Zpedia 

/ クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)とは

クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)とは

クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)は、現代の高度に自動化された動的なパブリック クラウド環境でクラウド ネイティブ アプリケーションを安全に構築、展開、実行するためのセキュリティおよびコンプライアンス ソリューションです。このソリューションは、セキュリティ部門が開発者やDevOps部門とより効果的にコラボレーションするうえでも役立ちます。CNAPPは、CSPM、CIEM、IAM、CWPP、データ保護などの機能を集約したクラウド セキュリティ プラットフォームの新しいカテゴリーです。

CNAPPが必要な理由

従来のセキュリティ アプローチやツールは、クラウド ネイティブなアプリやサービスではなく、オンプレミスのデータ センターやエンドポイントを保護するために設計されたものです。クラウド ネイティブな技術、強力な自動化を伴う動的かつエフェメラルな環境、より速いリリース サイクル、そして最新の開発手法(Infrastructure as code [IaC]、CI/CDパイプライン、コンテナー、サーバーレス機能、Kubernetesなど)への移行が進むいま、従来のツールでは十分に対応できなくなってきています。

パブリック クラウドでは頻繁に変更が行われるため、セキュリティ部門にはセキュリティとコンプライアンスの両面での対応が求められます。「組織全体のスピードを低下させない対応」が理想ですが、そのためには、セキュリティ上の問題や脆弱性を開発の早い段階で特定、修正し、一貫性のあるセキュリティを継続的に提供する必要があります。しかし、今日の環境では多くの相互依存関係が存在するため、従来のアプローチでは簡単にこれを実現できません。

クラウドのセキュリティとコンプライアンスを最適化してDevOpsを効率的に進めるためには、セキュリティ部門はインフラではなく、ワークロード上で実行されるアプリを保護する必要があります。つまり、クラウド サービスの構成と本番環境のセキュリティを最低限確保し、ランタイム保護を追加の保護の貴重なレイヤーとして使用する必要があるのです。

CNAPPの主なコンポーネント

優れたCNAPPでは、さまざまなシグナルの情報を相関付けて一元管理できるため、セキュリティ部門は組織の最大のリスクを特定して優先順位を付けることができます。他にも次のような機能を提供します。

旧式のアプローチが抱える課題

組織が成長するにつれて、さまざまな技術が混在し、多様なクラウド環境で一貫性のないセキュリティ制御が行われる傾向があります。セキュリティ部門は、CSPM、CIEM、CWPPなどのツールを導入し、クラウド インフラや本番環境を保護していますが、このようなアプローチではリスクに優先順位を付け、修正することはできません。その理由は次のとおりです。

  • 可視性のギャップとセキュリティの死角
  • 複数存在するデータ ポイント
  • 情報のオーバーフローと時間のかかるデータ相関プロセス
  • 迅速な対応が必要となる重大な問題を通知しないアラートの問題
  • 各ツールのリソース、技術的な専門知識、トレーニングが限定的
  • 各ツールを個別管理するための複雑な運用と高い作業負荷

複雑な環境下で異なるツールを使って適切に管理しようとすると、多くの時間、リソース、手作業が必要になります。そしてほとんどの場合、これだけでは不十分なのです。

CNAPPのメリット

統合セキュリティ ソリューションであるCNAPPは、エフェメラル環境、コンテナー化環境、サーバーレス環境に対応するための完全なセキュリティ カバレッジを提供し、以下を実現します。

  • 一元的な管理:軽微な問題、個々のイベント、そして隠れた攻撃ベクトルを特定して関連付けることで、各部門のコラボレーションと効率を向上させ、アラート、推奨措置、修正ガイダンスを含む直感的なビジュアル フローで的確な情報に基づいた意思決定を支援します。
  • 複雑性と作業負荷の削減:複数のポイント製品に代わって、構成、資産、権限、コード、ワークロードを包括的に可視化することでリスクの全体像を把握します。CNAPPは何百万件もの属性を分析し、重要度が最も高いリスクから対処できるように優先順位を付けます。
  • クラウドとサービスを包括的にカバー:IaaSやPaaSを含むマルチクラウドのフットプリント全体、VM、コンテナー、サーバーレス ワークロード、開発環境までをカバーした可視化と洞察により、リスクの早期発見と修正を実現します。
  • DevOpsのスピードに追随するセキュリティ:IDEプラットフォームと統合し、開発やCI/CDの過程中の設定ミスやコンプライアンスの問題を特定します。また、SecOpsエコシステムと統合し、違反があった場合にアラート、チケット、ワークフローを起動し、担当部門がすぐに対応できるようにします。
  • セキュリティの責任を割り当てるガードレール:DevOpsサイクルの各レベルにセキュリティ制御を導入し、既存の開発およびDevOpsツールにネイティブに統合できます。ガードレールを導入することで、開発者は自身の作業に関するセキュリティのオーナーシップを持つことができるため、セキュリティ部門とDevOps部門間の摩擦が減り、DevSecOpsをより効率的に進められるようになります。

CNAPPの仕組み

CNAPPプラットフォームは複数のセキュリティ ツールや機能を統合すると同時に、複雑性と作業負荷を軽減し、次のような機能を提供します。

  • CSPM、CIEM、CWPPツールを組み合わせた機能
  • 開発ライフサイクルにおける脆弱性、コンテキスト、関係性の関連付け
  • 豊富なコンテキストを持つ優先度の高いリスクの特定
  • 脆弱性と設定ミスを修正するためのガイド付き自動修正
  • 不正なアーキテクチャーの変更を防止するガードレール
  • SecOpsエコシステムと簡単に統合して、ほぼリアルタイムでアラートを送信する機能
CWPPとCSPMの組み合わせは相乗効果を生み出すため、複数のベンダーがこの戦略を追求しています。この2つを組み合わせることで、開発中のワークロードや構成をスキャンし、実行時にワークロードや構成を保護するクラウド ネイティブ アプリケーション保護(CNAP)という新しいカテゴリーが誕生します。

- Gartner, Market Guide for Cloud Workload Protection Platforms

cn

CNAPPに含まれるもの(「How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB, 2021」からの画像。Gartner、2021年5月6日)

CNAPPの主な機能

複数のセキュリティとコンプライアンス ツールを統合したCNAPPには、独自の機能が多数存在します。ここでは、そのうちのいくつかを紹介します。

マルチクラウド インフラの保護

アプリ、API、クラウド リソース、アイデンティティー、機密データをすべて検出します。AWS、Azure、Google Cloud全体のコンプライアンスとコンプライアンス違反のリソースを完全に可視化し、リスクに基づいて修正するために優先付けを行います。

本番環境の保護

開発プロセスの早期段階でセキュリティ対策を実施するシフトレフト セキュリティを行います。DevOps担当者が脅威や脆弱性をより迅速に検出、修正できるようにし、アプリケーションとデータのコンプライアンスを確保します。

ワークロードの保護

脆弱性やセキュリティの設定ミスをより簡単に検出、管理し、ネットワークベースの振る舞い監視、ポリシー施行、アイデンティティーに基づいたクラウド ワークロード セグメンテーションを実行します。

継続的なガバナンスとコンプライアンス

データ、構成、権限の継続的なコンプライアンスとガバナンスを実現するために自動化されたセキュリティ制御を使用することで、監査に費やす時間を大幅に削減します。

部門間のコラボレーションを促進するプラットフォーム

共通のワークフロー、データ相関、有意義な考察と修正を組み込むことで、DevSecOps、DevOps、クラウド セキュリティ運用などの部門間のスムーズなコラボレーションを促進します。

CNAPPに対するGartnerの推奨事項

Gartnerは「Innovation Insight for Cloud-Native Application Protection Platforms」の中で、「開発とランタイムを切り離し、別々のツールを組み合わせて保護、スキャンするのではなく、セキュリティとコンプライアンスを開発と運用の連続体として扱い、可能な限りツールの統合を目指すべきである」と述べています。

主な推奨事項として次の3つが挙げられます。

  • クラウド ネイティブ アプリケーションの開発環境から本番環境までのライフサイクル全体をカバーする包括的なセキュリティ アプローチを実装する
  • 開発の成果物やクラウド構成を包括的にスキャンし、これをランタイムの可視性や構成の認識と組み合わせて、リスク改善の優先順位を決定する
  • CSPMとCWPPの契約が満了となるタイミングで新たなCNAPP製品を評価する。そして、この機会を利用して複雑さを軽減し、ベンダーを統合する
CNAPPアプローチの最も大きなメリットは、クラウドネイティブなアプリケーションが持つリスクの可視性と制御を向上させることです。

- Gartner, Innovation Insight for Cloud-Native Application Protection Platforms

ZscalerとCNAPP

ZscalerのPosture Control™はクラウド ネイティブ アプリケーションのセキュリティに根本的に新しいアプローチを採用した高性能なCNAPPです。複数のセキュリティ エンジンを相関させ、クラウド スタック全体の設定ミス、脅威、脆弱性に起因する隠れたリスクに優先順位を付け、コスト、複雑さ、部門間の摩擦を低減する100%エージェントレスなソリューションです。

分散型クラウドや開発、DevOpsのライフサイクル全体におけるインフラとアプリのセキュリティ リスクを優先するために、統合プラットフォームをゼロから構築し、以下を可能にします。

  • 構成の保護:クラウド インフラ、リソース、データ、アイデンティティー全体にわたって包括的なCSPM制御を維持します。詳細はこちら
  • 権限の保護:最小特権アクセスを施行することで、ユーザーとマシンのアイデンティティーを保護します。詳細はこちら
  • Infrastructure as codeの保護:開発者とDevOpsのワークフローでセキュリティをシフトレフトし、脆弱性とコンプライアンスの問題を解決します。詳細はこちら
  • データの保護:可視性、制御、コンプライアンスを維持しながら、複数のクラウド リポジトリーにわたって機密データを保護します。詳細はこちら
  • ワークロードとアプリケーションの保護:ゼロトラストを活用し、アプリのライフサイクル全体にわたってホスト、コンテナー(Kubernetesなど)、サーバーレス機能をエージェントレスで保護します。詳細はこちら

おすすめのリソース

CNAPPとSASE:すべてを支配する2つのプラットフォーム
ブログを読む
Posture Control
詳細情報
ワークロードのためのZscaler
詳細情報
The Top 5 Reasons to Deploy a CNAPP Now
ブログを読む(英語)
Top 5 Benefits of a Cloud Native Application Protection Platform (CNAPP)
ブログを読む(英語)
01 / 03