアクセス体験を提供できるように進化しています。デモ満載のこのセッションでは、AIがIAMをどのように変革するか、強力なセキュリティ体制を定義するのに役立つカスタム組織ポリシーサービス、内部脅威やデータ流出のリスクから保護するのに役立つ新しいセキュリティ制御について説明します。また、Privileged Access Manager（PAM）とCloud Infra Entitlement Management（CIEM）のクラウドネイティブな新機能に関する最新情報もご紹介します。

このセッションで期待できること

Google Cloudで提供されているIAMに今後追加される最小権限からカスタムガードレール、AI支援に至るまでの新機能について知ることができます。
Workforce Identity Federationが120以上のGoogle Cloud製品でサポートされることが発表されたため、Google Cloudにシステムをオンボーディングする際の選択肢と柔軟性が生まれることを知ることができます。
Privileged Access Manager（PAM）とCloud Infra Entitlement Management（CIEM）の提供する機能が詳しく紹介されたため、企業のアクセス権管理と監査プロセスが強化されることを知ることができます。

セッション内容

本ブログでは私が現地でセッションを聴講していて特に興味深いと感じた内容を抜粋してご紹介させていただきます。

Identity Federation

まずGoogle CloudではプロジェクトにIDを登録する際に、画像のように選択肢が3つ存在しています。この3つの内のどれかでIDを登録することでGoogle Cloudのリソースにアクセスしています。

Cloud Identity
- 既存のIDをGoogle IDとして連携する方法
Mixed Mode
- Cloud IdentityとIdentity Federationを混合して利用する方法
- 買収などでまだGoogle IDを準備できない状況の場合に利用されることが多いそうです
Identity Federation
- Google ID以外のIdPをGoogle Cloudのプロジェクトに連携する方法
- 120種類以上のGoogle Cloudのリソースにアクセスが可能
- Power BIからBigQueryのデータを参照するときにMicrosoft Entra IDを使うことになるので、この時にIdentity Federationは利用されることが多いそうです

IAM Boundary

本セッションではIAM Boundaryというものが近日サービスとしてリリースされることが発表されました。こちらのサービスはユーザーに対して明確にプロジェクトごとの境界を設定することができるサービスになっています。

このサービスは、例えばユーザーAがHOGE組織内のプロジェクトXとFUGA組織のプロジェクトYでそれぞれBigQuery管理者権限を持っているとします。そうすると、ユーザーAはプロジェクトXでプロジェクトYのデータに対して現在はクエリを打つことが可能になっています。このことはデータの流出というインシデントが発生しうることを意味しています。IAM Boundaryは、ユーザーAはプロジェクトYの中でしかプロジェクトYのデータに対してクエリを打つことができないようにするIAMのサービスとなっています。

Privileged Access Manager

セッションではPreviewとなっているPrivileged Access Manager(PAM)が紹介されました。

このPAMはIAMのガバナンスをさらに利かせるために利用されることが想定されています。

現在のIAMではユーザーに権限を付与する場合はただコンソール上で権限を付与するのみとなります。しかし、PAMを使うことでカスタム条件(権限付与の有効期限など)が付いた複数の権限セットを付与することができるようになり、さらにユーザーはこの権限セットが欲しい時に申請を出すといった操作が可能になります。この申請についても申請することが可能なユーザーを設定することも可能なため、今までのIAMよりもガバナンスを利かせてアクセス管理を実施することができると紹介されていました。

Cloud Infra Entitlement Management

セッションではPreviewとなっているCloud Infra Entitlement Management(CIEM)が紹介されました。

このCIEMは現在のIAMの管理をAWSのIAM管理まで包括的に実施するためのサービスとして登場しました。マルチクラウドが進んだ現在、すべてのクラウドサービスのIAMの管理をそれぞれのサービスのコンソールで実施することは大変な労力となります。その労力をこのCIEMは取り除くことができるそうです。

今年の後半にはCIEMはAWSとAzureのIAMの管理と過剰な権限が付与されていればIAM Recommenderが働いて指摘してくれるようになるとのことです。

また、Chronicleとの統合機能もあり、Security Command CenterにてIAMの設定に脆弱性があれば指摘するという機能も存在するとのことです。

Custom Organization PolicyとGemini Cloud Assist

セッションではCustom Organization PolicyとGemini Cloud Assistという機能も紹介されました。

Custom Organization PolicyはGCS、GCE、GKE、Dataprocの4つのサービスを対象としてすでにリリースされています。これらのサービスに対して、例えばGKEのクラスターを作成する際にバイナリ認証を強制させるといったようなカスタムの組織ポリシーを作成したりすることができるサービスとなります。

Gemini Cloud AssistはIAMのコンソール画面で実行することができるGeminiの支援サービスとなります。ユーザーに対して付与する権限の相談やどういった権限がIAMのロールに存在するかをチャット形式で確認することができるサービスとなり、あまりGoogle CloudのIAMのロールに精通していない方に対してサポートを強化できるサービスと考えられます。