ファイアウォールの新たなゼロデイ脆弱性が話題になっています。ファイアウォールやVPNについて不安をお持ちの場合は、Zscalerの特別オファーをご活用ください。

詳細はこちら
Zpedia / クラウド ワークロード保護プラットフォーム(CWPP)とは

クラウド ワークロード保護プラットフォーム(CWPP)とは

クラウド ワークロード保護プラットフォーム(CWPP)は、最新のクラウドおよびデータ センター環境のワークロードを保護するために構築されたセキュリティ ソリューションです。効果的なCWPPを活用することで、あらゆる場所の物理マシン、仮想マシン、コンテナー、サーバーレス ワークロードに関する一貫したセキュリティ制御と可視性を得られます。CWPPは、ワークロードの展開時に既知の脆弱性をスキャンし、実行時にはアイデンティティーベースのマイクロセグメンテーション、ホストベースの侵入防止、オプションのマルウェア対策などでこれを保護します。

CWPPが重要な理由

一般に、従来のネットワークベースのテクノロジーをクラウド環境に持ち込んでもうまく機能することはありません。組織ではワークロードに関する包括的で一貫した可視性が求められているものの、多くの組織はアプリケーションの配置先としてクラウド サービス プロバイダー(CSP)とプライベート データ センターを組み合わせて利用しており、こうしたテクノロジーでそうした可視性を得ることは困難です。一方で、アプリケーション、ワークロード、サービスは、現代の組織のセキュリティ計画の中核に据えるべきものです。

重要なのは、エンドポイントの保護プラットフォームは本来、主にノートパソコン、デスクトップ、モバイル デバイスの保護を目的に開発されたものであるという点です。クラウド ワークロードを念頭に置いたものではないため、このようなテクノロジーでは組織のデータが危険にさらされてしまいます。したがって、別の目的で構築された従来のテクノロジーを転用しただけのものではなく、クラウド ワークロードの保護を目的としてゼロから構築された真のCWPPが必要となります。

また、ワークロードのセキュリティは受動的なものではなく、問題に先回りで対応するものでなくてはなりません。たとえば、脆弱性や設定ミスがないかどうかを調べるためのクラウド ワークロードのスキャンは展開時点で行うと最も効果的です。これは、ワークロードの侵害よりも設定ミスの方が組織に大きなリスクをもたらすためです。

CWPPに求められる要素

企業が進化を遂げるにつれて、CWPPの必要性は高まり続けています。市場には数多くの選択肢が存在しますが、そのすべてが完全な機能を備えたプラットフォームであるとは限りません。CWPPソリューションを比較検討する際は、以下の点に注意しましょう。

  • 近い将来、エンタープライズ インフラストラクチャーの大半はハイブリッドのマルチクラウド アーキテクチャーになるため、CWPPが効果的であるためには物理マシン、仮想マシン、コンテナー、サーバーレス ワークロードの保護に対応している必要がある。
  • CWPPの管理は単一のAPIセットで管理された単一のコンソールから行える必要がある。
  • 穴のないCWPPであれば、APIを介してクラウド環境での自動化を促進する機能をすべて公開している。
  • 優れたCWPPベンダーであれば、サーバーレス保護のロードマップとアーキテクチャーの設計を開示できる。

CWPPに関してセキュリティ担当者が考慮すべき点

将来に備えたクラウド ワークロード保護を実現するためには、製品機能のほかにも、CWPP機能をどのように組み込んでいくか考慮することが重要です。具体的には以下のような点を考慮することをお勧めします。

  • 可視性と制御:場所、サイズ、アーキテクチャーを問わず、すべてのワークロードに対して一貫した可視性と制御を提供できるCWPPのアーキテクチャーであることを確認する。
  • コンテナー保護:コンテナー セキュリティを提供しているか明確なロードマップを基にサーバーレス保護をサポートしており、リスクの高い設定を特定するための統合クラウド セキュリティ ポスチャー管理(CSPM)を提供しているCWPPベンダーを検討する。
  • スキャンとコンプライアンス:ワークロードのスキャンとコンプライアンスは、DevSecOpsのアプローチの一環として、DevOpsに拡張される必要がある(特にコンテナーベースおよびサーバーレス機能を持ったPaaSベースの開発、展開の場合)。
  • ゼロトラストの原則:ワークロード保護のアプローチとして、ウイルス対策に基づく戦略ではなく、ランタイムの可能な部分において(検出モード時だけでも)デフォルト拒否のアプローチを適用する。
  • 柔軟性:ランタイム エージェントの使用が不可能か意味をなさないCWPPシナリオに対応したアーキテクチャーを構築する。

ZscalerとCWPP

Zscalerのプラットフォームの主要コンポーネントであるZscaler Workload Communicationsは、クラウド ワークロードに包括的なゼロトラスト セキュリティを提します。Zscalerのプラットフォームはすべてのトラフィックをインラインで検査してサイバー脅威や情報漏洩を防ぎます。また、アクセス要求のアイデンティティーとコンテキストを検証し、適切なポリシーをすべて適用したうえで、インターネット、SaaSアプリ、プライベート ワークロードへの接続を確立します。

Zscaler Workload Communicationsにより、次のようなことを実現できます。

  • ミッションクリティカルなクラウド アプリケーションの保護:ゼロデイ攻撃、情報漏洩、ランサムウェア攻撃からミッションクリティカルなアプリケーションを守り、事業継続性を確保します。
  • サイト間VPNの排除:ゼロトラストにより、さまざまなVPC/VNet、リージョン、パブリック クラウドにあるクラウド ワークロードの接続時に最小特権アクセス ポリシーが適用されます。
  • M&Aに伴う統合の加速:ネットワーク同士を接続することなく、異なるネットワーク上のアプリケーションにアクセスできるため、M&A後の統合作業を合理化できます。統合された組織全体のセキュリティ態勢を管理し、複数のVPC、リージョン、パブリック クラウドにわたりワークロードを保護します。
  • クラウド 仮想デスクトップ インフラの保護:ポリシーの適用により、明示的に許可されたサイトやプライベート アプリケーションへのアクセスを制御し、クラウド インフラで提供される永続的および非永続的なVDIを保護します。

詳細についてはZscaler Workload Communicationsのページでご確認ください。

おすすめのリソース