CNAPP とは

クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) は、セキュリティとコンプライアンス技術を一元化し、クラウドで構築されたアプリケーションとサービスを保護するツールです。 複数のクラウドセキュリティ技術を統合して、クラウドネイティブなアプリやインフラを保護します。 また、ビルドからランタイムまでにわたる、ソフトウェア開発ライフサイクル (SDLC) 全体のセキュリティを自動化します。

クラウドセキュリティプラットフォームには、以下のようなクラウドセキュリティツールが統合されます。

• Cloud infrastructure entitlement management (CIEM)
• Cloud workload protection (CWP)
• エンドツーエンドのアプリケーションセキュリティ
• アイデンティティセキュリティ
• Kubernetes security posture management (KSPM)
• Data security posture management (DSPM)
• その他のクラウドセキュリティ機能

CNAPP の機能:

• クラウドリソース検出
• すべてのクラウド資産、サービス、インフラスの包括的な可視化
• クラウドのリスク管理
• インフラのコード化 (IaC) の診断
• 脅威の検出
• コンテナとサーバーレスセキュリティの確保
• クラウド資産、脆弱性、設定ミス、その他のクラウドエクスポージャーの継続的なモニタリングと特定
• リスクの優先順位付けの文脈を提供する脅威インテリジェンス
• DevSecOps チーム全体のコミュニケーションと生産性の向上
• HIPAA、PCI DSS、GDPR などの業界標準に準拠する
• 手作業の削減と、ワークフローの効率化、合理化
• サイバー攻撃リスクの低減
• セキュリティおよびコンプライアンスの対策に関連するコストの削減
• ビジネスクリティカルな資産の保護の強化
• セキュリティおよびコンプライアンスとビジネス目標の整合
• クラウドセキュリティの優先事項に対する理解を啓発し、取締役会や経営幹部の支持を高める

CNAPP は、マイクロサービスやコンテナなど、クラウドインフラの基盤となる部分のセキュリティ確保にも利用できます。 従来、クラウドセキュリティは、ばらばらの断片的なツールを使用して行われていました。しかし、それではクラウドのアタックサーフェス全体の可視性とセキュリティに隙間が生じます。

一方、CNAPP はセキュリティの盲点を発見するので、ビジネスに影響を及ぼす可能性が最も高い危険な脆弱性を修正できます。

また、シフトレフトしてセキュリティ対策とコンプライアンス対策を連携すれば、クラウドの脅威に対するインサイトをより多く得ることができ、事業継続性などのより大局的な目標に軽減策を合わせることもできます。

CNAPP によるクラウドセキュリティの重要性

CNAPP は、クラウドセキュリティにおいて重要な役割を果たすソフトウェアです。 CNAPP は、セキュリティチームと DevOps チームを連携させ、 構想段階から本番環境までにわたり、クラウドネイティブアプリ開発へのセキュリティの統合を支援します。

CNAPP は、セキュリティファーストの原則を適用してクラウドのアタックサーフェスと潜在的な侵害を先行的に低減するプラットフォームです。

CNAPP の起源と進化 (Gartner の定義)

「クラウドネイティブアプリケーション保護プラットフォーム」という言葉を作ったのは Gartner です。 Gartner によると、CNAPP が意味するのは、「クラウドネイティブのインフラとアプリケーションを保護するために設計された、一元化され、緊密に統合された一連のセキュリティとコンプライアンスの機能」です。

CNAPP の主要機能

• クラウドアプリ、ワークロード、コンテナ、インフラの全体的な可視化
• 脆弱性や設定ミスなどといったセキュリティエクスポージャーの継続的な監視
• クラウドワークロードリソースの特定とセキュリティ
• アイデンティティ管理とセキュリティ
• 重大なクラウドセキュリティ脅威に対する、リアルタイムのインサイトと自動修正の機能

CNAPP を使用すれば、以下を監視して保護できます。

• コンテナ
• 仮想マシン
• サーバーレス関数
• マルチクラウドワークロード
• クラウドストレージ
• クラウドネットワーク
• ID およびアクセス管理システム
• アプリケーションプログラミングインターフェース (API)

CNAPP と脆弱性管理

脆弱性管理は CNAPP の重要な機能です。 プラットフォームに自動化された脆弱性診断 (スキャン) 機能が統合されていれば、クラウドアプリのリスクに関するインサイトを継続的に取得し、エクスポージャーの修正に優先順位をつけることができます。

CNAPP は、セキュリティチームが安全でないクラウドリソースを悪用しようとしている攻撃者に対し先手を打つのにも役立ち、 継続的に資産を特定して診断することを可能にします。 これは、動的なマルチクラウド環境において重要です。 特定と診断の設定では、アプリやサービスは素早く起動したり停止したり、実行中にアップデートを取得することができます。

CNAPP では、以下を使用してリアルタイムでセキュリティ制御を一元化することもできます。

• ランタイム保護
• ポリシーの適用と監視
• IaC スキャン
• 脅威の検出と対応
• 自動化されたコンプライアンスの監視とレポート
• 修正作業の自動化
• 暗号化管理
• ID およびアクセス管理 (IaM)
• 最小権限アクセスの適用

もうひとつの重要な機能は、拡大を続ける、業界や規制当局の複雑なセキュリティ基準全体に対するコンプライアンス管理です。

組み込みのコンプライアンスのテンプレートを使用すると、こうした制御を、セキュリティやコンプライアンスのフレームワークと容易に整合させることができます。 継続的なモニタリングとデータ分析により、コンプライアンスギャップを先行的に発見し、セキュリティイベントが発生する前に修正することができます。

また、自動化されたコンプライアンス報告機能により、セキュリティ対策やコンプライアンス対策をビジネス目標に整合させ、次回の認定や監査に向けて信頼性を高めることができます。

CNAPP はクラウドセキュリティにとって非常に重要です。 動的で、高度に分散化したクラウド環境全体を包括的に可視化できるからです。

リアルタイムの脆弱性管理機能が、急速に変化する、ペースの速いクラウド環境に遅れをとらずに対応します。 担当者は毎日、時には 1 日に何度も、ワークロードやアプリケーションを変更したり、既存のツールを更新したりすることがあります。

CNAPP はセキュリティとコンプライアンスのギャップを継続的にスキャンできるため、攻撃者に発見される前にその隙間を埋めることができます。

オンプレミスのサーバーやネットワークとは異なり、クラウド環境は流動的です。 そのため、効果的なクラウドセキュリティの実現は困難なものになっています。 また、多くの組織が複数のクラウドサービスプロバイダー (CSP) を利用して、パブリッククラウド環境、プライベートクラウド環境、ハイブリッドクラウド環境で業務を行っています。

残念なことに、一部の組織ではいまだにクラウドで従来のセキュリティ手法が使用されていますが、これでは効果的ではなく、リスク管理のギャップを生み出す原因になっています。

CNAPP は、動的なクラウド環境を一元的に可視化することで、効果的なリスクガバナンスを促進します。 また、さまざまな種類のクラウド環境間で、一貫性のある、コンプライアンスに準拠したクラウドセキュリティポリシーの実装と適用を確実に実施することもできます。

CNAPP を使えば本来時間のかかるクラウドセキュリティタスクの多くを自動化できるため、効率が向上します。 さらに、ワークフローを最適化し、クラウドの開発とセキュリティにかかるコストを削減します。

クラウドセキュリティにとって CNAPP が重要であるもう 1 つの理由は、アイデンティティとアクセス権限の自動化によって、手作業を排除できるからです。 これは、多くの API やマイクロサービスが存在するクラウド環境では重要なことで、 API などのサービスによって柔軟性と拡張性が促進される反面、生み出されるリスクも増加します。

IaM の機能は、適切な人が、業務を遂行するために適切な量の権限を持つようにするものです。 これによって重要な資産を保護し、ネットワーク全体での不正なラテラルムーブメントを防止します。

最小権限アクセスとアクティビティの監視を利用すれば、異常を発見し、アイデンティティエクスポージャーに迅速に対処でき、 権限昇格を利用したクラウド攻撃のリスクも軽減されます。

最後に、CNAPP はセキュリティを DevOps パイプラインに統合します。 従来、クラウドネイティブアプリケーションの開発において、セキュリティは後回しにされてきたため、 開発サイクルが遅れることがよくありました。

CNAPP ソフトウェアを利用すれば、アプリ開発の最初の段階に制御を組み込む「シフトレフト」セキュリティが実現できます。 CNAPP は、アプリケーションのデプロイメント前に脆弱性を明らかにして解決するための基礎となるものです。 従って、攻撃者がデプロイメント後に悪用する可能性のある攻撃経路を減らすことができます。

セキュリティを開発に組み込むことで、CNAPP は、セキュリティを損なわない、迅速なクラウド導入とイノベーションを支援します。

クラウドネイティブアプリケーション保護における課題トップ 6

クラウドネイティブアプリ環境は絶えず進化しているため、脅威状況もそれに伴って急速に変化します。 そのため、クラウドセキュリティ戦略の一部に位置付けられていない対策では、クラウドアプリのようなリソース全体で新規または既存の問題の検出するのがなおさら困難になります。

クラウドネイティブ環境保護に関する一般的な課題

従来のセキュリティソリューション vs CNAPP

従来のセキュリティソリューションは、サイバーセキュリティに断片的な視点からアプローチするばらばらのツールに依存しているため、可視性の課題とセキュリティギャップが生じます。

これらのツールがサイロ化した状態で稼働していると、重要なデータがサイロ内に捕らわれてしまいます。 これでは、必要とされる包括的な可視性を確保することはほぼ不可能です。 そのため脆弱性が見逃されたり修正にかかる時間が長引いたりして、侵害が発生する可能性が高まります。

一方、CNAPP はクラウドの保護と防御に必要なすべての主要なセキュリティ機能を統合し、自動化します。 また、脆弱性管理、設定管理、ワークロード保護、コンプライアンス監視を単一のプラットフォーム内で一元化するので、 従来のセキュリティ手法が生み出す盲点をなくすことができます。

また、クラウド環境全体でエンドツーエンドの可視性が得られます。どんなに複雑な環境であろうと、コストのかかる断片的なセキュリティツールは必要ありません。 その代わりに、セキュリティプロセスを自動化して、安全なクラウドシステムとサービスを迅速に、かつ確信を持って導入することができます。

CNAPP を使うと、新しいクラウド資産が現れたときに即座に発見できます。 さらに、ワークロードやデータの継続的な監視によって、一貫したセキュリティポリシーの適用を実現できます。 開発パイプラインの早い段階にクラウドセキュリティを追加すれば、よりリスクの少ない、迅速かつアジャイルな開発をサポートすることもできます。

マルチクラウド環境における CNAPP の役割

マルチクラウド環境で CNAPP を導入するための 13 のベストプラクティス

1. マルチクラウド環境を一元的に可視化する。
   1. 使用しているすべてのクラウドプラットフォーム (AWS、Azure、Google Cloud Platform (GCP)) と通信するように CNAPP を設定する。
2. 資産の特定と管理、脆弱性評価、脆弱性管理、ワークロードと設定の監視が単一のダッシュボードに統合されたソリューションを使用する。
3. 定期的な監査を実施し、プロセスの中でクラウドリソースが見逃されないようにすることで、クラウド全体の全体像を把握する。
4. 自動化機能を使用して、すべての新規デプロイメントにセキュリティ設定を自動的に適用するルールやテンプレートなどを含む、セキュリティとコンプライアンスのポリシーを管理して適用する。
5. 自組織に関係する特定の規制基準 (GDPR、PCI DSS、HIPAA) に対する継続的なコンプライアンスチェックを設定し、ドリフトや設定ミスを減らす。
6. CNAPP を DevOps ワークフローに統合して、開発ライフサイクル全体にセキュリティを組み込む。
7. デプロイメント前に、コードとコンテナの脆弱性をスキャンするよう設定する。 シフトレフトによってセキュリティを開発ライフサイクルに組み込む。
8. CNAPP を使用してリスク評価を実施する。
9. 組織固有のクラウド環境の文脈 (資産の重要性、エクスポージャーレベル、悪用の可能性) に基づいて、脆弱性とセキュリティ問題を優先順位付けする。
10. リスクが高い、一般に公開されている資産や機密データを持つ資産の脆弱性に優先順位を付け、最も影響の大きい脆弱性を最初に修正するよう、データに基づいた実行可能な意思決定を行う。
11. 脆弱性や設定ミス (過度に寛容なアクセス制御や安全でない設定) を特定するために継続的にスキャンする。
12. 可能な限り、支援付きの自動修正を使用する。
13. 定期的にログを確認し、ペネトレーションテストを実施し、監査結果を確認することにより、セキュリティギャップを特定して解消する。

ソフトウェア開発ライフサイクル (SDLC) 全体のセキュリティの対処方法

CNAPP を使用して SDLC 全体のセキュリティを統合する 8 つの方法は以下の通りです。

1. シフトレフトする。 クラウドソフトウェア開発のできるだけ早い段階でセキュリティを統合する。
   1. セキュリティを設計とコーディングの段階に組み込む。
   2. 開発段階でエクスポージャーを発見する自動化されたコードスキャンなどの、安全なコーディング手法を確実に使用する。
2. 継続的デリバリ (CI/CD) パイプラインのセキュリティを自動化する。
   1. 本番稼働前に脆弱性や設定ミスを発見できるよう、あらゆる段階でセキュリティの制御状況をテストする。
3. コードベース、サードパーティライブラリ、クラウドサービス、クラウドインフラを継続的に監視し、SDLC 全体を通して新たな脆弱性の有無を確認する。
   1. 脆弱性をリアルタイムで検出するソリューションを使用して、セキュリティ問題が発生した時点で先行的に対処する。
4. 開発環境、テスト環境、本番環境のすべてにセキュリティポリシーを一貫して適用する。
5. IaC テンプレートと自動化ツールを使用して、セキュリティ設定を標準化する。
6. 定期的な監査を実施して、クラウド環境がセキュリティおよびコンプライアンスの要件を満たしていることを確認する。 これによって、SDLC 内のギャップや設定ミスを防ぐ。
7. 開発チーム、セキュリティチーム、運用チーム (DevSecOps) の間にコラボレーションの文化を構築する。
8. 定期的にセキュリティ対策を見直し、DevSecOps のすべてのフェーズにセキュリティが含まれているか検証する。 プロセスを監査し、デプロイメントの前、最中、後において、各担当者が連携して脆弱性に対処しているか確認する。

CNAPP は、クラウドネイティブ環境のセキュリティを管理する統合的なアプローチを用いて、クラウドネイティブアーキテクチャを改善します。

エンドツーエンドのクラウドセキュリティを提供して、複雑なクラウドアーキテクチャを明確に可視化するプラットフォームです。 また、ポリシーに基づいた自動制御を適用することで、クラウドネイティブなワークロードの進化に合わせて安全に拡張できます。

クラウドネイティブテクノロジー (Kubernetes、コンテナ、マイクロサービス) との統合

Kubernetes 環境への統合により、Kubernetes ワークロードの可視性が向上します。 設定ミスを見つけて修正し、セキュリティ制御を一貫して実施することが可能になります。

コンテナは、クラウドネイティブアーキテクチャの基盤です。 CNAPP は、組み込みの保護機能によって、アプリケーションを最も大事な安全性を維持しながら、迅速に展開を支援します。

コンテナセキュリティのためのクラウドネイティブアプリケーション保護プラットフォームによって、以下のことが可能になります。

• ランタイムのセキュリティ設定の管理
• デプロイメント前のレジストリ内のイメージのスキャンによる、脆弱性の検出
• コンプライアンスチェック、脆弱性評価、異常監視、アクセス管理の実施
• サイバー攻撃の削減

マイクロサービスは、DevOps チームが複雑なアプリをより管理しやすいサービスに分解することに役立ちます。 CNAPP は、各マイクロサービス内の脆弱性の検出と修正を含めた、サービス間の動作を保護し、ネットワークトラフィックを監視し、潜在的な脅威を見つけます。

動的で弾力性のあるワークロードのためのスケーラビリティ

クラウドアーキテクチャは、動的で弾力性があるワークロードで構成されています。つまり、頻繁に変更されるということです。CNAPPは、ポリシーに裏付けられたセキュリティ制御を、新しいリソースに適応させます。 そして、必要がなくなれば、制御範囲を自動的に縮小します。

クラウドネイティブアプリケーション保護プラットフォームの主要コンポーネントには、以下が含まれています。

以下に示すコンポーネントは、クラウド環境を設定ミス、脆弱性、アクセスリスクから保護します。

• CSPM
• CWPP
• IAM
• コンプライアンスモニタリング

以下に示すコンポーネントは、エンドツーエンドの可視化と脅威への対応を行います。

• IaC スキャン
• DSPM
• KSPM
• クラウド検出と対応 (CDR)

上記のそれぞれが、包括的な CNAPP ソリューションの構築にどのように貢献しているかを次にご紹介します。

クラウドセキュリティポスチャ―管理 (CSPM)

CSPM ツールは、設定ミスやセキュリティリスクを継続的に監視するために使用されます。 CSPM は、業界標準やベストプラクティスへの準拠を自動化することで、クラウド資産のセキュリティを全体的に可視化し、潜在的なエクスポージャーに関するアラートを即座に送信します。

クラウドワークロード保護プラットフォーム (CWPP)

CWPP は、脆弱性スキャン、マルウェア検出、ランタイムセキュリティなどによって、仮想マシン (VM) 、コンテナ、サーバーレス環境全体でワークロードを保護するために使用されます。

ID およびアクセス管理 (IAM) の制御

IAM は、クラウドリソースのアクセス制御と権限を保護するために使用されます。 CNAPP は、過度に寛容なロールや設定ミスのあるロールを特定し、リスクを軽減することを支援するので、不正アクセスの防止に使用できます。IAM ポリシーを自動化すると、機密性の高いデータやシステムをより厳重に管理できます。

継続的なコンプライアンスモニタリング

CNAPP 内のクラウドコンプライアンスツールは、継続的なコンプライアンス監視とポリシー適用を実行します。 従って、リソースがどれだけ急速に、どれだけ頻繁に変更されても、一貫して規制とセキュリティの基準を満たせるようになります。 また、コンプライアンスチェックを自動化し、違反の可能性についてリアルタイムでアラートを送信することもできます。 これは、HIPAA、PCI-DSS、GDPR のような一般的なコンプライアンスフレームワークとの適合状態を維持するのに役立ちます。

インフラのコード化 (IaC) スキャン

インフラのコード化スキャン (Terraform や CloudFormation など) により、コード開発の初期段階で設定ミスや脆弱性を発見し、クラウド環境を保護します。 事前対策型のアプローチによって、開発者はすべてのフェーズにセキュリティを組み込み、本番稼働前にセキュリティ問題に迅速に対処することができます。

クラウドインフラ権限管理 (CIEM)

CIEM ツールは、ユーザー権限と許可を管理、監視して、過剰な権限によるリスクを低減するために使用されます。 CIEM ソリューションを使うと、アクセスパターンを継続的にログに記録して監視することで、過剰な権限を持つアカウントを発見し、 セキュリティポリシーに基づいて自動的に最小権限アクセスを実装できます。

データセキュリティポスチャ―管理 (DSPM)

DSPM は、すべての機密クラウドデータのリスクを明らかにして解決するために使用されます。 DSPM によって、機密データを作成、保存、送信する場所をピンポイントで特定し、ガバナンスのための適切な制御を自動的に適用できます。

Kubernetes セキュリティポスチャ―管理 (KSPM)

KSPM は、Kubernetes クラスタを保護し、コンテナ化されたアプリケーション全体の設定の問題、アクセスの問題、脆弱性を発見するために使用されます。

クラウド検出と対応 (CDR)

CDR (クラウド異常の検出と対応) は、クラウドリソース全体の脅威をリアルタイムで検出するために使用されます。 CDR では、クラウドの不審なアクティビティを監視することが可能です。 対応するべき適切な担当者にアラートを送信して調査や対応を依頼するために使用できます。

アプリケーションセキュリティポスチャー管理 (ASPM)

ASPM は、開発の安全性を保つために使用されます。 ASPM は、シフトレフトセキュリティをサポートし、開発段階の間に脆弱性や設定ミスを先行的に明らかにします。 セキュリティ問題を早期に発見できれば、デプロイメント後に新たなクラウドの攻撃経路が発生するリスクを低減できます。

クラウドサービスネットワークセキュリティ (CSNS)

CSNS は、ネットワークトラフィックやその他のクラウド接続を監視して保護するために使用されます。 CSNS は、クラウドのネットワーク階層のセキュリティを確保し、クラウドリソース内およびリソース間の接続を保護します。

JIT ジャストインタイムアクセス

ジャストインタイム (JIT) アクセスは、機密性の高いクラウド環境のエクスポージャーを最小限に抑えるために使用されます。 JIT は、ユーザーやシステムに、必要なときだけ、重要なリソースへの一時的な、時間制限付きのアクセス権限を付与し、不正アクセスや権限昇格によるリスクを軽減します。 JIT は、厳重に管理されたアクセスを保証するもので、指定された時間が経過すると自動的にアクセス権限が取り消されます。 JIT アクセスと自動化されたワークフローにより、最小権限の原則をより効果的に適用することができます。

AI セキュリティポスチャ―管理 (AI-SPM)

AI-SPM は、可視化、分析、対応を行う能力を向上させ、より効果的にクラウドのセキュリティを確保するために使用されます。 AI 主導のインサイトによって、リスク、設定ミス、脆弱性を明らかにできます。 複雑なクラウド環境全体の膨大なデータを継続的に監視、分析し、脅威を軽減してセキュリティ戦略を最適化するための実用的な推奨事項を提供します。

CNAPP は、リアルタイムの脆弱性管理、コンプライアンスモニタリング、設定管理を使用して、クラウド環境全体のセキュリティをクラウドインフラに直接統合します。

AWS、Azure、Google Cloud Platform のような CSP とのクラウドネイティブな統合によって、クラウドセキュリティが一元化されます。 プロバイダーやテクノロジースタックの種類に依存せず、すべての環境やワークロードに対して、最小権限アクセス、脆弱性の修正、その他のベストプラクティスを適用できます。

一元的なセキュリティ管理ダッシュボード

一元化されたセキュリティ管理ダッシュボードを備えたクラウドセキュリティソリューションは、クラウドプロバイダーからのデータを統合して表示するので、攻撃者より先にリアルタイムでエクスポージャーを発見できます。

データが単一の信頼できる情報源に統合されるので、セキュリティチームはリスクをより明確に把握できます。 CNAPP は、どのクラウドセキュリティ問題に最初に取り組むべきかを理解するのに役立ちます。

マルチクラウド環境とハイブリッド環境全体の可視化

マルチクラウド環境やハイブリッドクラウド環境全体にわたるセキュリティ管理は複雑です。 CNAPP は、どこで誰がホストしていようとも、クラウドリソースを見落とすことのない可視性を提供して、 クラウドワークロードを追跡し、AWS、GCP、Azure、およびハイブリッド環境全体にわたる設定と権限の管理を実現します。

クラウド環境全体での一貫したポリシー適用

CNAPP は、クラウドワークロード、コンテナ、クラウドインフラ全体にわたって、脆弱性管理やアクセス制御などの一貫したポリシーの適用を保証します。 セキュリティプロセスの自動化によってポリシー管理を簡素化します。

CNAPP は、リアルタイムの脅威インテリジェンス、自動化、ベストプラクティスを使用して、セキュリティチームによるクラウドセキュリティリスクの優先順位付けを支援し、 評価したすべてのリスクについて脅威の文脈を提供します。 クラウドの脆弱性、極めて過剰な権限、設定ミスを探すのに役立ち、実行可能なリスク修正戦略の優先順位付けを支援します。

クラウドセキュリティの自動化は、ここで重要な役割を果たします。 自動化は、迅速かつ正確にリスクを分類し、ランク付けに役立ちます。

標準的な CVSS スコアだけに頼ることは避けるべきです。CVSS スコアでは、多数の脅威が「緊急 (critical)」または「重要 (high)」にランク付けされてしまうからです。 リスクレベルを設定する前に以下の要素を考慮するソリューションをお探しください。

• 資産の種類と重要度
• エクスポージャーと悪用される可能性

クラウドネイティブセキュリティプラットフォームは、クラウドのリスク管理もサポートします。 CNAPP は優先順位付けのツールとして貴重なリソースです。 環境がどれだけ複雑で広大であっても、クラウドに対する明確なインサイトを得ることができます。

CNAPP を使用することで、クラウドインフラ、クラウドアプリ、その他のクラウドリソースの複数の部分からデータを抽出し、クラウド固有の文脈を使用してリスクを見つけることができます。 これにより、各エクスポージャーがインフラやワークロードにどのような影響を与えうるかについてのインサイトが得られます。

クラウドネイティブ保護プラットフォームによってクラウドのリスクに優先順位を付けるもう 1 つの方法は、クラウドの変化に合わせた動的な調整です。 たとえば、新しいリソースが起動したり、クラウドの設定が変更されたりするたびに調整が行われます。

CNAPP は、水面下で絶えず稼働することで、アクセスの問題を特定し、必要に応じて調整を実行します。 ということは、現在のクラウドの状態に基づいた、各エクスポージャーの継続的な再評価が確実に行われることになります。 ポリシーに準拠した変更を自動的に調整し、適用することで、クラウドのリスクを低減できます。

最後に、CNAPP は、クラウドのリスクを常に監視し、手作業や人間の介入なしに自動修正するためにも使用できます。 担当者は、より優先順位の高いクラウドセキュリティのタスクに集中できるようになります。 クラウドが変更されるたびに手作業で介入しなければならないとしたら、非常に労力がかかるでしょう。

ビジネスクリティカルなアプリのリスク優先順位付け

クラウドセキュリティにまだあまり馴染みのない方、または CNAPP を検討中の方は、CNAPP によってビジネスのレジリエンスがどのように向上するのかを理解していただく必要があります。

CNAPP は、クラウドのエクスポージャーを評価し、最もビジネスクリティカルな資産とアプリケーションにまず焦点を当てることができるので、最も価値があり、機密性の高いクラウドリソースに優先的に対応することができます。

CNAPP はすべての脆弱性を同じようには扱いません。 従来のオンプレミスの脆弱性管理ツールのようには動作しません。 組織全体のすべての脆弱性への対処を求めてくることもありません。

CNAPP は、必要不可欠なクラウドサービスに影響を及ぼすリスクを発見し、 最も影響の大きな問題を自動的にランク付けして、 担当者がクラウドインフラの最も重要な部分を保護することに一点集中できるようにします。組織のビジネスに最も大きな影響を与える可能性のあるエクスポージャーを特定します。

文脈を踏まえたガバナンスとコンプライアンス管理

従来の IT セキュリティと比べると、クラウドセキュリティは比較的新しいものです。 クラウドセキュリティが抱える課題のひとつに、急速に変化し複雑化するガバナンスとコンプライアンスの管理に遅れをとらずについていくことがあります。

ここで CNAPP は大きな力を発揮します。 管理業務を統合し、自動化して、自組織固有のクラウド環境に合わせることができるのです。

CNAPP は、クラウドを継続的に監視することによって、コンプライアンスや規制上の問題を常に確認しています。 組織内のクラウドセキュリティポリシーだけでなく、責任の範疇となるすべてのセキュリティとコンプライアンスのフレームワークを確認します。

CNAPP は文脈を踏まえたガバナンス管理により、クラウドの変化に応じて、クラウドのワークロードとデータ要件に自動的に適応します。

また、CNAPP は、即座に自動修正を開始し、エクスポージャーに対処することもできます。 あるいは、対応するべき適切な担当者に警告を発することも可能で、セキュリティ上の問題で手作業による介入が必要な場合には、その問題を解決してコンプライアンスを維持するためのベストプラクティスのガイダンスを提供することもできます。 これは、不正侵入、コンプライアンス監査が不合格といった苦い経験をせずにクラウドリスクを発見するための、事前対策型の手法です。

リアルタイムのインフラ変更への動的な適応

インフラの変化にリアルタイムで動的に適応できることも、クラウドセキュリティの推進要因です。

CNAPP はクラウドを継続的に再評価し、必要に応じてセキュリティを自動的に調整します。 これは、クラウドセキュリティ手法を拡張する上での鍵となります。

CNAPP は、クラウドリソースが現れると自動的に新しいリスクを探して検出します。 これはつまり、従業員や外部のコンサルタントが手作業でリスクを検索する必要がないということです。 また、規制や、業界や社内のポリシーに従った一貫した制御も適用します。

CNAPP は、SDLC のすべての段階におけるセキュリティチェック、コンプライアンス検証、脆弱性評価を自動化することによって、継続的インテグレーション (CI) と継続的デリバリ (またはデプロイメント) (CD) (CI/CD) のパイプラインにセキュリティを統合します。

CI/CDパイプラインで監視と脅威検出をリアルタイムで行うと、DevOps が新しいクラウドビルドを開始するたびに、コード、インフラ、コンテナにセキュリティ上の問題がないかが確認できるので、 設定ミスやその他のエクスポージャーを開発の初期段階で突き止めることができます。

DevSecOps における CNAPP の概要

CNAPP は、開発中にセキュリティ問題を発見すると、自動的に開発者にアラートを発することができます。 開発者の対応を促して、安全でないコードが本番環境にプッシュされないようにするしくみです。

また、CNAPP は、 たとえば IaC スキャンやコンテナイメージスキャンの使用や、ポリシーの適用などにより、新規の更新やコード変更にも対応できます。

従来は、開発者がクラウドアプリを作成し、導入後にセキュリティチームがエクスポージャーに対処していました。しかし、それではエクスポージャーが増加し、 攻撃者がセキュリティギャップを発見して、両チームがその存在に気づく前に悪用する可能性がありました。

早期のセキュリティ検出のための自動化とオーケストレーション

CNAPP は、自動化とオーケストレーションによって、コードが構築されて展開されると同時にリスクがないか診断します。従って開発者のワークフローを遅らせることなく、適切なセキュリティ制御が即座に追加されます。 ワークフローが滞ることは、長い間、セキュリティを SDLC に統合する際の障壁でしたが、CNAPP によってその障壁が取り除かれました。

継続的なセキュリティ評価による CI/CD パイプラインの保護

継続的なセキュリティ評価は、CNAPP の機能にとって極めて重要です。 CNAPP は、ライフサイクルの各段階でセキュリティ評価を実施するので、 CI/CD プロセスを通過するすべての要素において、セキュリティが最優先されるようになります。 たとえ新しいクラウドアプリやサービスが急いでプッシュされたとしても、欠陥のあるコードが本番環境に紛れ込む可能性は低くなります。

DevOps と CI/CD パイプラインのためのクラウドネイティブセキュリティプラットフォーム

CNAPP は、クラウドネイティブなセキュリティソリューションとして、ゼロから構築されています。従って、クラウド用に作られていない他のツールとは異なり、DevOps 環境や CI/CD 環境とシームレスに統合できるのです。 CNAPP を使用すれば、DevSecOps の原則を複数のクラウドサービスや複雑なクラウド環境に一貫して適用できます。

コンテナやサーバーレス機能などの、他のクラウドネイティブツールとの相性も抜群です。

CNAPP の最も重要な機能は自動化機能と修正機能です。 両方の機能が動的なクラウド環境における複雑なクラウドセキュリティプロセスの合理化を支援します。

たとえば、継続的なスキャンを自動化すれば、脆弱性、設定ミス、過剰な権限、その他のクラウドのエクスポージャーを探すことができます。新しいリソースが素早く現れたり消えたりする状況でも実行されます。

自動化機能によって、CNAPP は新規のリソースを即座にスキャンして修正の優先順位をつけ、問題を解決することもあれば、より複雑な問題に対応するよう担当者にアラートを発することもできます。

自動修正機能を使用すると、一般的な既知のクラウドセキュリティ問題への対応に必要な時間と手作業が削減されます。 たとえば、設定で以下のことが実行できます。

• 特定の脆弱性に対するパッチの自動適用
• 過剰な権限の削除
• クラウドストレージバケットへの、暗号化などのセキュリティルールの適用

複雑な問題であっても、CNAPP の支援付き修正機能を使えば、人的ミスを減らして対応を迅速化できます。

自動化されたポリシー適用

CNAPP によってポリシーの適用を自動化できます。 クラウド全体に特定のセキュリティとコンプライアンスのポリシーを適用することで、リソースやサービスをリアルタイムで管理することができます。

たとえば、セキュリティポリシーで、プライベートストレージリソースの使用が義務づけられているとします。 CNAPP は、設定ミスを自動的に調整し、パブリックアクセスを取り除くことができます。

同様に、特定の種類のリソースが特定のコンプライアンス要件を使用するようにポリシーを設定することもできます。 たとえば、ネットワークに基づいてデータベースへのアクセスを自動的に制限することができます。

インシデント対応のためのワークフローの自動化

CNAPP を使えば、インシデント対応のワークフローを自動化できます。 セキュリティエクスポージャーがあればいつでも、ポリシーに基づいた一貫した対応を適用することが可能で、 クラウドエクスポージャーが発生した場所を問わず、どこでも行うことができます。

また、事前に設定したインシデント対応プレイブックに従ってワークフローを設定することもできます。 たとえば、クラウド上で異常が検出された後、プラットフォームからアラートを送信させ、担当者が問題に対処する準備をしている間、CNAPP は影響を受けたクラウドリソースを隔離できます。 そして、次のステップのフォレンジック調査をトリガーします。

CNAPP はインシデント対応時間を短縮する上で非常に重要な役割を果たしています。

さらに、インシデント対応をさらに最適化させて、各エクスポージャーの深刻度や文脈に基づいて、軽減や修正を動的に優先順位付けします。

たとえば、従業員のノートパソコンの更新よりも、資産の深刻な脆弱性の修正を優先させることができます。 このようにして、CNAPP はセキュリティを妥協せずにリソースを最大限に活用することを可能にします。

自動化されたコンプライアンスと修正の機能

CNAPP の自動化されたコンプライアンスと修正の機能は、コミュニケーションの合理化、適合した文書の作成、レポートの生成などによって、複数の事業部門やチーム間の連携をサポートします。

コンプライアンス達成と迅速かつ正確な修正のために、CNAPP は業界の要件、法的要件、およびその他のコンプライアンス要件に照らしてクラウドの制御を常に評価しています。 評価結果によってはリアルタイムで制御を実施し、未解決の問題についてアラートを送信したり、レポートを作成したりすることができます。

自動化されたクラウドコンプライアンスレポートは、監査に不可欠です。 それだけでなく、監査の準備に一般的に必要とされる手作業を削減します。CNAPP が常に稼動していれば、担当者は業務により大きな影響を与える可能性のある他の問題に取り組むことができます。

さらに、自動化されたコンプライアンスチェックを CI/CD パイプラインに統合することもできます。 これにより、本番稼動するすべての新しいアプリやサービスのセキュリティが良好であるという確認が得られます。

クラウドネイティブアプリケーションが CNAPP によって得られる主な利点には、以下のようなものがあります。

1. 包括的なクラウドセキュリティ
2. 脅威の検出と対応の強化
3. 管理の簡略化
4. クラウドセキュリティの複雑性とアラート疲れの軽減
5. 自動化されたポリシー適用とクラウドのコンプライアンスチェック
6. クラウドの設定ミスの先行的な特定と軽減
7. 一貫したセキュリティポリシー
8. クラウドガバナンスと監査準備の改善
9. 内部関係者による脅威や特権誤用に対する保護
10. 自動化とオーケストレーションによる運用オーバーヘッドの削減
11. マルチクラウド環境とハイブリッド環境全体にわたるセキュリティの統合
12. クラウド資産と設定のリアルタイムでの可視化
13. ビジネスへの影響に基づいたリスクの優先順位付け
14. セキュリティチーム、DevOps チーム、コンプライアンスチーム間の連携の強化
15. CI/CD パイプラインにおける継続的なセキュリティ評価
16. より迅速化、自動化されたリスク修正
17. 動的で弾力性のあるクラウドワークロードのためのスケーラビリティ

CNAPP は、以下のような方法でクラウドのワークロードを保護します。

• ホスト、コンテナイメージ、サーバーレス機能を診断し、脆弱性や設定ミスがないかデプロイメント前に確認します。
  • 例: AWS Lambda 関数の安全でない設定を検出し、デプロイメント前にセキュリティアップデートを実行します。
• ワークロードの監視をランタイム中に行い、不審な動作が発見された場合にはブロックします。
  • 例: アプリが通常とは異なる API 呼び出しを行った場合に、アクティビティにフラグを立てたり、停止させたりします。
• アプリ、インフラ、ネットワークなどのクラウドスタックのすべてのレイヤーを継続的にスキャンし、修正に優先順位をつけるための実用的なインサイトを提供します。
  • 例: Google Cloud Platform の仮想マシンに重大な OS の脆弱性が特定された場合、パッチを適用します。
• ワークロードが移動、拡大する中で、すべてのクラウドプロバイダーに対してコンプライアンスに準拠した一貫性のある保護対策を徹底します。
  • 例: AWS と Azure 内でサービスが拡張または移動しても、両方で同じセキュリティポリシーを適用します。
• コンプライアンスチェックを自動化し、コンプライアンス違反の設定を修正することで、ワークロードを規制基準に適合させます。
  • 例: GDPR に準拠するよう、Azure のすべてのデータストレージバケットで自動的に暗号化を実施します。
• 権限を監視、管理することで IAM を最適化し、過剰な権限や使用されていない権限が発生する可能性を低減します。
  • 例: AWS で過剰な権限を持つ IAM ロールにフラグを立て、最小権限の設定を適用します。
• セキュリティのベースラインから逸脱した設定変更を検出して修正します。
  • 例: 誤って公開された AWS のセキュリティグループを、自動的に再設定して非公開にします。
• アプリケーションのトラフィックを検査して悪意のあるペイロードがないか確認し、SQL インジェクションやクロスサイトスクリプティングを防止します。
  • 例: クラウドホストデータベースに向けられた不審な SQL クエリをブロックします。
• ワークロードの拡大や縮小に合わせて、必要に応じてセキュリティ制御を適応させます。
  • 例: GCP の自動スケーリンググループが新しいインスタンスを立ち上げると、最新のセキュリティポリシーを自動的に実装します。
• 転送中および静止中のデータの 暗号化を実施します。
  • 例: Kubernetes クラスタ内のサービス間を移動するデータを暗号化します。
• Terraform や CloudFormation のような IaC テンプレートをスキャンして、セキュリティ上の問題がないかどうかを確認し、安全でない設定の展開を防ぎます。
  • 例: IaC の設定に、AWS のオープンなセキュリティグループが含まれていたとします。 CNAPP はこの問題にフラグを立て、問題が本番環境へ移行するのを阻止できます。
• Kubernetes クラスタのモニタリングと保護によって、安全な設定、ロールベースのアクセス、コンテナイメージのスキャンといった、コンテナオーケストレーションのベストプラクティスを確実に実行します。
  • 例: Kubernetes 環境の古い脆弱なベースイメージを検出し、コンテナのデプロイメントを阻止します。
• シフトレフトのセキュリティを、クラウドアプリ開発の初期段階に組み込みます。
  • 例: 開発者のローカル環境にあるコードをスキャンして、セキュリティエクスポージャーを先行的に発見します。
• サービスアカウント、API キーなどのアイデンティティエクスポージャーを低減します。
  • 例: CNAPP はセキュリティチームに自動アラートを送信します。 このアラートには、Git リポジトリ内で過剰な権限が検出された場合にキーのローテーションを行うように、などの推奨事項が含まれます。

CNAPP は、HIPAA や SOC2 のような一般的なコンプライアンスフレームワークに対するコンプライアンスチェックを自動的かつ継続的に実行することによって規制遵守を支援します。 また、組織独自の内部ポリシーを作成することもできます。

手作業でセキュリティチェックを行っているセキュリティ部門は、コンプライアンスギャップが発生する可能性を増やしています。侵害が発生したり、罰金や罰則が科されたりするおそれを招いています。

コンプライアンスのもう 1 つの重要な要素は、文書化と監査証跡です。 担当者が忙しいと、取り組むべき文書の作成を後回しにしたり、急いだりするためミスが発生する可能性があります。

CNAPP によってコンプライアンスの文書化と報告が自動化されるため、これらのプロセスを合理化できます。 また、コンプライアンス態勢をいつでもリアルタイムで把握することもできます。

詳細なコンプライアンスレポートやライブラリにある既成のレポートを使用すれば、監査人にコンプライアンス状況をいつでも示すことができます。 不備がある場合は、これらのレポートを修正の計画とスケジュールの作成に活用することもできます。

最後に、支援付き自動修正機能を備えた CNAPP は、発生した問題を即座に検出できます。 たとえば、組織が HIPAA のデータセキュリティとプライバシーに関するすべての要件を満たさなければならない場合、 システムは自動スキャンを行い、暗号化されていないデータベースを洗い出すことができます。

ポリシーに基づいた制御が組み込まれているため、暗号化プロトコルを適用して自動的に問題を解決して HIPAA 基準を満たすことができます。

以上の機能によりコンプライアンス上の問題が発生する可能性が低くなり、クラウドがリスクにさらされている時間も短縮されます。

PCI-DSS や HIPAA などに準拠するための CNAPP セキュリティツール

クラウドネイティブのプラットフォームは、クラウドインフラ、資産、設定、データフローの継続的な監視によって、具体的な規制要件に対するリアルタイムのコンプライアンス監査をサポートします。

クラウドが急速に変化する中、手作業によるコンプライアンスチェックは非効率的であり、リスクエクスポージャーを増大させます。 CNAPP ツールは、違反を発見し、検出と警告を自動化し、リスクに関するレポートを即座に作成することができます。

CNAPP セキュリティツールは、リアルタイムの監査により、SOC2、ISO 27001 およびその他の基準の遵守に以下のように対応します。

• SOC2: クラウドインフラを監視し、安全でないアクセス制御、過剰な権限、パッチ未適用の脆弱性など、データセキュリティと可用性の問題を確認します。 設定ミスで一般アクセスが可能になっているサーバーを発見すると、即座にフラグを立て、 ポリシーに基づいた修正を開始したり、対応の担当者に警告を発したりすることができます。
• GDPR: GDPR は、EU 市民の個人情報を保護するために、厳格なデータセキュリティ要件を定める規制ですが、 EU 内外の企業に適用されます。 CNAPP を使って EU 市民の顧客データを自動的にスキャンすると、 EU 域外の未承認地域に保存した、保護対象になる情報をすべて見つけることができます。 そのような情報が発見された場合には、GDPR のデータレジデンシー要件を満たすよう、CNAPP を使って承認された地域に即座にデータを移動させることができます。
• PCI DSS: 電子取引事業者は、顧客の支払いデータをすべて保護する必要があります。 規模が大きければ大きいほど、顧客データが多ければ多いほど、その難易度は高くなります。 しかし、CNAPPは、クラウドホスト型の決済処理システムに接続された、保護されていない API エンドポイントを見つけることができます。 また、機密性の高いカード会員データを外部に公開されたままにせず、IP 範囲を自動的に制限し、安全な認証を義務付けることができます。
• ISO 27001: ISO 27001 の要件には、厳格なリスク管理統制を含む、情報セキュリティ管理システム (ISMS) の利用方法がまとめられています。 クラウドインスタンスの診断は、CNAPP から自動的に行うことができ、必要以上に大きなグループが機密データにアクセスできることを発見した場合、そのアクセスを制限して、 最小権限アクセス制御を適用することができます。

ロールベースのアクセス制御とガバナンス

ロールベースのアクセス制御 (RBAC) とガバナンスは、CNAPP が安全で規制に適合したクラウド環境を維持するのに役立ちます。

• きめ細かな権限を使用することで、ユーザーやサービスは、それぞれの業務に必要なリソースにのみアクセスできます。 これにより、不正なデータアクセスや権限の昇格が防止できます。
• リアルタイムでアクセスを継続的に監視し、ロギングすることで、誰が、いつ、どこから、どのリソースにアクセスできるかが分かります。CNAPP はこのデータを使って、自動的に異常アラートを発することができます。
• 事前に定義された RBAC ポリシーを使用して、コンプライアンスフレームワークと内部ポリシーに基づいた基準を適用します。 ユーザーがこれらの基準やポリシーから逸脱していることが検出されれば、即座にアクセスを制限できます。
• 規制に適合したアクセス制御を確実に実行します。
• アクセス履歴やポリシーの適用などの、ガバナンスやアクセス制御に関するコンプライアンスレポートを自動生成し、セキュリティインシデントに関連するすべてのアクセスの追跡が可能です。

他のクラウドセキュリティソリューションと比較すると、CNAPP は、より包括的なクラウドセキュリティを提供します。

クラウドワークロード保護、CSPM、コンプライアンスモニタリングが単一のプラットフォームに統合されているため、クラウドのセキュリティを完全に可視化できます。 これは、ばらばらのツールでは実現できないことです。

CNAPP vs CSPM

クラウドセキュリティに関して、CNAPP と CSPM にはどのような違いがあるのでしょうか。 これは重要な問いです。

CNAPP は、CSPM と CWP とコンプライアンス監視機能を単一のソリューションに含めることで、包括的なエンドツーエンドのセキュリティを提供します。

CSPM は、主にクラウドの設定や態勢の管理に重点を置き、設定ミスを防ぎます。 また、クラウドネイティブスタック全体をより詳細に可視化し、リスクの軽減を自動化します。

CNAPP は CSPM より広い範囲をカバーします。 リスクベースのアプローチで、複数のクラウドレイヤーにわたってエクスポージャーを特定するソフトウェアです。

CNAPP vs CWPP

CNAPP と CWPP は、どちらもクラウドを保護するものですが、その対象範囲や機能が異なります。 CWPP は、仮想マシン、コンテナ、サーバーレス機能などのクラウドワークロードの脆弱性、サイバー脅威、設定ミスを監視します。

CWP と CSPM の機能を統合することで、CNAPP はリアルタイムの可視化によってクラウドワークロードを保護します。 CNAPP では、エクスポージャー管理のベストプラクティスを簡単に利用して、クラウドネイティブスタックにポリシーを適用できます。 マルチクラウド環境やハイブリッド環境におけるセキュリティリスクに、より効果的に対処できます。

CNAPP vs 従来のセキュリティフレームワーク

CNAPP と従来のセキュリティフレームワークは連携できますが、異なるアプローチを使用しています。

従来のセキュリティフレームワークは、レガシー IT 環境のようなオンプレミスのシステムや資産を対象としています。 動的なクラウド環境向けではないため、 複雑なクラウドネイティブ環境内では充分に機能しません。 CNAPP はクラウドネイティブを意図したものであり、クラウドセキュリティのために構築されています。

CNAPP は、以下のセキュリティツールと統合できます。

• CIEM
• CWPP
• CSPM
• DSPM
• KSPM
• セキュリティ情報イベント管理 (SIEM)
• セキュリティのオーケストレーション・自動化・応答 (SOAR)
• ウェブアプリケーションスキャン (WAS)
• IAM
• 脆弱性診断ツール
• EDR
• クラウドネイティブ ファイヤーウォール
• アイデンティティ フェデレーションツール
• コンテナセキュリティツール
• 侵入検出・防止システム (IDPS)
• データ損失防止 (DLP)
• クラウドアクセスセキュリティブローカー (CASB)
• 脅威インテリジェンス プラットフォーム

CNAPP による包括的なセキュリティエコシステムの構築

CNAPP 内に包括的なセキュリティエコシステムを構築するために考慮したい 10 のベストプラクティスは以下のとおりです。

1. 組織固有のクラウドセキュリティのニーズを評価する。
   1. コンプライアンス適合義務を取り入れる。
   2. クラウドインフラの複雑性を理解する。
2. クラウドネイティブのファイヤーウォールを使用して、送受信トラフィックを監視および制御する。
   1. セキュリティポリシーを適用する。
   2. クラウドネットワークの境界を保護する。
   3. クラウドへのアクセスには信頼できるソースのみを使用する。
3. SIEM システムおよび SOAR システムと統合する。
   1. セキュリティイベントの監視を一元化する。
   2. インシデント対応を自動化する。
   3. クラウド全体でアラートのオーケストレーションを行う。
4. CNAPP と統合する脆弱性診断ツールを導入する。
   1. クラウドのワークロード、アプリケーション、コンテナ内の脆弱性を継続的に検出し、対処する。
   2. 攻撃者に悪用される前に、クラウドのエクスポージャーを特定する。
5. CSPM を使用して、クラウドの設定を監視して管理する。
   1. ベストプラクティスに従う。
   2. クラウドの設定ミスにフラグを立て、アラートを発し、修正する。
6. IAM ツールを統合してアクセス制御を実施する。
   1. ユーザーとシステムに適切な権限が付与されていることを確認する。
   2. マルチクラウド環境やハイブリッド環境全体でアイデンティティのガバナンスとセキュリティを徹底する。
7. DLP と CASB を導入し、データ流出を阻止する。
   1. ユーザーのアクティビティを監視する。
   2. クラウドサービスとオンプレミスシステム間を行き来する機密データを保護する。
8. CWPP と KSPM を統合し、ワークロードとコンテナをリアルタイムで保護する。
   1. 監視、リスク検出、ポリシーに基づく修正を自動化する。
9. EDR ツールを統合してエンドポイントを保護し、ユーザーの不審な挙動を発見して対処する。
10. リアルタイムの脅威インテリジェンスを統合する。
    1. 新たな脅威や脆弱性に関する情報を常に入手する。
    2. Tenable Research のような業界最先端の調査結果を利用する。
    3. 事前対策型のセキュリティ制御を実施する。
    4. AI と機械学習を使って、インテリジェンスデータを最大限に活用する。

SOC における CNAPP の役割とは?

CNAPP は、セキュリティオペレーションセンター (SOC) における重要なツールです。 すべてのクラウド環境にわたってセキュリティを自動的に可視化し、クラウドのリスク評価を実施して脅威を即座に検出します。

CNAPP は MSP と MSSP をどのように支援するのか

マネージドセキュリティサービスプロバイダー (MSSP) は、CNAPP を使用して、すべてのクライアントのクラウドセキュリティを 1 つのプラットフォームで管理できます。

CNAPP は、複数のクライアントや環境全体にわたって、継続的でスケーラブルなクラウドセキュリティとコンプライアンスサービスをサポートします。 クラウドリスクのリアルタイムのインサイトによって、効率を高め、顧客とのコミュニケーションを改善することができます。 MSP は、CNAPP の自動修正ガイダンスを使用して問題を軽減し、顧客のサイバーリスクとビジネスリスクを減らすことができます。

1. 明確なセキュリティポリシーを確立し、ビジネス目標と整合させる。
2. クラウドの資産と設定を継続的に評価し、管理する。
3. どのクラウド資産が運用上最も重要であるか判断する。
4. リアルタイムのモニタリングを実施してリスクを検出する。
5. CNAPP を既存の IAM ツールと統合する。
6. クラウドアカウント全体にわたって最小権限アクセスを適用する。
7. 脆弱性診断と修正の自動化を実現する。
8. 変化するクラウドの脅威状況と進化するコンプライアンス要件に適応するために、セキュリティポリシーを定期的に見直し、最適化する。
9. クラウドネイティブファイヤーウォールを使用して、クラウドの境界を越えてトラフィックを制御および監視する。
10. SIEM システムやSOAR システムとの統合によってインシデント対応を自動化する。
11. 信頼できるフレームワークを使用して、継続的なセキュリティとコンプライアンスを徹底する。
12. CSPM 戦略を確立し、CSPM ツールとの統合を行う。
13. CI/CD パイプライン全体で、DevSecOps のためのセキュリティ自動化を実装する。
14. 継続的な脅威と脆弱性の評価、管理手法を採用する。
15. 最小権限アクセス制御を導入する。
16. IaC 診断を採用する。
17. コンテナとサーバーレスのセキュリティを導入する。
18. 最小権限を適用するために、CIEM を活用してアイデンティティと権限を監視する。
19. ワークロードを保護するために、CWPP との統合を確実に行う。
20. 脅威インテリジェンス、AI、機械学習を統合し、予測分析を改善する。 CNAPP は、攻撃者に悪用されるリスクが最も高いリスクを発見します。 事前対策型の脅威管理と (ビジネスへの影響に基づく) 正確な脆弱性の優先順位付けもにも対応しています。

クラウドネイティブセキュリティに最適な CNAPP ソリューションには、以下が含まれています。

1. すべてのクラウドリソース (アイデンティティ、ワークロード、データ、インフラ、コンテナ、サーバーレス機能) とすべてのセキュリティエクスポージャーに対する、フルスタックの可視性
2. 有害な組み合わせを発見し、その修正に優先順位を付ける自動化機能
3. DevOps プロセスに統合された、自動化された継続的ガバナンス
4. カスタマイズ可能で自動化された、コンプライアンスの管理とレポート
5. 平均修正時間 (MTTR) を短縮するための、クラウドエクスポージャーの修正の詳細なガイダンス
6. クラウドのニーズの変化に応じて柔軟に拡張できる能力
7. CSPM、CIEM、CWP、KSPM、DSPM、クラウド検出と対応 (CDR)、IaC、セルフサービスのジャストインタイム (JIT) アクセスとの統合
8. 高度な脅威検出、AI、機械学習機能
9. 既存のセキュリティインフラやツールとの統合
10. 継続的なロギングと監視機能
11. セキュリティにおける顧客と CSP の役割を明確にし、効果的に管理する機能を含む、責任共有モデルのサポート
12. すべてのクラウド環境にわたって最小権限アクセスを適用し、権限を管理するための、ロールベースの強固なアクセス制御
13. ビジネスクリティカルな資産に基づいてリスクを評価し、修正を優先順位付けするための、文脈を踏まえたリアルタイムの分析とインサイト
14. AWS、Azure、GCP、その他のプロバイダーの間でのセキュリティ管理を簡素化する、ネイティブなマルチクラウド互換性
15. セキュリティとインシデント対応の合理化を可能にする、SIEM システムや SOAR システムなどの、SOC ワークフロー用の事前構築済みの統合機能

DevOps ワークフローの保護

CI/CD ステージ内での IaC スキャンと自動セキュリティチェックにより、セキュリティを DevOps パイプラインに統合します。 クラウドネイティブアプリ開発の各工程に、セキュリティ制御を自動的に追加することで、 安全なコードの提供と、開発全体にわたるベストプラクティスとの整合が保証されます。

マイクロサービスとコンテナの保護

クラウドの脆弱性を包括的に可視化し、ポリシーを適用してコンテナ化されたワークロードをリアルタイムで保護します。 Kubernetes のようなコンテナオーケストレーションシステムとの統合により、CNAPP はすべてのクラウド管理環境にわたってセキュリティをサポートします。

Kubernetes セキュリティ

オンプレミスとクラウドで管理されている Kubernetes クラスタのワークロードを保護します。 Kubernetes 環境を保護するトップ CNAPP ベンダーは、Helm チャートをスキャンし、ポリシーを適用して、ワークロードを保護できます。 CIS Kubernetes ベンチマークのような業界のベストプラクティスに対する継続的なコンプライアンスチェックに使用できます。

マルチクラウド環境とハイブリッド環境の保護

AWS、Azure、GCP などの複数のクラウドプロバイダーにわたるクラウドリソースを自動的に検出し、インベントリを作成します。 マルチクラウドのインフラを完全に可視化し、ハイブリッド環境全体のセキュリティを継続的に管理します。

優先順位付け

CNAPP はクラウドインフラを脆弱性からどのように保護しますか?

CNAPP は、クラウドインフラをセキュリティエクスポージャーから保護します。 包括的で文脈を踏まえたインサイトを提供するため、重大なリスクに優先順位をつけ、解決するのに役立ちます。 ワークロード、コンテナ、インフラ内の脆弱性を発見し、セキュリティギャップの先行的な修正をサポートします。

コンプライアンスの管理

コンプライアンス管理を簡素化します。 GDPR、NIST、PCI DSS などの主要な規制フレームワークとセキュリティを統合します。 そして、多様なクラウド環境全体にわたるコンプライアンスに関わる監査と報告業務を合理化します。

IaC のスキャンとポリシーの適用

インフラのコード化テンプレートをスキャンして、デプロイメント前にセキュリティリスクを発見します。 IaC スキャンを DevOps パイプラインに統合することで、設定ミスが本番環境に移行されるのを阻止できます。

脅威の検出と対応の自動化

継続的な脅威の監視と自動検出を行います。 自動化された異常検出と挙動分析を使用して、疑わしいアクティビティをすばやく特定して対処します。 これは、ハイブリッド環境とマルチクラウド環境において重要な機能です。

DLP によるデータの保護

クラウドのデータフローと使用状況を監視し、機密データを安全に保ちます。 データ損失防止ツールと統合すれば、侵害リスクを軽減できます。

コンプライアンスの継続的監視と報告

自動化されたコンプライアンスチェックとレポート機能によって適合状態が継続的に監視できるので、攻撃者や監査担当者よりも先に問題を発見します。

金融業界 での CNAPP の利用

投資銀行などの金融機関では、重要な顧客データを AWS に保存することがあります。AWS は安全でコンプライアンスの条件を満たすクラウド環境であり、以下のような金融規制にも対応しています。

• 決済処理に関する PCI-DSS
• 財務報告に関するサーベンス・オクスリー (SOX) 法
• グラム・リーチ・ブライリー法 (GLBA)
• その他

例: 取引データを安全に保存するために Amazon S3 を使用している組織が Amazon Redshift を使用して、取引活動に関するリアルタイムの分析を行っているケース。

CNAPP を使えば、このデータを継続的に監視して、問題を洗い出してコンプライアンス適合を確保します。 機密性の高い財務データを、保存時および転送時に暗号化することなどが可能です。

金融サービスのセキュリティに最適な CNAPP プラットフォームの選び方

以下の機能や能力があるかご確認ください。

• 機密性の高い財務データや取引の安全な管理
• 自組織のリスク管理フレームワークとのシームレスな統合
• 資産の重要度とエクスポージャーに基づく、リアルタイムのリスク評価と優先順位付け
• SOC 監査や財務報告要件に対応する詳細な監査機能

ヘルスケア業界 での CNAPP の利用

HIPAA によると、医療保険の適用対象となる事業体および関連業者は、患者の医療データのプライバシーとセキュリティを、その可用性、機密性、完全性を含めて保護する必要があります。

例: 病院のスタッフがモバイル機器を使用して、 回診中やリモートワーク中に、保護対象の電子医療情報 (ePHI) にアクセスしているケース。 モバイル機器は、盗難、紛失、または安全でないネットワーク上での使用に対して脆弱です。

この場合、CNAPP を使用してクラウドネイティブの医療アプリを継続的にスキャンすることで、ePHI への過剰なアクセス権限の有無を確認できます。 たとえば、ある従業員が自分の職務に必要のない、機密性の高い患者の記録にアクセスできる状態であった場合、職務に関係のあるデータにしかアクセスできないよう、自動的にアクセスを制限できます。

また、クラウドセキュリティをモバイルデバイス管理 (MDM) システムと統合すれば、安全なアクセスプロトコルを自動的に適用することができ、 不正アクセスの試行や通常と異なる挙動などの異常がより迅速に検出できます。 また、侵害されたアカウントを自動的に分離し、侵害によるリスクを最小限に抑えることもできます。

ヘルスケア業界に最適な CNAPP プラットフォームの選び方

以下の機能や能力があるかご確認ください。

• デバイス管理とモバイルセキュリティ
• HIPAA およびその他の医療業界規制のためのコンプライアンスツール
• 医療機器やクラウドベースの保健プラットフォームを保護するための継続的な脆弱性診断機能
• ヘルスケア業界仕様の DLP ツール

政府機関での CNAPP の利用

機密データを扱う政府機関や請負業者は、データを保護する必要があります。 こうしたデータには機密情報、管理された非機密情報 (CUI)、連邦契約情報 (FCI) が含まれており、 国家の安全を守るために重要なものです。

クラウドプラットフォームは、FISMA、NIST、FedRAMP などの公共部門のセキュリティ標準に準拠している必要があります。

例: 防衛・情報サービス専門業者が国防総省 (DoD) から業務を請け負い、 FedRamp に準拠したクラウド環境内で、機密情報を管理しているケース。

サイバーセキュリティ成熟度モデル認証 (CMMC) に準拠するために、CNAPP を使用してアクセスやポリシー違反を継続的に監視することができます。 また、CNAPP で CMMC コンプライアンスチェックを自動化し、 業者のインフラがCMMC が要求する成熟度レベルを確実に満たしていることを確認できます。さらに、DoD 監査の準備を手作業で行うという、時間のかかる作業を減らすためにも CNAPP を利用できます。

政府機関のデータに最適な CNAPP プラットフォームの選び方

以下の機能や能力があるかご確認ください。

• NIST や FedRAMP などの政府機関向けセキュリティ標準に準拠できる能力
• すべてのクラウド資産のエンドツーエンドの可視性
• 機密性の高い政府システム向けの、セキュアなアクセス管理およびアイデンティティ管理
• 公共部門の監査要件を遵守するための継続的な監視と報告

エネルギー業界での CNAPP の利用

石油・ガス業界のようなエネルギー企業は、CNAPP ソリューションを使用することで、産業用制御システム (ICS) やオペレーショナルテクノロジー (OT) とのクラウド接続を保護してNERC 重要インフラ保護 (CIP) のような業界標準に準拠することができます。

例: SCADA や ICS システムのような重要インフラをクラウドで管理する、エネルギープロバイダーのケース。 NERC CIP の要件を義務付けられている場合は、すべての機密データを保護する必要があります。 この場合、規制当局による罰則を回避するため、システムの潜在的なリスクを監視することが必要です。

エネルギー業界に最適な CNAPP プラットフォームの選び方

以下の機能や能力があるかご確認ください。

• エンドツーエンドの保護を実現する、セキュアなクラウド環境と IT/OT 統合環境
• リアルタイムのセキュリティ更新による産業制御システムの監視
• NERC CIP 標準や、その他のエネルギー業界規制の遵守
• エネルギー環境でよく使用されるレガシーシステムやリモート資産の脆弱性を検出し、対処するための保護ツール

教育業界での CNAPP の利用

教育機関では、学生や教員のデータを保護しなければなりません。 また、以下のようなさまざまなセキュリティ要件も満たす必要があります。

• 家族の教育の権利およびプライバシー法 (FERPA)
• 児童オンラインプライバシー保護法 (COPPA)
• その他

例: 学生、教員、研究に関するデータを作成、保存、送信している大学のケース。 成績評価の記録後、学部関係者が学生の評価をクラウド上に公開してしまいました。

この場合、CNAPP を使用して問題を即座に検出し、ポリシーに基づいた設定を自動的に適用してデータアクセスを制限することができます。 より注意が必要があるセキュリティインシデントについては、ネットワーク管理者に向けてアラートを発したり、適切なアクセス制限のベストプラクティスを提案して改善を求めることもできます。

教育業界に最適な CNAPP プラットフォームの選び方

以下の機能や能力があるかご確認ください。

• 生徒や児童のデータを規制に従って取り扱っていることを確認するための、FERPA と COPPA に特化した、自動化されたコンプライアンスチェック
• 承認済みユーザーのみがデータにアクセスできるようにする、教職員、学生向けの安全なアクセス制御
• 学術データや研究データを保護するための、セキュアなクラウドストレージやクラウドネイティブ学習アプリケーション
• 既存の学生情報システム (SIS)、学習管理システム (LMS)、研究データ管理プラットフォームとのシンプルな統合

1. クラウド環境は多くの場合、複数のサービス、プラットフォーム、セキュリティツールで構成されており、効果的な統合が困難
   1. CNAPPは、セキュリティ制御を単一のダッシュボードに統合します。 既存のツールが使用可能であり、単一の信頼できる情報源によって可視性を得ることができます。
2. クラウドネイティブのアプリケーション環境は、動的で分散化されており、マイクロサービス、コンテナ、サーバーレス機能などが含まれているため、セキュリティ管理が複雑
   1. CNAPP は、継続的な設定ミスのスキャンや脆弱性診断によって、クラウドネイティブのアーキテクチャを包括的にカバーすることができ、クラウドの変化に合わせてポリシーを自動的に調整します。
3. マルチクラウド環境において GDPR、PCI DSS、SOX などの規制へのコンプライアンスを維持することが困難。 絶え間ないインフラの変化が、困難度をさらに増大しています。
   1. CNAPP はコンプライアンスチェックを自動化し、リアルタイムでレポートを生成し、規制に関するベストプラクティスを適用します。
4. 複数のクラウド環境 (AWS、Azure、GCP) でセキュリティを管理するのが困難。 すべての資産、重要度、設定を明確に把握する必要があります。
   1. CNAPP は、クラウドリソースを自動的に検出し、そのインベントリを作成することで、こうした複雑さの一部を軽減します。 全体的な可視性が得られるため、すべてのクラウドプラットフォームにわたってリスクを監視して管理できます。
5. 不適切なアクセス制御や過剰な権限などの設定ミスはよくあることですが、重大なエクスポージャーの原因になります。
   1. CNAPP は、クラウド環境の設定ミスを継続的にスキャンし、修正の自動化やアラートの送信などを行って、セキュリティポリシーが一貫して実装されていることを確認します。
6. クラウド環境の規模が拡大するにつれ、一貫したセキュリティ制御の維持が難しくなる
   1. CNAPP は、脆弱性管理、ポリシーの適用、コンプライアンスチェックを自動化するので、柔軟に拡張できます。 手作業で時間のかかるプロセスを省くことで、既存の担当部門やリソースのワークロードを軽減します。
7. ユーザーやサービスのアイデンティティ管理が複雑化する中で、アクセス制御は重要な課題
   1. CNAPP によって、きめ細かな ID およびアクセス管理、権限のモニタリング、そしてユーザー、ロール、サービスにわたる最小権限アクセスの確実な適用が可能になります。
8. クラウドネイティブアプリケーションは、サードパーティのソフトウェアやライブラリに依存することが多く、サプライチェーンのリスクにつながります。
   1. CNAPP は、コンテナ化されたアプリケーションを評価して保護することで、サードパーティのアプリやサービスの脆弱性を検出します。 これにより、サプライチェーンのリスクがより可視化され、事前対策型のリスク管理が可能になります。
9. クラウドネイティブアプリケーションで一般的に使用されるコンテナには、固有のセキュリティ上の課題があり、イメージやランタイム環境のセキュリティ確保が困難
   1. CNAPP は、コンテナスキャンとランタイム保護を使用して、脆弱性を開発プロセスの早い段階で先行的に発見し、デプロイメント中およびその後も、継続的に監視します。
10. クラウド環境は動的であるため、脅威をリアルタイムで特定するのが困難
    1. CNAPP は、継続的な監視と異常検出によって、潜在的なセキュリティインシデントを迅速に発見します。 そのため、進化する脅威が被害をもたらす前に、即座に対応することができます。

クラウド責任共有モデル

CNAPP によって克服できるもう 1 つの課題は、クラウド責任共有モデルの管理の複雑さです。

クラウドセキュリティにおける責任共有モデルは誤解されやすく、組織によっては、クラウドのセキュリティに関する責任は CSP と顧客との間で均等に分けられるものと捉えています。 しかし、実際には、セキュリティ上の責任の多くは顧客に課せられています。

AWS のようなプロバイダーはクラウドインフラを管理してクラウドを保護してはいるものの、クラウド内に顧客が導入したものを保護する責任はすべて顧客側にあります。クラウド内のアプリ、データ、サービスなどのリソースのセキュリティに対する責任を負うのは顧客です。

CNAPP は、CSP と顧客のセキュリティ要件を監視し、管理するための制御を一元化することで、責任共有モデルの課題に対処します。

自組織に最適な CNAPP プロバイダーを選ぶためのいくつかのヒントをご紹介します。

• マルチクラウド環境をサポートし、クラウドインフラの変化に合わせて柔軟に規模拡張できる CNAPP ベンダーを探します。
  • Tenable のソリューションは、小規模な環境から大規模で複雑なインフラまで、あらゆるものを保護するためにスケーリングできます。
• 幅広いセキュリティ機能を備えたベンダーを選びます。 リアルタイムの脅威検出、IaC スキャン、脆弱性管理、アイデンティティおよびエクスポージャー管理、継続的なコンプライアンス監視と報告機能を備えているか確認します。
  • Tenable の CNAPP にはこれらを始めとする機能が含まれており、クラウドセキュリティの成熟度を総合的に把握できます。
• ソリューションが、SIEM ツール、DevOps パイプライン、脆弱性管理システムなどの既存のセキュリティインフラと統合されていることを確認します。
  • Tenable Cloud Security は、ワークフローを中断せずに、既存のセキュリティスタック内の多くのセキュリティツールと簡単に統合できます。
• 導入が容易で管理しやすいプラットフォームを提供できるベンダーを探します。 インターフェースが使いやすく、使用方法の習得が難しくないものをお勧めします。
  • Tenable の CNAPP は、複雑なクラウドセキュリティのワークフローを簡素化するので、 手作業による設定や定期メンテナンスに時間を浪費することなく、修正に集中できます。
• ガバナンスを自動化し、組織独自のコンプライアンスニーズをサポートするプラットフォームを検討します。 事前構築済みのテンプレートやライブラリ、支援付きの修正機能があるものを探します。
  • Tenable は、一般的な規制に対するチェックを短時間で実行し、詳細なレポートを提供することで、コンプライアンスを簡素化します。
• 自組織のセキュリティ要件に合わせてカスタマイズできるポリシー、ルール、ワークフローをサポートする製品を提供するベンダーを選択します。
  • Tenable の製品は、非常に柔軟な設定が可能です。 特定のセキュリティやコンプライアンス要件に適合するよう、製品をカスタマイズできます。
• 脆弱性、脅威、リスクに関する調査に裏打ちされた実用的なインサイトを備えたベンダーを選択します。
  • Tenable のソリューションは、Tenable Research とその他のインテリジェンスツールと統合されています。 AI と機械学習を使用して、最も重大なセキュリティ問題をピンポイントで特定します。
• 評判が高く、信頼できるカスタマーサポートを提供するベンダーを探します。
  • Tenable は、脆弱性管理のリーダーとして認められています。 強力なカスタマーサポート体制が、クラウドを含む DX 時代のアタックサーフェスの保護を支援します。
• ベンダーを選択する際には、ライセンス、トレーニング、統合にかかる費用を含む総所有コストを考慮します。
  • Tenable は、あらゆる規模の組織に対して競争力のある価格を設定しており、複数のセキュリティ機能を 1 つのプラットフォームに統合することで価値を提供しています。
• ベンダーがクラウドネイティブのアプリケーションやサービスのセキュリティ確保を専門にしていることを確認します。
  • Tenable は、複雑なクラウド環境を保護することができます。 Kubernetes、コンテナ、サーバーレスコンピューティングのようなクラウドネイティブのセキュリティ要件を深く理解しています。
• ベンダーのイノベーションへのコミットメントと、その製品のロードマップが自組織の将来のニーズに合致しているかを評価します。
  • Tenable は、継続的なコンテンツの更新により、CNAPP を継続的に強化しています。 従って、新機能と新しいテクノロジーのサポートが統合され、進化するセキュリティの課題に先手を打つことができます。

なぜ CNAPP のページでは、継続的なコンテンツの更新が重要なのですか?

コンテンツは、定期的な情報のアップデート、セキュリティポリシー、脅威インテリジェンス、コンプライアンスのガイドライン、製品機能などのために継続的にリフレッシュされます。

リフレッシュによって、CNAPP のページは、動的なクラウドセキュリティの状況、新たな脅威、コンプライアンス要件に合わせて継続的に更新されます。

そのため、CNAPP のリソースは常に現状に即した実用的な状態を維持し、信頼できるリアルタイムのインサイトや機能のアップデート、セキュリティ戦略などを提供してクラウドネイティブのセキュリティ戦略を成熟させます。

加えて、定期的に更新されるコンテンツは、ユーザーのエンゲージメントを向上させます。 CNAPP は新たに出現する課題に対処し、問題の進展に応じて他のソリューションと統合し、 より効果的なクラウドセキュリティの意思決定に貢献します。

クラウドコンピューティングが急速に変化する中で、CNAPP の将来はどうなるのでしょう。

まず、現在の CNAPP で開発中の内容をいくつかご紹介します。

• 開発チームとセキュリティチームの間のシームレスな連携による、DevSecOps ワークフローの高度な統合
  • CI/CD パイプライン内での継続的なリアルタイムのセキュリティ監視、脆弱性診断、ポリシー適用により、クラウドのエクスポージャーを検出して解決するまでの時間が短縮します。
  • 手作業が減り、効率と効果が向上されます。
• AWS Config、Azure Security Center、GCP Security Command Center などのクラウドネイティブなセキュリティツールとの統合の改善
• SOC2、PCI-DSS、HIPAA、その他の標準のリアルタイムのコンプライアンス監視と報告
• 各資産に関連するリスクの可視性の向上による、資産の文脈に基づいたリスクの優先順位付けの強化
  • 資産の重要度とエクスポージャーに基づいて、脆弱性の修正を優先順位付けできます。
  • 文脈を伴うリスクのインサイトが増加したことで、緊急の脅威に対してより効果的にリソースが配分できます。
• AI、機械学習、挙動分析を活用した高度な脅威検出
• クラウド資産の自動検出とインベントリによる、クラウドインフラ管理の合理化

CNAPP に関する注目すべき今後の動向

• AWS、Azure、GCP、その他のクラウドプラットフォーム全体にわたる、より強化されたシームレスな可視性とセキュリティと より一元的なエクスポージャービュー
  • プラットフォームにまたがるクラウド資産の追跡、管理能力が向上します。 より多くの組み込みインテリジェンスによって、異常が検出され、セキュリティのベストプラクティスが適用されます。
  • クラウドネイティブの統合が増加し、クラウドリソースの可視性を維持しながら、セキュリティ運用を簡素化します。
• 複雑なマルチクラウドのセキュリティに対応する、より多くの機能
  • クラウドネイティブサービスとの統合が増加し、各クラウドプロバイダー独自の機能に合わせた、文脈を踏まえたセキュリティが強化されます。
  • ベンダーは、マルチクラウド環境やハイブリッド環境に適応した、自動化された動的なセキュリティプロトコルを構築できるようになります。
• より効果的なマルチクラウド管理
  • クラウドプロバイダー間でセキュリティポリシーを調整して適用する機能が強化され、セキュリティチームは手作業で介入することなく脆弱性を軽減できるようになります。
• より多くの自動化機能によって、責任共有モデル全体のセキュリティに対応
  • コンプライアンスェックが最適化、自動化され、リアルタイムで変化する規制に合わせて進化します。 共有セキュリティモデルの中での責任に対処しながら、規制や組織の要件、クラウドプロバイダーのガイドラインへの準拠を改善できます。
  • セキュリティポリシーの適用をさらに自動化し、継続的的に行うことでクラウドセキュリティを成熟させ、継続的にリスクを最小化します。
• より多くの AI と機械学習をクラウドセキュリティツールとして導入
  • AI と機械学習の活用が進んで脆弱性の大規模な自動検出が可能になり、これまで気づかなかったセキュリティ上の問題が検出されるようになります。
  • AI と機械学習によって、過去のデータ、ビジネスへの影響、資産の価値、エクスポージャーリスクに基づいて脆弱性が予測されるようになります。 脆弱性評価とリスク評価の精度やスピードの向上によってコストが削減され、作業負荷が減ります。
  • CNAPP によって大規模なデータセットが自動的に分析され、リスク評価や意思決定のための情報を与えてくれるパターンが見つかるようになります。
  • より先行的で精度の高いセキュリティ管理が行えるような、より詳細で実用的なインサイトを提供するようになります。
  • リスク評価を自動的にセキュリティ業務に反映させ、包括的かつ先行的な、組織の文脈に沿ったセキュリティ対策が提供されます。

ゼロトラストアーキテクチャにおける CNAPP の今後

• 強化された自動ポリシー適用によって、より多くのゼロトラストフレームワークと統合されるようになります。 承認されたユーザーまたはデバイスのみが重要なクラウドリソースにアクセスできるようになります。
• ユーザーのアイデンティティとデバイスの健全性をリアルタイムで評価することで、アクセスの信頼性を継続的に検証するようになります。
• アクセス要求とユーザーアクティビティをリアルタイムで可視化して、ゼロトラストポリシーを動的に更新します。
• 継続的な監視によって過剰な権限昇格を防止し、クラウドセキュリティを強化するようになります。
• 最小権限の原則の適用により、ユーザーには特定の役割やタスクに基づく必要なアクセス権限のみが付与されるようになります。
• 特定の役割やアプリケーションに対してきめ細かいアクセス制御ポリシーが使用され、生産性を阻害することなくセキュリティが強化されます。
• アクセスプロファイルのカスタマイズが可能になり、セキュリティチームはリアルタイムの脅威インテリジェンスに基づいて動的なアクセス条件を定義できるようになります。

クラウドネイティブセキュリティの今後の進化

• 継続的な脆弱性診断からリスク修正のための自動ポリシー適用まで、クラウドセキュリティの運用が完全に自動化されます。
• 新しいクラウドサービスや機能や設定に対して、より機敏な対応性が提供されます。
• リアルタイムのセキュリティ調整により、セキュリティチームがクラウドネイティブ環境の変化に即座に対応できるようになります。
• クラウドネイティブアプリのセキュリティの自動化と統合がさらに進みます。 サイロ化の解消が進み、アプリ開発者とセキュリティチーム間のワークフローがますます最適化されます。
• より多くの文脈に基づくインテリジェンスの活用により、クラウドネイティブスタック内の各コンポーネントのセキュリティが自動的に調整されるようになります。

今後の CNAPP を形作る最新のテクノロジー

• テクノロジーによって開発パイプラインの早い段階でシフトレフトセキュリティが組み込まれ、従って CNAPP は、コードが本番環境に到達する前に、開発段階で脆弱性を特定できるようになります。
• マルチクラウド環境が拡大するにつれ、クラウドのエクスポージャー管理もより高度になっていきます。 ツールはすべてのクラウドプラットフォームにわたるエクスポージャーを特定することによって、アタックサーフェスを自動的に縮小していきます。
• 高度なマルチクラウド脅威インテリジェンスによって、インフラに影響を及ぼす可能性のある脆弱性を検出するセキュリティチームの能力が補強されます。
• クラウドセキュリティツールの統合が進み、多様なクラウドサービスをより包括的に保護できるようになります。
• CNAPP には、より統合された DSPM 機能が備わり、より迅速で正確な検出、分類、資産監視に対応するようになります。
• データセキュリティリスクに対する高度なインサイトが提供され、クラウド環境全体における特定、アラート、機密データ保護が自動化されます。
• コンプライアンス管理とリスク管理に関するより深いインサイトが得られるようになり、より多くの情報がデータ保護戦略のために提供されます。

AI と機械学習による脅威検出の今後の発展

• AI と機械学習アルゴリズムによって膨大な量のデータが分析されるようになります。 これによって、クラウド内の異常な挙動や脅威をより先行的に特定できるようになり、 より正確で効率的なリスク評価が可能になります。
• AI を活用した検出機能により、CNAPP はセキュリティ侵害を自動的に特定し、より迅速に軽減できるようになるため、侵害対応にかかる時間が短縮されます。
• AI を活用した自動的なインシデント対応によって、重大なインシデントの拡大が阻止され、脅威の迅速な封じ込めと修正が可能になります。
• AI と機械学習によって、より迅速かつ正確に脆弱性が検出されるようになるため、クラウド全体のレジリエンスが向上します。
• CNAPP は、すべてのクラウドリソースにわたって包括的なセキュリティを管理するための一元化されたプラットフォームとなり、 より多くの脅威インテリジェンス、脆弱性管理、コンプライアンス適用の機能が、単一のソリューションに統合されます。

CNAPP、CSPM、CWPP の違いは何ですか?

CNAPP、CSPM、CWPP の主な違いは、CNAPP が CSPM とCWPP の機能を兼ね備えていることです。

CNAPP は、アプリケーション、ワークロード、インフラを含むクラウドネイティブスタック全体に、包括的なセキュリティを提供します。

• CSPM は、クラウドインフラ、ワークロード、アプリケーションのセキュリティ確保に重点を置きます。
• CWPP は、仮想マシンやコンテナなどのクラウドのワークロードを保護します。

CNAPP はどのようにしてクラウドネイティブのセキュリティを向上させますか?

CNAPP は、複雑なクラウド環境全体の脆弱性管理と支援付き修正を自動化することで、クラウドセキュリティを向上させます。

CNAPP はクラウドを継続的にスキャンし、リスクや設定ミスを発見して評価し、セキュリティとコンプライアンスのポリシーを実行する、 統合型のクラウドセキュリティツールです。 クラウドのエクスポージャーが業務に悪影響を与えたり、侵害を引き起こしたりする前に対処します。

CNAPP の仕組み

CNAPP は、クラウド全体でセキュリティ制御、ポリシー、プロセスのベストプラクティスを統合して機能します。 また、オンプレミスや OT の資産を併用するハイブリッドクラウド環境でも機能します。 CNAPP は、IaC スキャン、コンテナスキャン、CWP、CIEM、CSPM、CDR などの重要なセキュリティツールを、単一のプラットフォームに統合します。

CNAPP は単一のアクセスポイントから動作し、アイデンティティ、設定、リソース間の接続を継続的に監視して脆弱性を検出し、制御とポリシーを実行します。 マルチクラウドに対応する CNAPP のプラットフォームは、動的なクラウド環境におけるスケーラブルなリスクの検出と修正を可能にします。

CNAPP の恩恵を最も受けるのはどの業界ですか?

すべての業界が CNAPP の恩恵を受けられますが、ヘルスケア業界、E コマース業界、金融業界は、特にそのメリットが高くなります。 これらの業界は、クラウドインフラとクラウドネイティブアプリに大きく依存しており、 コンプライアンス要件も最も厳しく、変化し続けているからです。

規制の閾が高まるこれらの業界では CNAPP 活用の利点が最大と考えられます。 しかし、テクノロジー業界や通信業界のような、動的なクラウドインフラを使うすべての業界にも CNAPP は対応しています。

CNAPP はハイブリッドクラウド環境で使用できますか?

はい。CNAPP はハイブリッドクラウド環境で使用できます。 CNAPP は、クラウドのアタックサーフェス全体で一元的なセキュリティ基盤を構築します。

CNAPP は、環境に関係なく一貫したセキュリティポリシーを適用し、可視性を高め、エクスポージャー管理を改善します。 パブリッククラウド、プライベートクラウド、ハイブリッドクラウドなど、あらゆる環境のクラウドセキュリティを強化します。

CNAPP を CI/CD ツールと統合するメリットは何ですか?

• DevOps によって、開発ライフサイクルの早い段階でセキュリティを組み込むことを可能にする
• パイプライン全体を通じて、継続的なセキュリティ評価と脆弱性診断を提供する
• デプロイメント前にセキュリティリスクを特定し、対処する
• 本番環境に脆弱性が持ち込まれる可能性を低減する
• コンプライアンスチェックを自動化する
• ペースの速いクラウドネイティブアプリ開発でのセキュリティ運用を効率化する