クラウドセキュリティの第一歩:CNAPPを正しく理解し、最初に取り組むべきは?

こんにちは。SCSKの南です。

パブリッククラウドの利用は今や多くの企業にとって欠かせないものとなり、同時に「クラウドセキュリティ」をどう確保するかは経営上の大きな課題になっています。
クラウドセキュリティについて調べていく中で、きっとすでに 「CNAPP(Cloud-Native Application Protection Platform)」という言葉を耳にしたことがあるのではないでしょうか。ベンダー各社が「CNAPP対応」の製品を打ち出して、クラウドセキュリティ市場では一種のバズワードとなっています。

しかし、「CNAPP対応製品を導入すれば万事解決」なのでしょうか?

実際にはそう単純な話ではありませんので、その辺りをご説明したいと思います。

CNAPPとは何か

CNAPPとはそもそも「機能」ではなく「概念」です。ガートナーは下記のように定義しています。

Cloud-native application protection platforms (CNAPPs) are a unified and tightly integrated set of security and compliance capabilities, designed to protect cloud-native infrastructure and applications. CNAPPs incorporate an integrated set of proactive and reactive security capabilities, including artifact scanning, security guardrails, configuration and compliance management, risk detection and prioritization, and behavioral analytics, providing visibility, governance and control from code creation to production runtime. CNAPP solutions use a combination of API integrations with leading cloud platform providers, continuous integration/continuous development (CI/CD) pipeline integrations, and agent and agentless workload integration to offer combined development and runtime security coverage.

(日本語訳:自動翻訳)

クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、クラウドネイティブなインフラストラクチャとアプリケーションを保護するために設計された、一体化された密接に統合されたセキュリティおよびコンプライアンス機能のセットです。CNAPPは、アーティファクトスキャン、セキュリティガードレール、構成およびコンプライアンス管理、リスク検出および優先順位付け、行動分析などの包括的なプロアクティブおよびリアクティブなセキュリティ機能を統合し、コード作成から本番実行までの可視性、ガバナンス、コントロールを提供します。CNAPPソリューションは、主要なクラウドプラットフォームプロバイダーとのAPI統合、継続的インテグレーション/継続的開発(CI/CD)パイプラインの統合、エージェントとエージェントレスのワークロード統合を組み合わせて、開発と実行のセキュリティカバレッジを提供します。

概念なので定義をぱっと読むとだいぶ範囲が広くて、わかりずらいのでポイントを整理しました。

CNAPPの重要な要素
# 要素 概要
1 統合プラットフォーム
  • バラバラに存在していたクラウドセキュリティ機能をひとつにまとめた仕組み
    例:CSPM(設定管理)、CWPP(ワークロード保護)、CIEM(権限管理)などを統合
2 対象範囲
  • クラウドネイティブなインフラとアプリケーション全体を保護
    例:IaaS、PaaS、Kubernetes、コンテナ、サーバレス環境など
3 プロアクティブ(予防的)機能
  • 設定・コンプライアンス管理(CSPM的な要素)
  • セキュリティガードレール(開発・運用時の自動チェック)
  • コードやコンテナイメージのスキャン(Artifact Scanning)
4 リアクティブ(事後対応)機能

  • リスク検出と優先度付け

  • 振る舞い分析(異常な挙動の検知、脅威ハンティング)
5 ライフサイクル全体をカバー

  • コード作成 → ビルド → デプロイ → 本番稼働まで

  • DevSecOps/シフトレフトの考え方を実現
6 提供する価値

  • 可視性(何が起きているか見える)

  • ガバナンス(ポリシーに従わせる)

  • 制御(必要に応じて止める・修正する)

上の表を見るといろんな要素があり、また要素ごとにセキュリティの観点が違ったりするのでCNAPP製品を入れただけであまり意味がないことが分かっていただけるかなと思います。

CNAPPはどのようにはじめるべきか

CNAPPは前述したとおり「バラバラに存在していたクラウドセキュリティ機能をひとつにまとめた仕組み」になりますので、機能ごとにセキュリティを考えるとわかりやすいです。

CNAPPに含まれる機能

CNAPPに含まれる機能を一覧にしてみました。
※「CNAPPにはこの機能が含まれる」といった明確な定義はありません。さまざまな資料で「主要コンポーネント」や「一般的に含まれるべき機能群」が明示されたりしていますが、新しい機能が次から次に追加されている状況です。

# 区分 モジュール 説明
1 コア セキュリティ CSPM(Cloud Security Posture Management) クラウド環境の設定ミスやコンプライアンス違反を検出・修正。
2 CIEM(Cloud Infrastructure Entitlement Management) IAM権限の過剰付与や不適切なアクセス制御を検出し、最小権限化を推進。
3 CWPP(Cloud Workload Protection Platform) VM・コンテナ・Kubernetesなどのワークロードを保護。脆弱性、マルウェア、実行時の防御。
4 高度セキュリティ IaC Security Terraform、CloudFormationなどIaCテンプレートのセキュリティスキャン。
5 DSPM(Data Security Posture Management) クラウド上のデータを分類・可視化し、機密情報のリスクを管理。
6 KSPM(Kubernetes Security Posture Management) Kubernetesクラスタ特有のセキュリティ設定・ポリシーを管理。CSPMの一部とも見なされるが独立性も強い。
7 ASPM(Application Security Posture Management) アプリケーションレベルで脆弱性やリスクを可視化・管理。ソフトウェアサプライチェーン対策とも重なる。
8  AI-SPM(AI Security Posture Management) AIモデルやAIワークロードのセキュリティを保護(データ汚染やモデル悪用対策)。新しい領域。
9 CI/CDセキュリティ統合 DevSecOpsを実現。コードスキャン、アーティファクト検査を開発パイプラインに統合。
10 Runtime Threat Detection 実行環境での異常挙動検知(脅威ハンティング、行動分析)。
11 Security Guardrails  開発者や運用者が意識せずに安全に利用できるようにする自動チェック・制御。
導入する順番は?

たくさんの機能があることがわかると思いますが、まず最初にやるべきなのは「CSPM」と「CIEM」です。「設定」と「権限」という土台の部分を固めることが最優先だと思います。これらの機能はすべての環境に共通で必要なセキュリティになります。導入をすることで、すべての環境のセキュリティを向上させることができます。
また、CSPMを導入することで、クラウド環境の可視化(どのサービスが稼働しているのか、どこが外部に公開されているのか、どの部分が規制やガイドラインに抵触しているのか、等)も実現できるため、セキュリティ強化を行う際にどの環境に何のセキュリティを導入すべきかを検討する材料にもなります。

次は「CWPP」です。クラウド上にあるワークロードを保護することが重要です。オンプレ端末(PCやサーバ)のセキュリティは一生懸命検討されるのですが、クラウド上のワークロード保護は放置されているケースが多いです。

それから「高度なセキュリティ」の機能群を導入するのが良いと思います。「高度なセキュリティ」の機能は環境によって必要かどうかが変わってくる部分がありますので、どのように展開するかなど環境に合わせて検討する必要があります。

クラウドセキュリティの出発点は「CSPM」

最近は「CNAPP」という言葉を耳にする機会が増えています。いろいろなセキュリティ機能をまとめて守ってくれる“全部入り”の仕組みとして紹介されることが多く、とても魅力的に感じられます。

ですが、実際にクラウドで起きているトラブルの多くは「人が設定を間違えた」ことが原因です。たとえば、本来は社内だけで使うはずのストレージを「公開」にしてしまったり、必要以上に広い権限をユーザーに与えてしまったり…。こうしたちょっとしたミスから、大きな情報漏えいにつながってしまうケースが後を絶ちません。

そこでまず必要になるのがCSPMです。CSPMはクラウドの設定が正しいかどうかをチェックし、危ないところを教えてくれる“健康診断”のような役割を持っています。これがあることで、クラウド全体を見渡せるようになり、「どこにリスクがあるのか」を把握できるようになります。

つまり、CNAPPのような大きな仕組みを使うにしても、最初の一歩はCSPMで“安全の基礎”を整えることです。建物でいえば、どんなに立派な高層ビルを建てても、土台がしっかりしていなければ崩れてしまうのと同じです。クラウドセキュリティも、まずはCSPMという“土台”を固めることが何より大切だと思います。

どのようなソリューションを選ぶべきか

パルアルトネットワークス社のPrisma CloudのようなCNAPPに対応した包括的なセキュリティプラットフォーム製品を導入することが推奨です。Prisma CloudはCNAPP領域のリーダーとして評価されているソリューション・製品となります。

先ほど説明したようにCNAPPには複数の機能がありますが、セキュリティプラットフォーム製品であれば段階的にセキュティを強化することができます。

単独の製品を導入すると、ツールのサイロ化や、統合的な分析ができないといった状況になってしまうため、この領域はプラットフォーム製品を導入するのが良いと考えます。

さいごに、当社ではクラウド診断サービスやマネージドCSPMサービスを提供していますので、ご興味のある方は是非、お気軽にお問い合わせください。

Smart One Cloud Security®
パブリッククラウドのセキュリティ設定を診断/監視するマネージドCSPMサービスです。Palo Alto Networks社Prisma Cloud(CSPM機能)を使い易く、簡単に導入いただけます。
www.scsk.jp
マルチクラウド設定診断サービス with CSPM| SCSK株式会社
マルチクラウド環境のセキュリティ設定リスクを手軽に確認可能なスポット診断サービスです。独自の診断レポートが、運用上の設定ミスや設計不備、クラウド環境の仕様変更などで発生し得る問題を可視化し、セキュリティインシデントの早期発見に役立ちます。
www.scsk.jp

 

タイトルとURLをコピーしました