クラウドネイティブアプリケーション環境に潜むセキュリティリスクを 修正するソリューション「Posture Control」を国内提供開始

本資料は、米カリフォルニア州にて2022年6月22日（現地時間）に発表したプレスリリースの日本語抄訳に、加筆を加えています。 

クラウドセキュリティ業界を牽引するZscaler（NASDAQ：ZS、本社：米国カリフォルニア州、以下 ゼットスケーラー）はクラウドワークロードの保護に特化した統合型クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）機能を提供する新たなソリューション「Posture Control™」を発表しました。Posture Controlは、本日より日本で提供を開始します。Zscaler Zero Trust Exchange™に統合されたPosture Controlにより、DevOps部門やセキュリティ部門は、開発ライフサイクルの早期段階でクラウドネイティブアプリケーションに関わるリスクの優先度を効率的に設定し、修正できるようになります。Posture Controlは完全にエージェントレスで、コンテナやVM（仮想マシン）に存在するパッチが適用されていない脆弱性、過剰な権限や資格、クラウドサービスの設定ミスなどのリスクを見つけ出し優先順位をつけます。 

ゼットスケーラーでプレジデントを務めるアミット・シンハ（Amit Sinha）は次のように述べています。「マルチクラウド環境に展開されたアプリケーションの増加に伴い、サイバーセキュリティ情勢も進化を続けています。セキュリティ部門、IT部門、DevOps部門が新種の攻撃スピードに遅れることなく、クラウドリスクの優先度を効率的に設定し修正することは、これまで以上に難しくなっています。十分な状況が伝えられず、アラート処理に過度の負担がかかるものの、全容の解明にはつながらない単一機能のクラウドセキュリティツールとは異なり、Posture Controlは各種クラウドセキュリティ分野全体でさまざまな兆候の相関性を分析し、本当に重大なリスク要因や優先度の高いセキュリティインシデントを特定して、優先的に対応します。また、セキュリティを開発ワークフローに直接拡張するため、情報セキュリティ部門とDevOps部門間の連携を効率化し、開発ライフサイクルの早い段階でプロアクティブにアプリケーションを保護できるようになります。」 

現代では、ほとんどの企業が死角のない完璧なセキュリティを実現するために、何十種類もの単一機能のセキュリティツールを導入し、管理することを余儀なくされています。こうしたツールは、オペレーションがサイロ化しているため、可視性の不足、セキュリティギャップ、部門横断型チーム内の摩擦などの問題を引き起こします。また、クラウドの動的な性質が原因となり、セキュリティリスクは、各種セキュリティレイヤー全体で複数の複雑な問題が相互に絡み合った状態となっています。これらの問題に対処するには、セキュリティ部門が社内すべてのクラウド環境でリスクの優先度を設定できる統合型のプラットフォームが必要です。 

クラウドネイティブアプリケーションの開発に必要な規模とスピードを実現するには、継続的インテグレーション（CI）および継続的デリバリー（CD）ライフサイクル全体を通して、開発者やDevOpsのワークフローにセキュリティをシームレスに統合する、統一アプローチを採用する必要があります。また、マルチクラウド環境の各所から発見されたさまざまな問題の相関性を分析し、優先度の高いセキュリティリスクを特定のうえ、開発プロセスの早い段階で、各関係者にとって望ましいワークフローを通じて修正できる、シンプルなアーキテクチャが必要です。 

Enterprise Strategy Group （ESG）のシニアアナリストを務めるメリンダ・マークス（Melinda Marks）は、次のように述べています。「企業がアプリケーションをクラウドに移行する動きが加速する中、セキュリティ部門はクラウドネイティブの開発に苦労しています。統合的なアプローチを提供するZscalerのPosture Controlは、セキュリティ部門とDevOps部門がリスクをこれまで以上に適切に特定でき、かつ優先順位を付けながら修正できるようにします。これにより、組織は最大の問題に焦点を当て、全体的なリスクを大幅に削減することができます。」 

Posture Controlは、ゼットスケーラーのクラウドアプリケーションのランタイムセキュリティを確保するための実績あるソリューション「Workload Communications」のセキュリティ機能をベースとしています。Posture ControlとWorkload Communicationsは、Zscaler for Workloadsサービスに統合されており、両ソリューションを組み合わせることで、クラウドを問わず、あらゆるサービスで稼働しているクラウドネイティブな仮想マシンベースのアプリケーションの開発時およびランタイムのセキュリティが統一されます。Posture Control は、すべてのクラウド環境のビューとデータモデルを統一して包括的な保護を提供し、セキュリティ部門、IT部門、DevOps部門が開発プロセスを中断させることなく、クラウドアプリケーションのセキュリティを確保できるようにサポートします。 

Posture Controlの主な特長は以下のとおりです。 

1. 高度な脅威とリスクの相関分析：個々のリスクは低いように見えても、組み合わさることでクラウド環境内の大きな有害リスクとなり得る、複合的なセキュリティ問題の特定や評価を行います。このような相関性のあるリスクが単一ビューに統一されるため、セキュリティ部門はこのコンテキストデータから、クラウド内のリスクを適切に調査し、優先度を設定できるようになります。 

2. エージェントレスのワークロードスキャン：完全にエージェントレスなAPIベースのアプローチにより、開発者の摩擦を防ぎ、セキュリティツールではカバーしきれない死角を排除します。仮想マシンやコンテナは、レジストリと本番環境の両方でスキャンされ、脆弱性は他のクラウド問題との相関性が分析され、共通脆弱性評価システム（CVSS） スコアだけでなく、リスクにも基づき、対策の優先度が設定されます。 

3. クラウドのフルライフサイクルセキュリティ：「シフトレフト」セキュリティにより、本番環境でインシデント化する前に、開発ライフサイクルの早い段階でセキュリティ問題を検出し、解決します。ゼットスケーラーは、自動デプロイプロセスを監視し、重大なセキュリティ問題を発見するとアラートを送信します。 

4. クラウド全域のリスクとコンプライアンス状態を可視化：仮想マシン、コンテナ、サーバーレスワークロードを含むマルチクラウド環境全域のリスクを完全に可視化します。ゼットスケーラーは、Visual Studio Codeなどの開発プラットフォーム、GitHubやJenkinsなどのDevOpsツール、あらゆる大手クラウドプロバイダーを統合し、「構築から実行まで」の可視化と制御をサポートします。 

5. 簡単かつ迅速な導入と運用：マルチクラウド環境内のクラウドネイティブなワークロードを保護するために、ゼットスケーラーとマルチクラウドのインフラ自動化ソフトウェアのリーダー企業であるHashiCorpは連携を強化しました。Posture Controlでは、開発環境のTerraformに書き込まれたInfrastructure-as-a-codeテンプレートを簡単にスキャンできるようになっています。このシフトレフトのアプローチにより、CI/CDプロセスにセキュリティを組み込むことが可能になるため、開発部門とセキュリティ部門間の摩擦が減り、アプリケーションの導入が加速するほか、クラウドワークロードのセキュリティ体制が強化されます。 

ゼットスケーラーの新規ソリューション「Posture Control」の詳細は、製品ページにて確認できます。 

以上