# コンセプト

このドキュメントでは、Shisho Cloud の Cloud Infrastructure Entitlement Management（CIEM）機能の背後にある概念を紹介します。具体的には以下の内容を詳しく説明します。

- Shisho Cloud の CIEM 機能を通じてできること
- Shisho Cloud の CIEM 機能の主な特徴

## Shisho Cloud の CIEM 機能を通じてできること

### どのような権限がどのように付与されているかが分かる

クラウド環境のセキュリティを確保するうえで不可欠なのが、最小権限の原則（PoLP: Principle of Least Privilege）に基づく厳格な権限管理です。
CIEM（Cloud Infrastructure Entitlement Management）は、クラウド環境での ID とアクセス権限を一元的に把握・制御し、不正アクセスや情報漏えいのリスクを低減することを目的としています。

Shisho Cloud の CIEM 機能では、IAM ユーザー、ロール、グループに割り当てられた権限を詳細かつ分かりやすく可視化します。
これにより、**潜在的な過剰権限や設定ミスを早期に特定・修正し、安全かつ適切なクラウド運用を支援します。**

### 各エンティティ（クラウドリソース）に割り当てられているポリシーが適切かどうかが分かる

各エンティティ（クラウドリソース）に割り当てられたポリシーについても適切に管理することは重要です。権限の過剰付与や設定ミスは、リソースの破壊や情報漏えいといった重大な脅威に繋がる可能性があります。
そのため、各ポリシーが最小権限の原則を満たしているかどうかを継続的に検証する必要があります。

Shisho Cloud の CIEM 機能は、リソースごとに割り当てられたポリシーを自動で評価し、リスクが検出された場合には可視化してお客様にお知らせします。
これにより、**潜在的なリスクを早期に把握し、適切な是正措置の迅速な実施を支援します。**

## Shisho Cloud の CIEM 機能の主な特徴

### 包括的なアイデンティティの可視化

CIEM 機能では、クラウド環境内のすべての IAM エンティティに付与されている権限を可視化します。

- **ユーザー**：権限が直接的または継承によって付与されたユーザーアカウントおよびサービスアカウント
- **ロール**：ユーザー、サービス、または外部エンティティによって引き受けることができる IAM ロール
- **グループ**：共有権限を持つユーザーのコレクション

### クロスアカウント関係の可視化

CIEM 機能では、アカウント境界を越えてリソースにアクセスできるアカウント（クロスアカウント）とエンティティ間の関係を特定・列挙します。

また、エンティティとクロスアカウントの関連情報を CSV 形式でエクスポートできます。

### リスクを持つエンティティの列挙

CIEM 機能では、エンティティに割り当てられたポリシーにリスクがある場合に、詳細情報とともにリスクを 4 段階で列挙します。

| リスクレベル | 説明                                                                                 |
| :----------- | :----------------------------------------------------------------------------------- |
| Critical     | 管理者権限もしくはそれに準ずる権限を有する、または危険な権限の組み合わせを有する場合 |
| High         | 高リスク権限を有する、または広範囲のクロスアカウントアクセスを有する場合             |
| Medium       | 比較的センシティブな権限を有する、または限定的なクロスアカウントアクセスを有する場合 |
| Low          | 限定的なスコープであり比較的低リスクな権限を有する場合                               |