本文の内容は、2023年5月17日にANNA BELAK が投稿したブログ(https://sysdig.com/blog/cloud-security-turns-out-we-needed-another-acronym-cnapp)を元に日本語に翻訳・再構成した内容となっております。
ガートナーが発表した2023年の「Cloud-Native Application Protection Platforms Market Guide」(CNAPP)により、一部のセキュリティ・リーダーは、クラウドという複雑な獣を保護するために新たなツールが必要なのかどうか疑問を抱きました。
しかし、安全なアプリケーションを迅速に提供することを重要視している企業であれば、CNAPPは注目すべき製品でしょう。CNAPPとは一体何なのでしょうか?その名の通りです:
クラウドネイティブアプリケーションは、セキュリティで保護されるべきです。クラウドネイティブソフトウェアは、通常、クラウド環境で動作するように設計された、カスタム開発されたグリーンフィールドソフトウェアです。クラウドネイティブアプリケーションは、レガシーな商用既製アプリケーションとは正反対のものです。
プロテクションプラットフォームは、幅広いセキュリティ機能セット、相互運用性、エコシステムの統合を意味します。
CNAPPは、既存のツールを1対1で置き換えるものではありません。ほとんどの組織は、完全なクラウドネイティブではなく、またそうなることもなく、従来の環境のセキュリティを維持し続ける必要があります。例えば、CNAPPは、リモートワークのエンドポイントプロテクションを置き換えることはできません。
CNAPPの機能の中には、従来のツールと同じ問題に対処しているように聞こえるものもありますが、それらは特に、クラウド向けに開発された最新のアプリケーションやインフラストラクチャーの安全性を確保するためのユースケースに対応しています。
これには、従来のアーキテクチャーにありがちな過剰な割り当てを必要としない、オンデマンドリソースによる弾力性と回復力の利点が含まれます。クラウドネイティブアプリケーションを(まだ)ビルドしていないのであれば、CNAPPは(まだ)必要ありません。つまり、CNAPPは、購入したソフトウェアではなく、ビルドしたソフトウェアを保護するためのものです。
しかし、ほとんどの組織、特にデジタルトランスフォーメーションの真っ只中にある組織は、業種に関係なく、アプリケーションや機能を構築していることに気づきます。
チームには独自のニーズがある
CNAPPはビルドしたソフトウェアのセキュリティ確保を支援するため、ツールは非常に幅広いユーザーのニーズに応え、大規模なシステムとの相互運用をスムーズに行う必要があります。高度なセキュリティスキルを持たない開発者や、開発経験の少ないセキュリティ運用チームにとって、親しみやすく、摩擦のないプラットフォームでなければなりません。私たちが何十年も直面してきた修復と対応に関するワークフローの課題は、ここでも続いています。そして、デジタルトランスフォーメーションの大規模、高速、複雑さによって悪化しているのです。
CNAPP製品を検討する際には、評価チームにすべての潜在的なユーザーグループの代表者が含まれていることを確認してください。ワークフロー、開発ツール(gitなど)やSOCツール(SIEMなど)とのインテグレーション、データが各ユーザーペルソナのために適切で実用的なコンテキストで表示されるかどうかに特に注意を払うことです。全体として、アプリケーション中心の視点を持つことが有効です。
CNAPPは、従来のITサイロやセキュリティ領域に焦点を当てるのではなく、アプリケーションのライフサイクル全体を通して、そのセキュリティに取り組むものだと考えてください。
シフトレフト、シールドライトの魔法をかけましょう
シフトレフトとは、アプリケーションのライフサイクルの早い段階でセキュリティの問題を発見することです。 完全に完璧なものを提供することは不可能であるため、ライトシールドとは、ランタイムにおいて攻撃からワークロードが安全であることを確認します。
効果的なCNAPPはまた、何らかの形でリスクの集約と相関を提供します。例えば、インターネットからアクセス可能な脆弱な資産や、既知の脆弱なライブラリが特定のアプリケーションで使用されているかどうかなど、プラットフォームがスポットライトを当てることができます。
アプリケーションを中心としたセキュリティへのアプローチには、かなりの複雑さが伴います。通常は一緒に仕事をしないチームが、非常に緊密に協力する必要があります。敵対的な関係を築く余地はなく、摩擦を減らすことが優先されるべきです。
この戦略を効果的に実施することで、アプリケーション、そのコンポーネント、およびそれをサポートするインフラストラクチャーに関するリスクの集約的なビューを形成することができます。そうすれば、脆弱性をモグラ叩きするのではなく、リスクの根本的な原因に対処するためのセキュリティプログラムへの投資について、より効果的に推論できるようになります。
ここでは、1つのツールに多くのことを求めていますが、ほとんどのベンダーが提供するツールには、欠けている部分や弱い部分があるでしょう。CNAPPを購入するのであれば、頭文字は完全に忘れて、特定の要件に集中するのが一番です。NIST SP 800-53とCSA Cloud Controls Matrixから始めることもできますが、あるCNAPPが関連するコントロールを提供しているかどうかを評価する前に、それらを自分の組織に合わせて調整する必要があります。市場はまだ成熟途上であり、ベンダーの製品ロードマップを既存の機能セットと同様に重視した上で評価する必要があります。
クラウドの脅威はリスクなのか?
サプライチェーンのリスクは、セキュリティリーダーにとって何年も前から大きな関心事となっています。自社でソフトウェアをビルドする場合、ベンダーからソフトウェアを購入する場合よりも、ソフトウェアのサプライチェーンの大部分に直接責任を持つことになります。公開リポジトリに潜む悪意のあるイメージの山や、クラウド資産を狙った高度な攻撃など、新たなリスクも発生します。
良い点としては、構築することで、提供する機能と、提供プロセスと最終製品の両方のセキュリティをより詳細に制御できるようになります。 クラウド専用に設計された効果的なツールを備えたセキュリティ プログラムにより、急速に進化する脅威の状況に伴うリスクを軽減する上で組織は有利な立場に立つことができます。
多くのセキュリティの課題と同様に、セキュリティポスチャーの維持は、ツールだけでなく、大部分が人間の問題であることに変わりはありません。CNAPPの価値を最大限に引き出すには、技術的な問題だけでなく、組織的な要因、クラウドの利用パターン、デザインの選択に大きく依存します。
ノート:この記事は、The New Stackに掲載されたものです。