クラウドネイティブアプリケーション保護プラットフォームとは
Gartnerは、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)を、「開発環境と本番環境の両方でクラウド・ネイティブ・アプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連した機能のセット」と定義しています。CNAPPは、クラウドセキュリティプラットフォームの新しいカテゴリーを備え、以下の機能を組み合わせています。
なぜ今、CNAPPが必要とされるのか
CNAPPソリューションが重要な理由を簡潔にまとめると、現代の環境に完全に対応できるからです。従来のセキュリティアプローチやツールは、クラウドネイティブなアプリケーションやサービスではなく、オンプレミスのデータセンタやエンドポイントを保護するために設計されています。つまり、クラウドネイティブテクノロジや最新の開発手法(例えば、Infrastructure as Code [IaC]、CI/CDパイプライン、コンテナ、サーバーレス機能、Kubernetes)に移りつつある今、それらのセキュリティツールでは不十分なのです。
クラウドサービスがスピードを維持しながら、セキュリティのベストプラクティスとコンプライアンス義務を確実に満たすには、開発の早期段階でリスクを特定して迅速に対応し、継続的な保証を提供するアプリケーションセキュリティが必要です。さらに、開発はさまざまなクラウドインフラで行われているため、そのセキュリティは一貫している必要があります。あらゆるものが相互に関連し、依存し合う従来のアプローチでは、セキュリティ上の問題や脆弱性を特定して修復することは困難です。
クラウド環境の保護 = クラウドサービスの構成と本番環境の保護
動的で一時的な環境、より高速化するリリースサイクル、クラウドに展開されたアプリケーションやテクノロジ(SaaSやIaaSなど)すべてが、サイバーセキュリティの新たな課題につながっています。クラウド環境の保護とは、クラウドサービスの構成と本番環境のセキュリティを最低限確保することであり、ランタイム保護は追加の保護の貴重なレイヤーになります。セキュリティ部門は、クラウドセキュリティとコンプライアンスを最適化し、DevOpsをサポートして摩擦を最小限に抑える必要があります。そのためには、インフラストラクチャの保護から、ワークロード上で実行されるアプリケーションの保護へと進化する必要があります。
一貫性のないツールを複数利用することの課題
組織が成長するにつれて、さまざまな技術が混在し、多様なクラウド環境で一貫性のないセキュリティ制御が行われる傾向があります。セキュリティ部門は、CSPM、CIEM、CWPPなどを含む複数のツールを展開することで、クラウドインフラと本番環境を安全に保護していますが、このアプローチでは、リスクに集中して効果的に優先順位をつけたり、修正したりすることはできません。それは、以下のような理由からです。
- 可視性のギャップとセキュリティの死角
- 複数のデータポイントのソースと真の単一のソースとの比較
- 情報のオーバーフローと時間のかかるデータ照合プロセス
- 迅速な対応が必要となる重大な問題を通知しないことによるアラートによる疲弊
- 各ツールに関するリソース、技術的な専門知識、トレーニングが限定的
- 各ツールを個別に管理することによる運用の複雑性と負荷の増加
複雑な複数の環境にまたがって共通点の無い複数ツールを使って適切な管理を維持しようとすると、多くの時間、リソース、手作業が必要になります。効果的にリスクを管理するために、セキュリティ部門は、クラウドインフラストラクチャと本番環境全体を通じた可視性を得て、一貫したセキュリティポリシーを定義するため、さまざまな要素を一目で見ることを必要としています。
理想的には、CNAPPのような包括的なセキュリティソリューションが、複雑性と作業負荷を削減しながら、一時的で、コンテナ化された、サーバーレス環境に対応するための完全なセキュリティカバレッジを提供できることです。
アナリストの視点と提言
「Innovation Insight for Cloud-Native Application Protection Platforms」の中で、Gartnerは以下のようにアドバイスしています。「企業は、開発とランタイムを別々の問題として扱い、別々のツールを組み合わせて安全を保ちスキャンするのではなく、セキュリティとコンプライアンスを開発と運用の連続体として扱い、可能な限りツールの統合を目指すべきです」
推奨される対策として以下が挙げられます。
- クラウドネイティブアプリケーションの開発から本番環境への拡張までのライフサイクル全体をカバーする統合的なセキュリティアプローチを実装すること
- 開発の成果物やクラウド構成を包括的にスキャンし、これをランタイムの可視性や構成の認識と組み合わせて、リスク改善の優先順位を決定すること
- CSPMとCWPPの契約満了に伴い、新たに登場するCNAPPを評価し、この機会を利用して、複雑性を軽減し、ベンダーを統合すること
CNAPPの仕組み
CNAPPプラットフォームは、複数のセキュリティツールや機能を統合するほか、複雑性と作業負荷を軽減しつつ、以下の機能を提供します。
- CSPM、CIEM、CWPPツールの複合機能
- 開発ライフサイクルにおける脆弱性、コンテキスト、関係性の相関
- 豊富なコンテキストを持つ優先度の高いリスクの特定
- 脆弱性と構成ミスを修復するためのガイド付き自動修復
- 不正なアーキテクチャ変更を防止するガードレール
- SecOpsエコシステムと容易に連携し、ほぼリアルタイムでアラートを送信
図1: CNAPPが包含するもの(Gartner, Inc., How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB, 2021, Richard Bartley, May 6, 2021)
CWPPとCSPMの機能を組み合わせることにはシナジー効果があり、複数のベンダーがこの戦略を追求しています。この組み合わせにより、開発中のワークロードや構成をスキャンし、実行時にワークロードや構成を保護するCloud-Native Application Protection(CNAP)という新しいカテゴリが誕生します。
CNAPPの主な機能
非常に多くのセキュリティとコンプライアンスツールが集中しているため、CNAPPには数十もの特別な機能が存在します。CNAPPによって何ができるようになるのか、その大まかな流れを見ていきましょう。
マルチクラウドインフラストラクチャの保護
すべてのアプリ、API、クラウドリソース、アイデンティティ、機密データを検出します。AWS、Azure、Google Cloudにまたがるコンプライアンスとコンプライアンス違反のリソースを完全に可視化し、リスクに基づいて修復のための優先付けを行います。
本番環境の保護
開発プロセスの早期段階でセキュリティを確保します(すなわち「シフトレフト」 )。DevOps専門家に脅威や脆弱性をより早く検出し、より迅速に修正する権限を与え、アプリケーションとデータのコンプライアンスを確保します。
ワークロードの保護
脆弱性やセキュリティの構成ミスをより簡単に検出、管理し、併せてネットワークベースの動作モニタリング、ポリシー適用、IDベースのクラウドワークロードセグメンテーションを実行します。
継続的なガバナンスとコンプライアンス
データ、構成と権限の継続的なコンプライアンスとガバナンスのための自動化されたセキュリティコントロールを使用して、監査による疲弊を最小限に抑えます。
部門間のコラボレーションを促進するプラットフォーム
共通のワークフロー、データ相関、有意義な考察と修復を組み込むことで、摩擦を減らし、DevSecOps、DevOps、クラウドセキュリティ運用における部門間のコラボレーションを促進します。
重要性を増すクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)
ブログを読む(英語)
CNAPPとSASE:すべてを支配する2つのプラットフォーム
ブログを読む
Zscaler Cloud Protection
詳細はこちら
Zscaler Workload Posture
詳細はこちら
CNAPPアプローチの最も大きなメリットは、クラウドネイティブアプリケーションのリスクの可視化とコントロールを改善することです。
ZscalerとCNAPP
Posture Controlは、CNAPPに対するニーズの高まりに対する画期的な対策であり、クラウドワークロードセキュリティの運用を簡素化し複雑性を解消する新しいアプローチを提供します。Zscalerの革新的なゼロトラストアーキテクチャは、セキュリティギャップを自動的に修復するほか、攻撃対象領域を最小限に抑え、脅威の水平移動を排除することで、ビジネスリスクを軽減します。
サードパーティベンダーやクラウドプロバイダのさまざまなツールにまたがって断片化したパブリッククラウドのセキュリティスタックが課題となっていませんか?Posture Controlがクラウドセキュリティインフラストラクチャを簡素化し、ゼロトラストアプローチでセキュリティを向上させます。
詳細は、こちらを参照してください。