CSPM、CIEM、CWPP、CNAPP:クラウドセキュリティを取り巻く環境とは?

By 清水 孝郎 - DECEMBER 9, 2021
Topics: クラウド セキュリティ, コンテナ、Kubernetes、ホストのセキュリティ, コンプライアンス

SHARE:

CNAPP CIEM CSPM CWAPP Gartner terms
本文の内容は、2021年12月8日にAlba Ferriが投稿したブログ(https://sysdig.com/blog/cnapp-cloud-security-sysdig/)を元に日本語に翻訳・再構成した内容となっております。

お客様の組織におけるクラウド導入の成熟度に応じて、クラウド上のいくつかのサービスをPoCとして試していたり、いくつかのアプリケーションを実行していたり、あるいはクラウドという新しい時代を完全に受け入れていたりするかもしれません。初期段階であっても、すべてのワークロードを本番環境で稼働させている場合であっても、クラウドネイティブセキュリティがIT管理下のデータセンターのセキュリティとは異なることに、すでにお気づきのことと思います。

最近のガートナー社の調査によると、参加した組織の50%が、クラウドネイティブセキュリティに関する社内の知識が不足していると回答しています。

このような状況の中、セキュリティチームは、クラウドで使用する適切なセキュリティ・ソリューションを見つけ出そうとしていますが、カテゴリーや用語が次々と発生しています。では、ベンダーやクラウドプロバイダー、セキュリティのトレーニングコースで聞き続けている用語とは何でしょうか?また、どのような点に注目すべきなのでしょうか。

Gartner、Forrester、IDC、451 Groupなどの有名なアナリスト企業は、市場の新たなトレンドを説明し、新しいテクノロジーの定義を作ることに努めています。彼らは、SIEM、CRM、WAF……だけでなく、CSPMCWPPCIEMなどの造語を作っています。

CNAPP CIEM CSPM CWAPP Gartner terms
そういえば、ガートナー社の「Emerging Technologies」で言及されている最新のカテゴリーの一つ。Future of Cloud-Native Security Operations の中で言及されているのが「CNAPP」です。この新しい用語はどこに当てはまるのでしょうか?CNAPPについて簡単に説明しましょう。CNAPPは、CWPP、CSPM、CIEMにオプションのグッズを加えたものだと考えることができます。あなたは、CWPP、CSPM、CIEMが何を意味するのかまだ知らないかもしれないので、これはあまり役に立たない定義ですよね?

それでは、順を追って説明していきましょう。

CWPP

すべての始まりは、DevOpsチームがワークロードをクラウドに移行することでした。

DevOpsのワークフロー全体を保護するために、セキュリティ・リーダーはいくつかの特定のユースケースを満たす必要があり、それがCWPP(クラウド・ワークロード・プロテクション・プラットフォーム)ツールの焦点です。CWPPツールはワークロードを保護し、通常、AWS、Microsoft Azure、Google Cloud Platform(GCP)、およびその他のクラウドベンダー上のインスタンスを保護するクラウドベースのセキュリティソリューションを提供します。

これらのユースケースとは?
  • ランタイム検知:コンテナやマイクロサービスのランタイムにおける不審な振る舞いを防止・検出する。コンテナの脅威に対する対応を自動化します。
  • システムのハードニング:Linuxホストやホスト上で動作するVMベースのワークロードの内部での異常な振る舞いを検出します。
  • 脆弱性の管理:CI/CDやレジストリに格納されたコンテナイメージから、本番環境にデプロイする前にOSおよび非OSの脆弱性を検出する。
  • ネットワークセキュリティ:コンテナやKubernetes内のネットワークトラフィックを可視化し、Kubernetesネイティブのネットワークセグメンテーションを実施する。
  • コンプライアンス:コンテナのコンプライアンスを検証し、コンテナ内のFile Integrity Monitoringを確保する。
  • インシデント対応:コンテナがなくなった後も、コンテナやKubernetesのフォレンジックやインシデント・レスポンスを行う。
これらは基本的に、クラウド・ワークロード・プロテクション・プラットフォーム(CWPP)ソリューションに該当するユースケースであり、CWPPソリューションが扱うのは、アプリケーションのライフサイクル全体でワークロードを保護することです。

コンテナ化されたアプリケーションのセキュリティについてもっと知りたい方は、Cloud Native Learning Hubをご覧ください。

CWPP dashboard
セキュリティダッシュボードには、脆弱性スキャンの結果、深刻度別に検出されたCVE、ランタイム検出アラートが含まれている必要があります。

CSPM

ワークロードがクラウドに移行し、DevOpsチームが独自のインフラストラクチャーをプロビジョニングし始めると、ローカルデータセンターで管理された環境に慣れていたセキュリティチームは、自分たちの境界が広がっていることに気付きました。また、エフェメラルなインフラのダイナミックな性質に素早く適応しなければなりません。

また、クラウドを担当するチームは、クラウド・インフラ環境の新しいパラダイム(不変的なインフラ、コードとしてのポリシー、新しい境界としてのアイデンティティなど)に素早く適応しなければなりません。

ローカルのデータセンターと同様に、セキュリティの専門家は、ホスト・インスタンス、ユーザー・アカウント、データ・プライバシーにおけるコンプライアンスを確実に満たさなければなりませんでした。しかし、クラウド上にどのような資産があるのかを知るための可視性がないため、それらの資産の設定ミスを把握することは本当に難しいのです。

クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)は、クラウド・コントロール・プレーンの保護を目的としたさまざまなユースケースを統合したソリューションで、基本的にはクラウド・リソースを追跡し、クラウドの静的な構成を検証します。CSPMソリューションの中には、レメディエーションの提供などの拡張機能を追加するものもあります。

また、CSPMの主なユースケースの1つは、クラウドの設定がベストプラクティスに従っているかどうかをチェックすることです。アウトオブボックスフレームワークのコントロールとベンチマークがあれば、以下のような問題に対処する際に、クラウドチームの時間を節約できます。
  • データストレージがインターネットに直接さらされている
  • データベースの暗号化が行われていない。
  • 重要なシステムアカウントで多要素認証が有効になっていない。
違反が発生した場合に通知を受けることで、チームは優先的に改善策を講じることができます。

CSPM dashboard
CSPMのダッシュボードには、最も重要な真のポジティブ検出アラートが表示されます。

CIEM

アイデンティティ管理データプライバシーも、クラウドセキュリティプログラムの重要な側面です。

前述したように、境界がローカルのデータセンターだった頃は、誰が何にアクセスするかをコントロールすることが容易でした。今では、サーバーレスの機能であっても、データにアクセスするユーザーのように振る舞うことができます。

クラウドのパーミッションギャップに対応するために、CIEM(クラウド・インフラストラクチャー・エンタイトルメント・マネジメント)があります。CIEMを使えば、どの人間や非人間のアイデンティティがどのリソースにアクセスできるかだけでなく、彼らが日常的にどのようなパーミッションを使用しているかを把握し、最小特権のアクセスをエンフォースするためのポリシー変更を提案することができます。

例えば、あるプロジェクトに参加しているユーザーのグループがあるとします。これらのユーザーは、ECRリポジトリにイメージをアップロードし、それらのコンテナをEC2インスタンスで実行するだけでなく、いくつかのオートスケーリングアクションにも責任があります。管理者が持つすべての権限を持つ必要はありませんが、その方法が最もシンプルな構成になるかもしれません。VPCを削除するのですか?それは彼らの仕事ではありません。過剰なパーミッションをなくすことは、認証情報の盗難による付随的な被害を減らすための第一歩です。

CIEM dashoard
CIEMのダッシュボードは、最小の権限を行使するためのポリシーを提案する必要があります。

最後に CNAPP

ここまで来られた方は、おめでとうございます!点と点を結んだ後に、その姿を明らかにしようとしています。:)

CNAPPは、CWPP、CSPM、CIEMの各カテゴリーに属するさまざまなユースケースの組み合わせであると言いましたが、ソースを見てみましょう:

「クラウドネイティブ・アプリケーション・プロテクション・プラットフォーム(CNAPP)は、CWPP-CSPMコンバージェンス以上のものを提供します。CNAPPには2つの重要な要因があります。1つ目は、CWPPベンダーがワークロードのコンテキストを提供するためにポスチャーに注目していること。第二に、CSPMは、ワークロードを「ドリルダウン」しながら、より多くの可視性を提供するという課題を抱えている。CNAPPは、CSPMとCWPPを統合してその両方を提供し、さらにクラウドセキュリティ機能を追加して増強する可能性がある。”

Gartner, Inc., How to Protect Your Clouds with CSPM, CWPP, CNAPP, and CASB, 2021, Richard Bartley, May 6, 2021

DIAGRAM CNAPP, CWPP, CSPM and CIEM

記事を読み始めたときよりも、CNAPPやその他の用語がより理解できるようになったのではないでしょうか。

まとめ

CNAPP ソリューションは、共通のワークフロー、データの相関関係、意味のある洞察力、およびペルソナ間の摩擦を軽減する改善策を組み込むことで、チーム(SecDevOps、DevOps、およびクラウドセキュリティオペレーション)間のコラボレーションを促進する。

真のCNAPPソリューションは、ユースケースのさまざまなインサイトの間に相互関係を提供します。真のCNAPPソリューションは、ユースケースの異なるインサイト間の相互関係を提供します。私たちは、孤立したツールを組み合わせて一日で終わらせるような話をしているのではありません。



Sysdig Secureでは、他のオープンソース・プロジェクトとともに、アウトオブボックスのルールでFalcoを拡張し、クラウド・セキュリティの作業と管理をさらに容易にしています。

30日間の無料トライアルに登録して、ご自身の目で確かめてください!