「誰がどんな権限を持っているか、もう把握できていない」
「プロジェクトが終わったのにAWSのロールが残っている」
「退職者のアカウントが半年後に発見された」

権限管理は「棚卸しをしましょう」と言われても、定期的にやり続けることは難しい。
だからこそ、「権限は期限付きにする」というアーキテクチャ設計が重要です。

1. 権限が肥大する理由

権限は付与するのは簡単でも、剥奪するのは難しい。
理由は:

  • 「誰かに聞いてから外そう」が後回しになる
  • 「外すと何か壊れるかも」という恐怖
  • 権限の棚卸し作業自体が「誰の仕事か」不明

その結果、使われていない権限が積み重なり、1年後には誰も全貌を把握できない状態に。

これはAttack Surface(攻撃対象領域)の拡大を意味します。

2. JIT/PIMの考え方をクラウドに適用する

JIT(Just-In-Time Access)とPIM(Privileged Identity Management)は、
「必要な人が・必要な時間だけ・必要な権限を持つ」という概念です。

Microsoft Entra ID(旧Azure AD)ではPIMとして製品化されています。
この考え方をAWSとGCPにも展開しましょう。

3. Entra ID PIM:実装の基本

Microsoft Entra PIMでは、権限を「常に付与」ではなく「利用資格(Eligible)」として管理できます。

動作フロー:

  1. ユーザーは通常は一般権限のみ
  2. 必要なときにPIMで「権限の有効化」をリクエスト
  3. 理由・期間(例:4時間)を入力
  4. 承認者(マネージャー等)が承認
  5. 期限が来たら自動で権限剥奪

PIMの設定ポイント:

  • グローバル管理者、特権ロール管理者は必ずPIM対象に
  • 有効化時のMFAを要求する
  • すべての有効化をAudit Logに記録する

4. AWS:IAM Identity Centerでのアクセス制御

AWS IAM Identity Center(旧SSO)を使うと、時間制限付きのロール付与ができます。

ポイント:

  • IAMユーザーを作らず、IAM Identity Centerで一元管理
  • Permission Setに有効期限(セッション時間)を設定
  • アクセスリクエストをSlack等で承認フロー化する(AWS Service Catalogと組み合わせる)

また、IAM Access Analyzerを使うと、実際に使われていない権限を自動で検出できます。

bash

# IAM Access Analyzerで未使用アクセスを確認
aws accessanalyzer list-findings \
  --analyzer-arn arn:aws:access-analyzer:region:account:analyzer/analyzer-name \
  --filter '{"findingType": {"eq": ["UnusedIAMRole"]}}'

5. GCP:期限付きIAMバインディング

GCPのIAMはCondition機能を使って有効期限を付けることができます。

bash

# 24時間限定の権限付与
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member="user:engineer@example.com" \
  --role="roles/cloudsql.admin" \
  --condition="expression=request.time < timestamp('2026-02-19T00:00:00Z'),title=temporary-access"

これをTerraformやスクリプトで自動化することで、「期限付き権限付与ワークフロー」が構築できます。

6. 棚卸しを卒業するための仕組み

「半年に1回の棚卸し」をやめ、こう設計します:

設計方針:

  • 高権限(管理者・オーナー相当)は必ずJIT/PIM経由
  • 一般権限も90日で期限切れにし、再申請必須
  • 承認・利用履歴はすべてSIEMに連携

これにより、「棚卸しをしなくても権限は常に最小限」という状態を維持できます。

7. Colorkrew Securityの考え方

「半年に1回、権限の棚卸しをする」というアプローチは、組織の成長とともに必ず破綻します。JIT/PIMによる「期限付き権限設計」は、一度仕組みを構築すれば権限は常に自動的に最小化されます。

とはいえ、Entra PIM・IAM Identity Center・GCP Conditionを正しく組み合わせるには、環境ごとの設計判断が必要です。自社クラウド環境への最適な実装に不安がある場合は、まず専門家へ相談するのが最短ルートです。Colorkrew Securityでは、マルチクラウド環境の権限設計・JIT導入・SIEM連携までを一貫して支援しています。