CNAPP: クラウドセキュリティに対する統一されたアプローチ

CNAPP は、CSPM や CWPP など、以前はサイロ化されていたツールを単一のプラットフォームに統合することで、クラウドワークロードをエンドツーエンドで保護します。 この記事では、CNAPP の主なメリットと、組織がこのツールを使用してクラウドワークロードをどのように保護できるかについて説明します。

略語はアナリストにとって、非常になじみ深いものです。しかし多くの場合エンドユーザーの混乱を招き、その結果セキュリティギャップが生じて、ビジネス上重要なシステムがサイバー攻撃に対して脆弱なままになってしまいます。

シニカルな見方をする人からは、「アナリストは知識を独占するために略語を使っている」と言われるかもしれません。 しかし略語の使用には、現代のデジタルビジネスの重要なシステムを保護するために、新しいテクノロジーの正確な要件を定義し、具体的なガイダンスを作成できるという側面もあります。 ビジョンとメッセージの正確な定義は、未知の領域においてアナリストの推奨事項を明確にし、新しいテクノロジーの適用について話し合う際に欠かせません。 

略語では、ビジネス上の重要なクラウドワークロードの保護という問題を解決することはできません。 この記事では、クラウドセキュリティに関する専門用語をわかりやすく説明して、主な課題を特定してみます。また、クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) によるクラウドセキュリティへの統合アプローチの実現について説明します。

CNAPP の沿革

CNAPP では当初、さまざまなクラウドセキュリティツールを統合し、マルチクラウドワークロードの保護に適した、統合機能セットに進化させようと試みていました。 また、エージェントベースのクラウドワークロード保護プラットフォーム (CWPP) は、過度に複雑になっていった上に法外な価格が設定されていました。加えて、抽象化が進むワークロードの保護には不十分でした。 一方、クラウドセキュリティ態勢管理 (CSPM) のようなエージェントレスツールは、多くのクラウドワークロードを保護する際における現実的な選択肢へと進化しました。そして、アイデンティティが「新しい境界」となり、クラウドインフラ権限管理 (CIEM) に取り込まれました。 Kubernetes とコンテナベースのワークロードは、機密データやアプリケーションを可視化して保護するための独自のツールセットを進化させてきました。そのため、これを表すための別の略語「KSPM」が必要となったのです。 

現在、クラウドネイティブアプリケーションは、仮想マシンやベアメタルといった従来のプラットフォームにデプロイできるようには構築されていません。 これらは Kubernetes やコンテナなどのクラウドネイティブプラットフォーム上で稼働し、サービスベースのテクノロジーを使用してデータベースなど (例えば Amazon RDS、Azure SQL、Google Cloud SQL) の機能を提供します。また、複数のクラウドにデプロイするように設計されているため、今までとはまったく異なる新しいセキュリティ上の課題が生じています。 CI/CD パイプラインに統合されているシフトレフトのテクノロジーによって、アプリケーションコードとインフラのコード化 (IaC) のランタイム前のスキャンが可能になり、デプロイメント前に脆弱性を特定できます。 クラウド API は、複数の新しいテレメトリーソースを公開しており、それらを組み合わせてクラウドリソースを介した攻撃経路を特定および検証できます。これにより、従来のペネトレーションテストを包括的なアタックサーフェス管理に置き換えることができます。 これらの制御は、特に一連のクラウド保護ツールに組み込む必要があります。パブリッククラウド環境の共有インフラにおいて、エージェントベースのスキャンを制限する抽象化ワークロードが引き起こすリスクに対処するためです。

クラウドネイティブテクノロジーの進化により、クラウドインフラの安全性を確保するためのツールだけでは、もはや十分ではありません。 CNAPP は 「私のクラウドネイティブアプリケーションは安全ですか?」という問いに答えるものである必要があります。

CNAPP の 5 つの主要なメリット

機能のリストを定義するだけでは、クラウドセキュリティへの統合されたアプローチは得られません。では、CNAPP が提供する主なメリットは何でしょうか?

1.すべてのクラウドネイティブのリスクと脆弱性に関するセキュリティ態勢の統合ビュー

CNAPP では、複数の個別のツールを組み合わせることで、優先順位を付けた実用的なインテリジェンスの提供、修復までの時間の短縮、クラウドネイティブのすべてのリスクと脆弱性にわたるセキュリティ態勢についての統合ビューの提供を、文脈を踏まえた形で行うことができます。 個別のツールを複数使用する場合、それぞれからセキュリティ態勢に対する独自のビューを得られますが、相互運用性や他のツールに対する可視性は限られます。したがって、得られる文脈も限定されてしまいます。 アプリケーションチームはコードのバグや脆弱性に対してそれぞれ独自の見解を持っていますが、適切な制御が実装されたアーキテクチャにコードがデプロイされると、多くの場合、それらが悪用されることはありません。 お客様と仕事をする際に、よく投げかけられる質問として、次のようなものがあります。 「リスク軽減とコスト削減のために、コード修正に優先順位を付けるにはどうすればよいでしょうか?」「これはどのインフラにデプロイされるのですか?」「バグ修正作業の優先順位付けに関して、リスクと開発者が要する時間を最小化するために、こうした情報はどのように活用できますか?」当社ではこういった質問に答えられるよう CNAPP を設計しました。

2. 監視と脅威検出の簡素化

CNAPP ではオールインワンのプラットフォームを提供することで、クラウドセキュリティの潜在的な脅威や脆弱性の監視、検出、修正を簡素化し、修復までの平均時間 (MTTR) を短縮して、全体的なセキュリティを向上させます。 パブリッククラウドプロバイダーは、セキュリティとコンプライアンスの管理を支援するツールを数多く用意していますが、 複数のプロバイダーにまたがるようなセキュリティ態勢に関しては、一元的なビューがありません。 最近、いくつかの CSP が、複数のプロバイダーのセキュリティ態勢を管理できる機能を追加しました。 しかし、競合するプラットフォーム間で正確かつ継続的なサポートを提供するのに 1 つのプロバイダーに頼る場合、組織に不必要なリスクをもたらします。

CNAPP を使用すると、インテリジェンスのエコシステムが、すべてのクラウドネイティブアプリケーションツールを中心に構築されるか、単一のプラットフォームに統合されます。これは複数のハイブリッドクラウドおよびマルチクラウドのプラットフォームを網羅したものであり、文脈を考慮した視点が得られ、クラウドセキュリティへの投資が将来にわたり有効なものになります。

3.DevSecOps の実現とコラボレーションの強化 

ツールの統合によって、セキュリティチームと DevOps チームの間のコラボレーションが強化されます。 同じプラットフォームを使用して開発ライフサイクル全体のセキュリティを管理することで、セキュリティを DevOps プロセスに統合できます。それにより、継続的なアタックサーフェス管理、ボトルネックの解消、市場投入までの時間短縮を実現できます。

4. 一元化されたユーザーインターフェース

特定のロールやチームごとに異なるビューを使用するので、1 つのツールでさまざまな複数のチームに合わせた関連情報を提供できます。 たとえば、ガバナンス、リスク管理、コンプライアンス (GRC) のリソースには関連するコンプライアンス情報を表示し、SecOps チームには詳しいテクニカルアラートを配信し、DevOps/DevSecOps のチームにはリアルタイムのセキュリティダッシュボードを提示します。

5. セキュリティワークロードの軽減

CNAPP ツールは、文脈を提供し、クラウドネイティブアプリケーションとワークロードを保護するための時間を節約し、全体的なコストを削減します。 企業は競争力を維持するために、リスク選好と規制上の義務に従ってセキュリティワークロードを適切なレベルに調整する必要があります。 開発者に対して「時間のすべてをセキュリティ対策に充ててほしい」と考える企業はありません。 企業が成功するには、最も重大な脆弱性を特定し、最もリスクの高い脅威の修正を優先させることで、ビジネスの生産性を向上させる必要があります。

クラウドのサイバーエクスポージャー管理: 略語を超えてアクションへ

クラウドサイバーエクスポージャー管理の目的は、クラウドアタックサーフェス管理に対する最適なアプローチと実行可能な修正計画を事業責任者が理解できる形で組織に提供し、事業責任者がより効果的なリスク削減の意思決定を行えるようにすることです。

CNAPP は、ハイブリッドクラウドとマルチクラウドのアタックサーフェス全体で情報に基づいたリスク管理の意思決定を促進するテクノロジースタックを提供します。これにより、優先順位を付けたアラートの提供、悪用される可能性がある脆弱性の特定、クラウド環境を通じた攻撃経路の検証が可能となります。 CNAPP では、複数のクラウドセキュリティテクノロジーを統合することで、文脈を明らかにして全体的なワークロードを削減します。そのため、これはクラウドサイバーエクスポージャー管理プログラム全体において欠くことのできない要素となるのです。

CNAPP のメリット - 一言でいうと

CNAPP は、複数のクラウドテクノロジーやプロバイダーにおいて、組織のどの部分がリスクにさらされているかを自ら判別するためのフレームワークを提供します。 組織は、文脈に応じて脆弱性を評価する統合プラットフォームを使用することで、ベンダー統合によるコストの削減を実現します。そして、重大な問題に対する優先順位付けと修復までの平均時間の短縮を通して生産性を上げることができます。 そして結果的に、セキュリティオーバーヘッドの削減、複数のクラウドネイティブアプリケーションアーキテクチャの継続的なコンプライアンスを実現します。また、これにより組織はクラウドセキュリティに対して一元化されたアプローチを取れるようになります。

マルチクラウドインフラを保護するにあたっての CNAPP の価値については、ホワイトペーパー「Holistic Security For AWS, Azure and GCP (AWS・Azure・GCP 向けの総合的なセキュリティ)」をご覧ください。