クラウド ワークロード保護プラットフォーム(CWPP)とは

CWPPが重要な理由

一般に、従来のネットワークベースのテクノロジーをクラウド環境に持ち込んでもうまく機能することはありません。組織ではワークロードに関する包括的で一貫した可視性が求められているものの、多く組織はアプリケーションの配置先としてクラウド サービス プロバイダー(CSP)とプライベート データ センターを組み合わせて利用しており、こうしたテクノロジーでそうした可視性を得ることは困難です。一方で、アプリケーション、ワークロード、サービスは、現代の組織のセキュリティ計画の中核に据えるべきものです。

重要なのは、エンドポイントの保護プラットフォームは本来、主にノートパソコン、デスクトップ、モバイル デバイスの保護を目的に開発されたものであるという点です。クラウド ワークロードを念頭に置いたものではないため、このようなテクノロジーでは組織のデータが危険にさらされてしまいます。したがって、別の目的で構築された従来のテクノロジーを転用しただけのものではなく、クラウド ワークロードの保護を目的としてゼロから構築された真のCWPPが必要となります。

また、ワークロードのセキュリティは受動的なものではなく、問題に先回りで対応するものでなくてはなりません。たとえば、脆弱性や設定ミスがないかどうかを調べるためのクラウド ワークロードのスキャンは展開時点で行うと最も効果的です。これは、ワークロードの侵害よりも設定ミスの方が組織に大きなリスクをもたらすためです。

CWPPに求められる要素

企業が進化を遂げるにつれて、CWPPの必要性は高まり続けています。市場には数多くの選択肢が存在しますが、そのすべてが完全な機能を備えたプラットフォームであるとは限りません。CWPPソリューションを比較検討する際は、以下の点に注意しましょう。

• 近い将来、エンタープライズ インフラストラクチャーの大半はハイブリッドのマルチクラウド アーキテクチャーになるため、CWPPが効果的であるためには物理マシン、仮想マシン、コンテナー、サーバーレス ワークロードの保護に対応している必要がある。
• CWPPの管理は単一のAPIセットで管理された単一のコンソールから行える必要がある。
• 穴のないCWPPであれば、APIを介してクラウド環境での自動化を促進する機能をすべて公開している。
• 優れたCWPPベンダーであれば、サーバーレス保護のロードマップとアーキテクチャーの設計を開示できる。

CWPPに関してセキュリティ担当者が考慮すべき点

将来に備えたクラウド ワークロード保護を実現するためには、製品機能のほかにも、CWPP機能をどのように組み込んでいくか考慮することが重要です。具体的には以下のような点を考慮することをお勧めします。

• 可視性と制御：場所、サイズ、アーキテクチャーを問わず、すべてのワークロードに対して一貫した可視性と制御を提供できるCWPPのアーキテクチャーであることを確認する。
• コンテナー保護：コンテナー セキュリティを提供しているか明確なロードマップを基にサーバーレス保護をサポートしており、リスクの高い設定を特定するための統合クラウド セキュリティ ポスチャー管理(CSPM)を提供しているCWPPベンダーを検討する。
• スキャンとコンプライアンス：ワークロードのスキャンとコンプライアンスは、DevSecOpsのアプローチの一環として、DevOpsに拡張される必要がある(特にコンテナーベースおよびサーバーレス機能を持ったPaaSベースの開発、展開の場合)。
• ゼロトラストの原則：ワークロード保護のアプローチとして、ウイルス対策に基づく戦略ではなく、ランタイムの可能な部分において(検出モード時だけでも)デフォルト拒否のアプローチを適用する。
• 柔軟性：ランタイム エージェントの使用が不可能か意味をなさないCWPPシナリオに対応したアーキテクチャーを構築する。

ZscalerとCWPP

Zscalerのプラットフォームの主要コンポーネントであるZscaler for Workloadsは、ワークロードの保護に欠かせない以下のようなサービスを提供しています。

• クラウド セキュリティ ポスチャー管理：クラウド アプリの設定ミスは、クラウドにおける情報漏洩の最も一般的な原因の1つです。Zscaler Workload Postureは、IaaS、PaaS、SaaS環境におけるアプリの設定ミスを迅速に特定して修正します。
• ゼロトラスト ネットワーク アクセス(ZTNA)：ユーザーやアプリをインターネット上に露出させるような要素(VPNなど)は、組織のネットワークが発見および攻撃されるリスクを高めてしまう可能性があります。インターネットに接続するファイアウォールやツールはすべて攻撃対象領域を拡大させてしまいます。ZTNAサービスであるZscaler Private Access™を利用すれば、従業員、パートナー、サード パーティーに、クラウド アプリへの安全なアクセスを提供することが可能です。ユーザーをネットワーク上に配置したり、アプリをインターネットに露出させたりすることはありません。
• Any-to-Any接続の保護：拠点間VPNを使用してネットワークをパブリック クラウドに拡張すると、コストがかかるだけでなく危険性や複雑性を伴います。対照的に、Zscaler Cloud Connectorは、ハイブリッドおよびマルチクラウド環境全体で、ゼロトラストによるアプリ間接続とアプリからインターネットへの接続を提供します。ハブ、仮想ファイアウォール、VPN、静的なネットワークベースのポリシーのような複雑性はなくなり、大きなコストもかからなくなります。
• ワークロード セグメンテーション：IPベースのネットワーク セグメンテーションは、動的に変化するクラウド ワークロードを処理する機能が十分に整っていないため、露出や水平移動のリスクを高めます。Zscaler Workload Segmentationは、アプリ ワークロードの迅速なマイクロセグメンテーションを可能にし、スピーディーなリスクの特定、セグメンテーションの適用、ポリシーの自動更新を実現します。ネットワークの変更は必要なく、マイクロセグメンテーションのポリシーは90％削減できます。

Zscaler for Workloadsは、将来を見据えた総合的なクラウド ワークロード保護プラットフォームです。