SANS Cloud-Native Application Protection Platforms (CNAPP) バイヤーズガイド

By 清水 孝郎 - MARCH 27, 2023

SHARE:

SANS Cloud-Native Application Protection Platforms (CNAPP) バイヤーズガイド

本文の内容は、2023年3月27に MATT KIM が投稿したブログ(https://sysdig.com/blog/sans-cnapp-buyers-guide)を元に日本語に翻訳・再構成した内容となっております。

SANS Cloud-Native Application Protection Platforms (CNAPPs) バイヤーズガイドは、企業がCNAPPソリューションに何を求めるべきかを深く掘り下げて解説しています。企業がクラウドセキュリティのニーズに対して統合プラットフォームベースのソリューションにシフトし続ける中、CNAPPソリューションが、ポスチャー管理権限管理脆弱性管理脅威の検出と対応などのユースケースにおけるすべての要件を満たしているかどうかを評価することが重要になります。理想的には、これらの機能を単一の包括的なプラットフォームで統合し、リスクを管理し、攻撃から守ることができるようにすることです。

SANS CNAPPsバイヤーズガイドでは、CNAPPソリューションを購入する際に考慮すべき基準や、セキュリティプラットフォームに必要な機能、望ましい機能のチェックリストについて詳しく解説しています。このガイドを購入プロセスをナビゲートするリソースとして活用することで、セキュリティ・プラットフォームが、クラウドとコンテナの統合されたセキュリティ体験を通じて、死角がないことを確実にすることができます。ガイドの全文はこちらからダウンロードできます。


CNAPPを購入する理由
クラウドとコンテナの爆発的な成長により、セキュリティチームが防御する必要がある攻撃対象が拡大し、ダイナミックになりました。コンテナ化されたマイクロサービスをデプロイし、クラウドサービスやインフラストラクチャーを利用する開発者が増えるにつれ、それらの監視と保護はより複雑になっています。セキュリティチームは現在、10~100倍のコンテナ化されたコンピュートインスタンスを持つ動的なワークロード、追跡すべき動的なアクティビティを持つ大量のクラウド資産、管理すべき厄介で過度に寛容なアイデンティティおよびアクセス管理(IAM)権限を持っています。このようにクラウドネイティブアプリケーションにおける攻撃対象が急速に拡大したことで、管理すべき多くの脆弱性、設定ミス、セキュリティ上の弱点が発生し、セキュリティチームはクラウドとコンテナを横断的に完全に可視化するツールを必要としています。

セキュリティ態勢の弱点が増えるにつれ、セキュリティチームや運用チームは、直面するアラートや脆弱性の数に圧倒され、組織は重要な脆弱性への暴露期間が長くなっています。クラウドサービスやコンテナ/Kubernetesの採用により、分析すべきデータソースが増加するにつれ、これらすべてのデータを、セキュリティ問題の改善に適用できる洞察可能なものに処理する方法が必要となります。クラウドのワークロードとインフラストラクチャーに関する追加的なコンテキストがなければ、これらのアラートのうち実際に重大なリスクをもたらすものと、単なるノイズであるものに優先順位をつけることは困難です。効果的なCNAPPは、実際に実行されているコンテナやパッケージの知識を利用して、セキュリティチームとDevOpsチームが最も重要なリスクに優先順位をつけるために使用できる実用的なインサイトを提供することができます。

クラウドへの移り変わりは、クラウドネイティブアプリケーションのセキュリティギャップを利用した脅威の進化にもつながっています。悪質な行為者は、有効な認証情報を使ってクラウド環境を迅速に侵害し、脆弱性を見つけて悪用し、ワークロードやクラウドを横切って移り、あらゆる侵害から最大の利益を引き出すために、戦術とテクニックを適応させています。脅威の状況は変化しており、クラウドネイティブインフラストラクチャー全体でこれらの最新の脅威を検出できる完全なソリューションが必要とされています。

SANS Buyer Guide for CNAPP
Source: SANS

従来のツールでは不十分
従来のセキュリティツールの多くは、クラウドのワークロードや環境、そしてその弱点を利用するために進化してきた脅威に適していません。エンドポイント検出・応答(EDR)ソリューションのようなツールは、クラウドサービス、ワークロード、Kubernetesに対する重要な可視性を欠いており、容易に悪用できる盲点を作り出しています。また、従来のツールは多くのアラートやシグナルを送信しますが、クラウドベースのアプリケーションやワークロードの脅威に迅速かつ効果的に対応するために必要なコンテキストが欠けていることが多くあります。ソフトウェア開発とデプロイの動的な性質や、コンテナ化された環境の儚い性質は、複雑さを増すばかりで、セキュリティとDevOpsチームは、クラウドネイティブ環境を扱うために特別に設計されたセキュリティツールを必要とします。

さらに、ポイントソリューションは機能しません。多くの場合、組織は複数のソリューションの中から選択しなければならず、さらには、複数の買収企業からワークフローをつなぎ合わせたベンダーを選択することもあります。これらのツールは、相互に通信したり、コンテキストを共有したりすることができないため、結果として、脆弱性の発見、姿勢違反、脅威が問題になったときに対処するという消極的なアプローチになってしまいます。このようなアプローチでは、影響度に基づいて問題の優先順位を決定するために必要な洞察が得られないままになってしまいます。

CNAPPソリューションに求められるもの
セキュリティと DevOps のチームは、ワークロード、クラウドのアクティビティ、ユーザーの行動をリアルタイムで包括的に可視化する必要があります。チームが理解しなければならないシグナルの数は爆発的に増加しており、包括的なCNAPPソリューションは、ユーザーがクラウドネイティブインフラストラクチャーの最も重要なリスクに集中できるようにする必要があります。

そこで、現在稼働しているものについての深い知識を持つことで、最初に注意を払うべきもののリストを縮小することができるのです。簡単に言えば、何が実行されているか(あるいは単に何が使用されているか)の知識は、セキュリティとDevOpsチームが最も重要なリスクに最初に対策を講じるために必要なコンテキストです。最終的には、このコンテキストを開発ライフサイクルの早い段階にフィードバックすることで、実行可能な優先順位付けによって「シフトレフト」をより良いものにすることができます。CNAPPが取り込み、分析しなければならないすべてのデータソースがある中で、効果的なCNAPPソリューションは、チームが本当に重要なリスクに集中できるように、ランタイムのインサイトを必要とします。例えば、実行時にアクティブなパッケージの脆弱性をフィルタリングすることで、脆弱性のノイズを最大95%削減することができます。

SANS CNAPPsバイヤーズガイドを利用すれば、クラウドインフラストラクチャーにおける最も重要なリスクに組織が集中できるようにすることができます。このガイドには、CNAPPソリューションに求めるべき重要な機能と特徴の詳細なチェックリストが含まれています。その数は非常に多く、ここですべてを紹介することはできませんが、効果的なCNAPPソリューションの機能は、次のような分野に分類されます。

ユーザーエクスペリエンス: 今日の多くのソリューションは、直感的でなく、操作が難しい場合があります。効果的な CNAPP ソリューションは、シンプルなインターフェイスを通じて、統合されたセキュリティとリスクのダッシュボード、セキュリティの発見と修復の提案を集約して提供する必要があります。また、デプロイも簡単であるべきです。

クラウド・ワークロード・プロテクション(CWP): CNAPPソリューションは、脆弱性管理、コンテナ/Kubernetesの構成管理、ランタイムセキュリティ/インシデント対応などの機能により、ソフトウェアのライフサイクル全体にわたってワークロードを保護する必要があります。使用中のリスク露出に基づき、最も重要な脆弱性や構成に優先順位をつける機能が重要です。ツールはCI/CDツールとインテグレーションし、アラートを調査するための豊富なコンテキストを提供し、ソースで修正するための提案を与える必要があります。

クラウド・セキュリティ・ポスチャー・マネジメント(CSPM): クラウドセキュリティの誤設定の継続的な可視化、検出、および修復は、CNAPPソリューションにとって重要です。このソリューションは、クラウドの脆弱性管理、構成管理、許可/権限管理(CIEMなど)の機能を提供する必要があります。

クラウド検知・応答(CDR): クラウドを中心とした脅威に関する検知と対応の機能は重要です。効果的なCNAPPソリューションは、ワークロードのランタイムセキュリティだけでなく、クラウドのコントロールプレーンにも対応し、ユーザーやサービス全体で疑わしい活動を検出する必要があります。

エンタープライズグレードのプラットフォーム: 効果的なCNAPPソリューションは、API利用、スクリプトと自動化機能、監査とロギング、大規模デプロイのサポートなどをインテグレーションし、連携する機能強化や追加機能を持つことが多いです。

機能の全リストをご覧になりたいですか?今すぐSANS Cloud-Native Application Protection Platforms (CNAPPs) バイヤーズガイドをダウンロードして、すべての詳細をご確認ください。