2024 Gartner® CNAPPマーケットガイド: ランタイムインサイトはクラウドネイティブアプリケーション保護プラットフォームの重要な要素

By 清水 孝郎 - JULY 28, 2024
Topics: クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ

SHARE:

content:

本文の内容は、2024年7月26日にChris Petty が投稿したブログ(https://sysdig.com/blog/gartner-runtime-insights-is-a-core-pillar-of-cnapp/)を元に日本語に翻訳・再構成した内容となっております。

組織がセキュリティニーズに対応するための統合プラットフォームを探し続ける中で、重要な変化が起きています。顧客は、静的なリスク(設定ミス、ポリシー/コントロールの失敗、ネットワークの露出など)にのみ焦点を当てた従来のツールでは、現在のダイナミックなクラウド脅威に対処できないことに気づいています。必要なのは、リアルタイムの設定変更や重要な脆弱性を持つ使用中のパッケージなど、アクティブなリスクを優先順位付けできるランタイム可視性を備えたソリューションであり、今何に集中すべきかを示してくれるものです。

2024 Gartner Cloud-Native Application Protection Platforms (CNAPPs) マーケットガイドでは、このダイナミクスやCNAPP分野の他のトレンドを検証しています。CNAPPはもはや新しいトレンドではなく、セキュリティツールを統合し、複雑さとコストを削減し、パイプライン全体の敏捷性を向上させるために不可欠なものです。

Sysdigは、CNAPP全体でリアルタイム機能を拡大し続け、重要なリスクを優先する包括的なクラウドセキュリティプラットフォームを提供しています。CNAPPの採用が増え続ける中で、顧客はソリューションを評価する際に何が最も重要であるかを検討することが重要です。

CNAPPとは?

Gartnerによると、『クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、クラウドネイティブインフラストラクチャーおよびアプリケーションを保護するために設計された、統合された緊密なセキュリティおよびコンプライアンス機能のセットです。』

CNAPP の機能は次の点で役立ちます。

  • クラウド セキュリティの複数の領域にわたって通信できる統合プラットフォームを通じて、クラウドリスクの優先順位付けと修復を行います。
  • クラウドネイティブ アプリケーションが急速に開発され、本番環境にリリースされ、反復される際に、リソースの構成ミス、間違い、または管理ミスが発生する可能性を減らします。
  • 継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインに関与するツールとベンダーの数を統合して削減します。
  • 開発パイプラインとツールにシームレスに統合されるセキュリティ スキャン機能により、開発者の受け入れを向上させます。
ガートナー CNAPP マーケット ガイド

CNAPPの利点

エンドツーエンドの可視性の向上: 成功するCNAPPは、多様なソースからの大量のデータを処理する必要があります。これには、Linuxのシステムコール、Kubernetesの監査ログ、クラウドログ、OktaなどのIDおよびアクセスツールからのデータが含まれます。さらに、クラウド環境は、パブリック、プライベート、オンプレミス、ハイブリッドインフラストラクチャー上で実行される多種多様なワークロードにわたることがあります。広範なカバレッジが不可欠であるのは、多くの潜在的な攻撃の入口が存在するため、および攻撃者が横移動する可能性があるためです。従来のツールは環境の一部の可視性を提供するかもしれませんが、CNAPPはワークロード、クラウドサービス、Linux/Windows、ID、サードパーティアプリケーション全体にわたるエンドツーエンドの可視性を提供できます。

ランタイム インサイトによるリスクの迅速な優先順位付け:セキュリティ チームがクラウド環境全体で最も影響の大きい問題に優先順位を付ける鍵となるのは、ランタイム インサイトです。ランタイム インサイトは、現在実行中のものに関する知識に基づいて、環境内で最も重要な問題に関する実用的な情報を提供します。これにより、デプロイメントで実際に何が起こっているかを把握できるため、セキュリティチームと開発チームは現在の悪用可能なリスクに集中できます。アクティブなパッケージに関連付けられた脆弱性からリアルタイム検出まで、CNAPP ソリューションは、検出結果をリアルタイムで相関させて、隠れた攻撃パスとリスクを発見できる必要があります。クラウドドメイン全体の点と点を結び付けることにより、セキュリティチームは、どのリスクに対処するのが最も重要であるかを情報に基づいて決定できます。これにより、チームはアラート疲れを解消し、詳細な可視性を提供し、関連する疑わしいアクティビティを特定できます。

クラウドの脅威をリアルタイムで検知して対応する機能: EDR および XDR ツールはクラウドには根本的に適していません。そのため、依然としてこれらのツールに依存しているセキュリティチームは、クラウドコンテキストが欠如した不完全でサイロ化されたデータに苦戦しており、検知、調査、対応が大幅に遅れています。CNAPP の一部であるクラウド検出および対応 (CDR) は、状態とランタイムインサイトを自動的に相関させて真のクラウド ネイティブコンテキストを実現し、ワークフローを加速してスキル ギャップを解消します。予防だけではもはや十分ではありません。脅威アクターが進化して独自の未知の攻撃を開発するにつれて、防御側は未知の攻撃をリアルタイムで検出して阻止することを優先する必要があります。クラウド専用のソリューションがなければ、組織はゼロデイ攻撃から効果的に防御することはできません。

CNAPP がセキュリティおよび DevOps チームを支援する方法

単一の専用プラットフォームでサイロを解消し、下流のアクティビティを効率化できます。セキュリティは、主要な関係者に関連性の高い高度なガイダンスを提供することで、貴重なビジネス パートナーになります。迅速な調査結果により、インシデント対応、プラットフォーム、開発者、DevSec チーム全体にわたる対応アクションの規範的なガイダンスが可能になります。これらの迅速な調査結果により、対応チームは555 ベンチマーク クラウド検知および対応で概説されている 5 分で対応基準するに準拠して、5 分以内に対応を開始できます。

セキュリティチームとプラットフォーム/開発チームの間で『ループを閉じる』ことにも価値があります。セキュリティチームが調査結果(設定ミス、権限、脆弱性がどのように悪用されて攻撃が継続されたかなど)を活用し、その洞察を共有して予防的コントロールを調整および強化する能力は、エンタープライズが安全を維持するために重要です。これは、予防と強化から検出および対応までを含みます。予防的コントロールの継続的な改善に焦点を当てることで、インシデントの再発を防ぎ、組織のクラウドリスクを軽減することができます。

CNAPP にクラウド検知と対応が必要な理由

今のクラウド運用の広範な性質と複雑さは、新しい実用的なセキュリティアプローチを必要としています。クラウドサービスは、オペレーティングシステムや関連するプロセスをはるかに超えて拡張されており、これらはエンドポイント検出および対応(EDR)ツールの主要な領域です。高度な脅威行為者は、AIや自動化技術を駆使して、ほぼリアルタイムでクラウドサービスを悪用することがよくあります。

アイデンティティとアクセス管理、脆弱性管理、その他の予防的コントロールは、堅牢な防御を構築するために重要ですが、防御者は進行中の攻撃を停止する能力を持たなければなりません。クラウドの脅威に効果的に対抗するために、セキュリティチームには、クラウドの複雑さと速度に対応するために特別に設計された包括的で実行可能なクラウド検出および対応(CDR)ソリューションが必要です。このソリューションは、クラウド全体の資産にわたる発見をリアルタイムで関連付け、クラウド脅威の速度に匹敵するか、それを上回る速度で対処する必要があります。

結局のところ、EDRおよびXDRツールはクラウドセキュリティには根本的に適していません。これらは、侵害が発生する前に攻撃の「誰が」「何を」「どこで」「どのように」を理解するためのクラウドコンテキストを欠いています。このコンテキストがないと、チームは効果的にコミュニケーションを取って対応することができず、脅威を見逃し、大規模な侵害の可能性が大幅に増加します。CDRを優先する共有プラットフォームがなければ、セキュリティチームは常に後手に回ることになります。

CNAPPを評価するための推奨事項

ガートナーは、2024 年版クラウドネイティブ アプリケーション保護プラットフォームのマーケットガイドで、セキュリティおよびリスク管理のリーダー向けにいくつかの推奨事項を共有しています。レポートから得た理解に基づいて、購入プロセスを進めるのに役立ついくつかの質問を用意しました。

ソースから本番までの幅広いセキュリティユースケースに対応していますか?

これには次のような機能が含まれます。

  • クラウド検知と対応– コントロールプレーンを含む ID、ワークロード、クラウド アクティビティに対するリアルタイムのマルチクラウド相関、コンテキスト、可視性を実現します。
  • IaC セキュリティ– IaC マニフェストをスキャンして、デプロイメント前に誤った構成やセキュリティ リスクを特定し、ドリフトを防止します。 
  • 脆弱性管理とサプライ チェーンセキュリティ– SCM、CI/CD、レジストリ、ランタイム環境などのソフトウェア サプライ チェーン全体の脆弱性を特定し、優先順位を付けて修正します。  
  • AI ワークロードセキュリティ– 使用中の AI パッケージを含むワークロードに対する疑わしいアクティビティや変更にフラグを立てることで、アクティブな AI リスクを明らかにします。
  • クラウド内の ID とアクセスを最適化– 疑わしいユーザー アクティビティは侵害の最初の兆候となることが多いため、数秒以内に侵害を検出し、侵害された ID を封じ込め、将来の ID の不正使用を防ぐことが重要です。
  • Kubernetes セキュリティポスチャー管理 (KSPM) – Kubernetes にガバナンス、コンプライアンス、セキュリティ制御が含まれていることを確認します。
  • 構成とアクセス管理– クラウド リソース、ユーザー、さらには Lambda などの一時的なサービスなど、クラウド環境全体の誤った構成や過剰な権限を管理することで、態勢を強化します。
  • クラウドワークロード、ユーザー、サービス全体にわたる脅威の検知と対応– ルールと ML ベースのポリシーを組み合わせた多層検出アプローチ。脅威インテリジェンスで強化され、フォレンジックとインシデント対応のための詳細な監査証跡も提供されます。
  • eBPF とのユニバーサル互換性– Linux ホスト、Windows ホスト、Kubernetes ノードを広範囲にカバーすることで、導入を簡素化し、組織がクラウドネイティブ アプリケーションを開発する場所と方法に関して柔軟性を高めます。
  • コンプライアンス– PCI、NIST、HIPAA に対する動的クラウド/コンテナ環境のコンプライアンス標準を満たします。

重要なことの優先順位を正確に決めることができますか?

使用中のリスク露出に基づいて、最も重大な脆弱性、構成、またはアクセスミスを優先順位付けすることが重要です。例:

  • ランタイムで使用されているパッケージを理解することで、最も重要な脆弱性を優先的に修正することができます。私たちの調査によると、87%のコンテナイメージには高いまたは重大な脆弱性がありますが、実際にランタイムで読み込まれるパッケージに関連する脆弱性はわずか15%です。
  • リアルタイムのクラウドアクティビティにより、最もリスクの高い異常な振る舞いやポスチャーの変化を即座に発見できます。
  • ランタイムアクセスパターンは、最初に修正する必要がある過剰な権限を強調表示するのに役立ちます。 

また、修復ガイダンスを提供する機能により、最終的にはチームが最も重要な場所、つまりソースで直接、情報に基づいた意思決定を行うことができます。

カバレッジを最大化しつつ、深い可視性も提供できますか?

CNAPP ベンダーが、IaaS や PaaS を含む、VM、コンテナ、サーバーレス ワークロードにまたがるマルチクラウド フットプリント全体にわたって詳細な可視性と分析情報を提供しているかどうかを評価します。これには、多くの場合、可視性と制御のためのエージェントレスと、eBPF などのインストルメンテーション アプローチに基づく詳細なランタイム可視性の両方が含まれます。

 

彼らは本当にリスクを総合的に把握しているのでしょうか?

ベンダーの中には、チェックボックスをオンにするために複数の企業を買収するところもありますが、これは断片化された悪いエクスペリエンスをもたらします。ソースから本番環境のユースケースまで緊密に統合し、複数のポイント製品を置き換えて、構成、資産、ユーザー権限、ワークロード全体のリスクを包括的に把握できる CNAPP ベンダーを探してください。

カスタマイズは可能ですか?

組織はそれぞれ異なります。組織独自の環境に基づいてポリシーをカスタマイズし、結果をフィルタリングし、リスクを受け入れる能力が、ソリューションをうまく導入するための鍵となります。

それらは DevOps およびセキュリティエコシステムと緊密に統合されていますか?

CNAPP は、CI/CD ツールと統合し、デプロイメント前に構成ミスや脆弱性をスキャンするとともに、SIEM/通知ツールと連携してアラートをトリガーしたりイベントを転送したりして、チームがすぐに対応できるようにする必要があります。修正方法に関するガイダンスが重要です。ツールには、違反を IaC ファイルにマッピングし、豊富なコンテキストを通じてアラートを調査する際に状況認識を提供し、重要な場所、つまりソースを修正するための提案 (たとえば、プルリクエストの形式で) を提供する機能が必要です。

CNAPPにはランタイムの洞察が必要

ランタイムインサイトを備えたCNAPPを優先することで、セキュリティチームは予防と強化から検知と対応までの全範囲をカバーできるようになり、クラウドのすべてのチームがより効率的かつ自信を持って問題に対処できるようになります。組織がクラウドセキュリティの複雑さをますます乗り越える中で、ランタイムインサイトは包括的な可視性を提供し、迅速なリスクの優先順位付けを可能にし、アラートの過負荷を軽減することで決定的な優位性をもたらします。

エンドツーエンドの可視性とアラート疲れの課題に対処することで、ランタイムインサイトを備えたCNAPPは、セキュリティおよび開発チームが重要な脆弱性を迅速に特定、優先順位付け、および対処することを可能にし、組織のクラウドセキュリティの姿勢が革新のペースとシームレスに一致するようにします

Gartner® 2024 CNAPP マーケット ガイド(英語オリジナル)

今すぐダウンロードする

Gartner、「クラウドネイティブ アプリケーション保護プラットフォームのマーケット ガイド」、Dale KoeppenCharlie WincklessNeil MacDonaldEsraa ElTahawy、2023 年 7 月 22 日。

GARTNER は、米国および国際的に Gartner, Inc. および/またはその関連会社の登録商標およびサービス マークであり、ここでは許可を得て使用されています。無断複写・転載を禁じます。

Gartner は、その調査出版物に記載されているベンダー、製品、またはサービスを推奨するものではなく、また、最高の評価またはその他の指定を受けたベンダーのみを選択するようテクノロジー ユーザーにアドバイスするものでもありません。Gartner の調査出版物は、Gartner の調査組織の意見で構成されており、事実の記述として解釈されるべきではありません。Gartner は、商品性または特定目的への適合性に関する保証を含め、この調査に関して明示的または黙示的な保証を一切放棄します。