クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)とは

CNAPPが重要な理由

従来のセキュリティ アプローチやツールは、クラウド ネイティブなアプリやサービスではなく、オンプレミスのデータ センターやエンドポイントを保護するために設計されたものです。クラウド ネイティブな技術、強力な自動化を伴う動的かつエフェメラルな環境、より速いリリース サイクル、そして最新の開発手法(Infrastructure as code [IaC]、CI/CDパイプライン、コンテナー、サーバーレス機能、Kubernetesなど)への移行が進むいま、従来のツールでは十分に対応できなくなってきています。

パブリック クラウドでは頻繁に変更が行われるため、セキュリティ部門にはセキュリティとコンプライアンスの両面での対応が求められます。「組織全体のスピードを低下させない対応」が理想ですが、そのためには、セキュリティ上の問題や脆弱性を開発の早い段階で特定、修正し、一貫性のあるセキュリティを継続的に提供する必要があります。しかし、今日の環境では多くの相互依存関係が存在するため、従来のアプローチでは簡単にこれを実現できません。

クラウドのセキュリティとコンプライアンスを最適化して、DevOpsがスムーズに作業できるようにするために、セキュリティ部門はインフラの保護からワークロード上で実行されるアプリの保護へと進化する必要があります。つまり、クラウド サービスの構成と本番環境のセキュリティを最低限確保し、ランタイム保護を追加の保護の貴重なレイヤーとして使用する必要があるのです。

CNAPPの主なコンポーネント

優れたCNAPPでは、さまざまなシグナルの情報を相関付けて一元管理できるため、セキュリティ部門は組織の最大のリスクを特定して優先順位を付けることができます。他にも次のような機能を提供します。

• クラウド セキュリティ ポスチャー管理(CSPM):クラウド環境のコンプライアンス リスクと設定ミスの監視、特定、警告、修正を行います。
  • Infrastructure as Codeセキュリティ：ソフトウェア開発ライフサイクルの早い段階でコードの設定ミスを検出し、実行時の脆弱性を防止します。
  • コンプライアンスとガバナンス：コンプライアンスの状態を管理し、マルチクラウド環境全体における構成ドリフトとポリシー違反を修正します。
• クラウド インフラストラクチャー エンタイトルメント管理(CIEM):許可と活動の状況を継続的に監視することで、パブリック クラウド環境におけるデータ流出のリスクを低減します。
• データ保護：データの監視、分類、検査を行い、フィッシング、悪意のある内部関係者、その他のサイバー脅威による重要データの流出を防止します。
• アイデンティティーとアクセス管理(IAM):社内リソースへのアクセスを制御し、ユーザーの権限がシステムやデータへのアクセスを適切な場合のみ許可するようにします。
• クラウド ワークロード保護プラットフォーム(CWPP):ハイブリッド、マルチクラウド、データ センター環境における物理マシン、VM、コンテナー、サーバーレス ワークロードの可視化と制御を可能にします。

旧式のアプローチが抱える課題

組織が成長するにつれて、さまざまな技術が混在し、多様なクラウド環境で一貫性のないセキュリティ制御が行われる傾向があります。セキュリティ部門は、CSPM、CIEM、CWPPなどのツールを導入し、クラウド インフラストラクチャーや本番環境を保護していますが、このようなアプローチではリスクに優先順位を付け、修正することはできません。その理由は次のとおりです。

• 可視性のギャップとセキュリティの死角
• 複数存在するデータ ポイント
• 情報のオーバーフローと時間のかかるデータ相関プロセス
• 迅速な対応が必要となる重大な問題を通知しないアラートの問題
• 各ツールのリソース、技術的な専門知識、トレーニングが限定的
• 各ツールを個別管理するための複雑な運用と高い作業負荷

複雑な環境下で異なるツールを使って適切に管理しようとすると、多くの時間、リソース、手作業が必要になります。そしてほとんどの場合、これだけでは不十分なのです。

CNAPPのメリット

統合セキュリティ ソリューションであるCNAPPは、エフェメラル環境、コンテナー化環境、サーバーレス環境に対応するための完全なセキュリティ カバレッジを提供し、以下を実現します。

• 一元的な管理：軽微な問題、個々のイベント、そして隠れた攻撃ベクトルを特定して関連付けることで、チームのコラボレーションと効率を向上させ、アラート、推奨措置、修正ガイダンスを含む直感的なビジュアル フローで的確な情報に基づいた意思決定を支援します。
• 複雑性と作業負荷の削減：複数のポイント製品に代わって、構成、資産、権限、コード、ワークロードを包括的に可視化することでリスクの全体像を把握します。CNAPPは何百万件もの属性を分析し、重要度が最も高いリスクから対処できるように優先順位を付けます。
• クラウドとサービスを包括的にカバー：IaaSやPaaSを含むマルチクラウドのフットプリント全体、VM、コンテナー、サーバーレス ワークロード、開発環境までをカバーした可視化と洞察により、リスクの早期発見と修正を実現します。
• DevOpsのスピードに追随するセキュリティ：IDEプラットフォームと統合し、開発やCI/CDの過程中の設定ミスやコンプライアンスの問題を特定します。また、SecOpsエコシステムと統合し、違反があった場合にアラート、チケット、ワークフローを起動し、担当部門がすぐに対応できるようにします。
• セキュリティの責任を割り当てるガードレール：DevOpsサイクルの各レベルにセキュリティ制御を導入し、既存の開発およびDevOpsツールにネイティブに統合できます。ガードレールを導入することで、開発者は自身の作業に関するセキュリティのオーナーシップを持つことができるため、セキュリティ部門とDevOpsの間の摩擦を減らし、DevSecOpsをより効果的にサポートできます。

CNAPPの仕組み

CNAPPプラットフォームは、複数のセキュリティ ツールや機能を統合するほか、複雑性と作業負荷を軽減しつつ、以下の機能を提供します。

• CSPM、CIEM、CWPPツールを組み合わせた機能
• 開発ライフサイクルにおける脆弱性、コンテキスト、関係性の相関
• 優先度の高いリスクを豊富なコンテキストとともに特定
• 脆弱性と設定ミスを修正するためのガイド付き自動修正
• 不正なアーキテクチャーの変更を防止するガードレール
• SecOpsエコシステムと簡単に統合して、ほぼリアルタイムでアラートを送信

CNAPPに含まれるもの(「How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB, 2021」からの画像。Gartner、2021年5月6日)

CNAPPの主な機能

多くのセキュリティ ツールやコンプライアンス ツールを統合したCNAPPには、次のような独自の機能が多数存在します。

マルチクラウド インフラストラクチャーの保護

アプリ、API、クラウド リソース、アイデンティティー、機密データをすべて検出します。AWS、Azure、Google Cloud全体のコンプライアンスとコンプライアンス違反のリソースを完全に可視化し、リスクに基づいて修正するために優先付けを行います。

本番環境の保護

開発プロセスの早期段階でセキュリティ対策を実施するシフトレフト セキュリティを行います。DevOps担当者が脅威や脆弱性をより迅速に検出、修正できるようにし、アプリケーションとデータのコンプライアンスを確保します。

ワークロードの保護

脆弱性やセキュリティの設定ミスをより簡単に検出、管理し、ネットワークベースの動作監視、ポリシー適用、アイデンティティーに基づいたクラウド ワークロード セグメンテーションを実行します。

継続的なガバナンスとコンプライアンス

データ、構成、権限の継続的なコンプライアンスとガバナンスを実現するために自動化されたセキュリティ制御を使用することで、監査に費やす時間を大幅に削減します。

部門間のコラボレーションを促進するプラットフォーム

共通のワークフロー、データ相関、有意義な考察と修正を組み込むことで、DevSecOps、DevOps、クラウド セキュリティ運用などの部門間のスムーズなコラボレーションを促進します。

CNAPPに対するGartnerの推奨事項

「Innovation Insight for Cloud-Native Application Protection Platforms」の中で、Gartnerは次のようにアドバイスしています。「開発とランタイムを切り離して、別々のツールを組み合わせて保護、スキャンするのではなく、セキュリティとコンプライアンスを開発と運用の連続体として扱い、可能な限りツールの統合を目指すべきです」

主な推奨事項には次が含まれます。

• クラウド ネイティブ アプリケーションの開発環境から本番環境までのライフサイクル全体をカバーする包括的なセキュリティ アプローチを実装する
• 開発の成果物やクラウド構成を包括的にスキャンし、これをランタイムの可視性や構成の認識と組み合わせて、リスク改善の優先順位を決定する
• CSPMとCWPPの契約満了に伴い、新たに登場するCNAPPを評価し、この機会を利用して複雑性を軽減し、ベンダーを統合する

ZscalerとCNAPP

ZscalerのPosture Control™はクラウド ネイティブ アプリケーションのセキュリティに根本的に新しいアプローチを採用した高性能なCNAPPです。複数のセキュリティ エンジンを相関させ、クラウド スタック全体の設定ミス、脅威、脆弱性に起因する隠れたリスクに優先順位を付け、コスト、複雑性、チーム間の摩擦を低減する100%エージェントレスなソリューションです。

分散型クラウドや開発、DevOpsのライフサイクル全体におけるインフラとアプリのセキュリティ リスクを優先するために、統合プラットフォームをゼロから構築し、以下を可能にします。

• 構成の保護：クラウド インフラストラクチャー、リソース、データ、アイデンティティー全体にわたって包括的なCSPM制御を維持します。詳細はこちら
• 権限の保護：最小特権アクセスを適用することで、ユーザーとデバイスのアイデンティティーを保護します。詳細はこちら
• infrastructure as codeの保護：開発者とDevOpsのワークフローでセキュリティをシフトレフトし、脆弱性とコンプライアンス問題を解決します。詳細はこちら
• データの保護：可視性、制御、コンプライアンスを維持しながら、複数のクラウド リポジトリーにわたって機密データを保護します。詳細はこちら
• ワークロードとアプリケーションの保護：ゼロトラストを活用し、アプリのライフサイクル全体にわたってホスト、コンテナー(Kubernetesなど)、サーバーレス機能をエージェントレスで保護します。詳細はこちら