CNAPP の 10 ステップ がクラウドセキュリティの初心者を熟練者に変える

クラウドセキュリティでは文脈が重要です。 先日の RSA プレゼンテーションに登壇した Tenable の Shai Morag が、エンドツーエンドのクラウドインフラセキュリティに関する 10 のヒントを紹介しました。

先日開催された RSA カンファレンスで、Tenable の上級副社長兼クラウドセキュリティ担当 GM の Shai Morag は「Cloud Security Novice to Native in 10 Steps: A CNAPP Approach (10 ステップがクラウドセキュリティの初心者を熟練者に変える: CNAPP アプローチ)」と題したセッションを主催し、クラウドネイティブアプリケーションの保護に必要な手段について詳しく解説しました。

まず、クラウド自体は前から存在していたが、多くの人にとっては新しいものであることを指摘。

セキュリティ専門家にとって、なじみのあるのはオンプレミスのリソースの保護です。しかし、クラウドはオンプレミスよりも複雑で、特にマルチクラウド環境ではその傾向が顕著です。

その一方で、侵害は猛烈なペースで発生しています。 実際に、「2024 年クラウドセキュリティの展望」によると、95% の組織がクラウドセキュリティの侵害を報告しています。 このような侵害の蔓延は、近年登場した多数のポイント対応製品の機能を超える、クラウドセキュリティのアプローチが緊急に必要であることを明確に示しています。 

アイデンティティは新たな境界

アクセスの保護、分析、管理をサポートする CIEM の台頭は、クラウドにおけるアイデンティティリスクと権限リスクの管理の重要性を浮き彫りにしています。

「アイデンティティは新たな境界です。クラウドセキュリティでは文脈が重要です。 可視性について、そして環境におけるリスクの優先順位付けと評価について考える際には、『文脈こそが王様』なのです」

CIEM の機能を統合した CNAPP によりクラウドセキュリティの全体像を把握でき、 CNAPP は、リスクの理解、分析、優先順位付けの基盤となる文脈の明確化に役立つと Morag は述べています。

CNAPP: 検出、リスク管理、規模拡張

次に エンドツーエンドのクラウドインフラセキュリティを実現するための 10 のステップを 3 つの段階 「検出、リスク管理、規模拡張」に分けて詳しく説明しました。

1. 検出:すべての資産

Morag は、複数のクラウドを利用している企業が大半であるため、すべての資産、リソース、ワークロード、アイデンティティ、データのインベントリを作成するのは困難であり、

「インベントリ作成は AWS 環境、Azure 環境、GCP、Alibaba Cloud のそれぞれで行う必要があり、その際に確実にすべての資産を検出し、保有するすべての資産を把握する必要がある」ことを指摘しました。

2. 検出:すべての関係性

ステップ 2 は、すべての関係性の把握です。 Morag は、CNAPP を使用すれば資産、アイデンティティ、リスクの関係性など、重要な文脈を把握できると説明しました。

CNAPP は、重大な脆弱性がありながら高い権限が設定された公開ワークロードなどの有害な組み合わせを特定して修正の優先順位を付けることもできます。

3. 検出:リソースへのすべてのアクセス権

このステップでは、人間やサービスのアイデンティティがアクセスできるリソースを検出することが重要で、 さらに、そのアイデンティティがリソースにアクセスしたタイミングや期間を把握することが大切であると Morag は述べています。

4. リスク管理: コンプライアンスと企業ポリシーのニーズを理解

「リスクを分析する前に、クラウド環境に適用したいコンプライアンスとポリシーを理解することが必要です。SOC2 のサポートは必要か? PCI 準拠状況を確認する必要があるか? SOX 法への準拠状況を確認する必要があるか? 」などを把握することの重要性を強調しました。

5. リスク管理: すべてのリスクとコンプライアンス違反をリストアップ

「リスクやポリシー違反が発生しているのはどこか、サポート対象のコンプライアンスや基準を満たさないものがどこにあるのかなど、すべてのリスクを把握する必要があります。 深刻度が低いものから高いものまですべてを確認することが必要なのです」と続けています。

6. リスク管理: フルスタックの文脈に基づく優先順位付け

フルスタックの文脈に基づいてリスクに優先順位を付ける必要があることを主張。

非常に危険な組み合わせが何であるかを理解することが極めて重要です。 外部に露出した脆弱なマシンに、特権アイデンティティが設定されることもあります。リスクにおいても、ちりも積もれば山となり、 これは有害な組み合わせのほんの一例に過ぎません。 類例は他に多数あります。

7. リスク管理: 調査結果の視覚化と詳細確認

「すべてのリスクとすべての調査結果に優先順位を付けた後、特定の調査結果を確認する際には、すべてを視覚化し、調査結果の詳細を確認できるようにしたいものです。場合によっては状況の把握が非常に難しいので、修正前に結果を視覚化し詳細確認することが重要になるためです」と Morag は説明します。

8. リスク管理: 修正、および最小権限とゼロトラストの推進

クラウド内のリスクの修正と防止を行う際にはアクセスリスクが最優先で対処すべき問題。

最小権限を実現することで、人とマシンのアイデンティティに対する権限の過剰付与を回避できます。

9. 規模拡張: CI/CD に調査結果を統合

ステップ 9 では、調査結果を CI/CD パイプラインに確実に統合します。

このシフトレフトのアプローチでは、コードに含まれるリスクを、実稼働環境へのデプロイ前に検出して修正します。

10. 規模拡張: DevSecOps ワークフローでの調査結果の自動化

最後のステップでは、自動化で DevSecOps によるリスク排除を支援します。

実稼働環境で設定ミスがあった場合、コード内で何が原因かを理解できるほか、開発者には通知と文脈情報が届きます。

経験的な教訓を活用

最後に、 CNAPP 評価のタイムラインについて次のようなアドバイスがありました。

• 第 1 週: 組織内でクラウドを保護しているチームを見つけます。 次に意思決定者を特定し、懸念事項を明らかにします。
• 3 か月後: クラウド内で誰がいつ何にアクセスできるのかを、チームが把握しているかどうかを確認します。 次に、使用されているツールとそのギャップを確認します。 最後に、チームが最小権限を理解し、それを適用できているかどうかを確認します。
• 6 か月後: カスタマイズされたセキュリティとコンプライアンスの自動化機能を持つ CNAPP を選定します。 次に、クラウドセキュリティの成熟度を高めるための優先順位を明確にします。

クラウドセキュリティの詳細情報はこちら

クラウドセキュリティのインサイトについて詳しくは、ウェビナーTenable Shares Its 2024 Cloud Security Outlook: Winning Half the Battle by Understanding Barriers and Priorities (Tenable が「2024 年のクラウドセキュリティの展望: 障壁と優先事項を理解することで、半分勝ったも同然」を公開) にご参加ください。 クラウドデータ漏洩のリスクを軽減するためのベストプラクティス、クラウドセキュリティ環境で最も脆弱な部分を強化する方法などをご紹介します。