はじめに
近年、クラウド環境を前提としたクラウドネイティブなアプリケーション開発や、マイクロサービス・コンテナ・CI/CDといったモダンな開発・運用手法の導入が拡大しています。こうした変化に伴い、単にクラウドインフラを守るだけでなく、アプリケーションや開発プロセスも含めた包括的なサイバーセキュリティ対策の重要性が高まっています。
クラウドネイティブ環境の包括的なセキュリティ対策のアプローチとして、2021年にGartnerはCNAPP(Cloud-Native Application Protection Platform、読み方:シーナップ)を提唱しました。この記事では、CNAPPとは何かを整理し、クラウドネイティブ環境のセキュリティ課題と必要な対策について、CNAPPの概念の実装と製品の選定方法や事例について詳しく解説します。
CNAPPとは?
CNAPPとは、Cloud-Native Application Protection Platformの略で、クラウドネイティブ・インフラとアプリケーションを統合的に保護するために設計されたセキュリティとコンプライアンス対応のアプローチです。
CNAPPは、アーティファクトのスキャン、セキュリティガードレール、構成・コンプライアンス管理、リスクの検出と優先順位付け、行動分析など、プロアクティブおよびリアクティブなセキュリティ機能を統合的に提供するプラットフォームです。これにより、コードの作成段階から本番運用(ランタイム)に至るまで、可視性・ガバナンス・制御を一貫して実現します。
CNAPPソリューションは、主要なクラウドプラットフォームとAPIを統合し、CI/CDパイプラインとの連携、さらにエージェント方式・エージェントレス方式の両ワークロードへの対応を組み合わせることで、開発時と実行時のセキュリティカバレッジを包括的に提供します。
CNAPPが重要な理由、可視性の欠如がもたらす深刻なリスク
米国の調査会社Gartnerは2019年10月に「Is the Cloud Secure?」と題した解説記事において「2025年までに、クラウドのセキュリティインシデントの99%が顧客の過失によるものになる」と述べています。従来、IaaS、 PaaS、Saasのサービスモデルを前提として説明されてきたクラウドの責任共有モデルは、クラウドネイティブ環境を考慮した新しいモデルが提唱されています。
クラウドネイティブにおける新しい責任共有モデル
CSA(Cloud Security Alliance)シリコンバレー支部(CSA Silicon Valley Chapter)は、2021年2月にクラウドネイティブにおける新しい責任共有モデルを説明したブログ「The Evolution of Cloud Computing and the Updated Shared Responsibility」を公開。この記事は、CSAジャパンにより日本語に翻訳され「クラウドコンピューティングの進化と新たな責任共有モデル」として公開されています。
このモデルでは、既存の責任共有モデルに「クラウドネイティブのレイヤー」が追加されました。コンテナのプロビジョニング、コンテナの実行環境やコンテナのランタイム、アプリケーションの開発やコンテナイメージの作成と展開について利用者の責任が明確化されています。
クラウドネイティブ環境で見過ごされがちな4つのリスク
1. 設定ミス(Misconfiguration)
クラウドリソースのアクセス制御、公開設定、ネットワークポリシーなどの誤設定が最も多い原因です。例えば、S3バケットの公開、Kubernetesの過剰な権限設定などがあります。ユーザーの責任であるにもかかわらず、自動化スクリプトやIaCテンプレートでの設定漏れが大きな脆弱性を生むことがあります。
2. 過剰権限とアイデンティティ管理の不備
開発スピードを重視するあまり「とりあえず管理者権限を付与する」などのアイデンティティ管理の甘さが侵入のリスクになります。クラウドネイティブ環境では、マイクロサービスごとに適切な権限分離とトークン管理が必須で、IAMの設計ミスは即座に攻撃者の踏み台になります。
3. 非承認クラウドサービス「シャドーIT」
クラウドネイティブでは、CI/CDパイプラインから自動的にコンテナ実行環境へアプリケーションを展開できます。管理者が知らぬ間に「管理すべき対象」が立ち上がる「シャドーIT」は、セキュリティリスクの温床になります。
4. 平均10分以内、脅威の侵入と拡散スピード
Sysdigの2024年度グローバル脅威レポート年間レビューは、誤ってインターネットに公開された資産は平均で10分以内にスキャンされ、最短で数分以内に乗っ取られると報告されています。
オンプレとは異なり、クラウドでは「誤って公開=即座に世界中からアクセス可能」という性質があり、検知の遅れがそのまま被害拡大に直結します。
すべての脅威の根底にある「可視性の欠如」
これらのリスクに共通する本質的な課題は「可視性の欠如」です。
- 誰がどこで何を立ち上げたのか
- どんな設定がされているのか
- 異常な挙動が発生しているかどうか
これらをリアルタイムで把握できていない状態こそが、クラウドネイティブ環境におけるセキュリティの最大のリスクです。
CNAPPを構成する機能群 – クラウドネイティブ環境を可視化し保護する
CNAPPは、複数のセキュリティ機能を統合してクラウドネイティブ環境を保護するためのアーキテクチャです。CNAPPは、WAFやEDRなどの単機能のセキュリティ対策とは異なり、「設計」「構築」「運用」「検知」「対応」というクラウドネイティブ環境のアプリケーションライフサイクル全体を保護します。代表的な構成要素と機能の概要は次のとおりです。これらの機能を統合的に連携して管理することで、より迅速かつ正確なセキュリティ運用が実現されます。
| CNAPPを構成する機能 | 機能概要 | ユーザーの対応 |
|---|---|---|
| CSPM(Cloud Security Posture Management) | 構成管理 クラウドサービス(例:AWS, GCP, Azure)の構成ミス、セキュリティ設定ミスの検出・監査 | ・クラウド構成スキャン (S3の公開設定やIAMロールの誤設定などの検出) ・リアルタイムCSPM(CloudTrailログのストリーミング監視) |
| CIEM(Cloud Infrastructure Entitlement Management) | 権限管理 IAMユーザーやロールに与えられた権限の最小特権原則に基づく見直しと可視化 | 権限の可視化と過剰権限の検出 実際に使われた権限のトラッキング(行動ベース) |
| CWP または CWPP (Cloud Workload Protection / Platform) | ワークロード保護 ワークロード(コンテナ、VM、K8s)の脆弱性管理、 ランタイム保護などを含む広義の保護機能 | 脆弱性スキャン(OS/パッケージ/ライブラリ) リスクの優先順位付け(Risk Spotlight) |
| CDR(Cloud Detection & Response) | 攻撃の検知と防御 実行時の不審な挙動を検知し、アラートや自動対処に繋げる機能 | ・ランタイム検知 ・ MITRE ATT&CKマッピング ・ イベントトラッキングとアラート |
CNAPPを導入する意義や意味、DevSecOpsの視点から
DevSecOpsとは
DevSecOps(デブセックオプス)は、「Development(開発)」「Security(セキュリティ)」「Operations(運用)」を統合し、アプリケーションの開発から運用に至るまでのライフサイクル全体にわたってセキュリティを組み込む考え方です。
従来は、開発と運用が中心のDevOpsの中で、セキュリティは最後の工程で個別に対処されてきました。しかし、クラウドネイティブなアプリケーションの開発速度や複雑性が増す中で、この「事後対応のセキュリティ」ではクラウドネイティブ環境の脅威に対応しきれません。DevSecOpsは、セキュリティを最初から設計・実装プロセスに組み込むことで、セキュリティを担保しながら迅速なアプリケーション開発を可能にします。
DevSecOpsで求められる要件
DevSecOpsの実践には、以下のような要素が求められます。これらを単体のツールや手作業で実現するのは困難です。ここで注目されるのが、CNAPPです。
| 要件 | 概要 |
|---|---|
| シフトレフトの実践 | 開発初期からセキュリティ対策を開始し、脆弱性や設定ミスを早期に発見・修正する。 |
| 継続的なセキュリティチェック | CI/CDパイプライン内でコードやインフラ構成のセキュリティを自動チェック。 |
| セキュリティリスクの可視化と優先順位付け | 検知されたセキュリティのリスクの重要度を明確にし、限られたリソースで効率的に対応する。 |
| 運用時のリアルタイム監視と対応 | 本番環境でもランタイムの異常や攻撃兆候を監視し、即時対応できる体制の整備。 |
CNAPPの視点で見るDevSecOps
CNAPP(Cloud-Native Application Protection Platform)は、クラウドネイティブ環境におけるセキュリティ対策を統合的に提供するプラットフォームです。具体的には以下のような機能が含まれます:
- インフラの設定チェック(CSPM)
- コンテナ・イメージの脆弱性管理(CWP/CWPPP)
- ランタイム保護(CWP/CWPPP)
- IaCテンプレートやCI/CDパイプラインへのセキュリティ統合
- アラートの優先順位付けとリスクベースの対応
CNAPPを活用することで、DevSecOpsに必要なセキュリティ機能を一つの基盤に統合し、開発者とセキュリティチームの協業を効率化できます。単なる「ツールの寄せ集め」ではなく、セキュリティを開発・運用に自然に組み込む“仕組み”を提供するのがCNAPPの本質です。
CNAPP対応製品の要件や選定のポイント
CNAPP製品に求められる5つの基本要件とSysdigの対応
| 要件の項目 | 概要 | Sysdigの対応 |
|---|---|---|
| クラウド全体の可視化と脅威検知機能 | AWS、Azure、GCPなどのマルチクラウド環境で、設定ミスや脆弱性、過剰な権限などのリスクを横断的に把握する必要があります。また、ランタイムでの脅威検知(振る舞い監視)も欠かせません。 | CSPM機能により、AWS・GCP・Azureの設定リスクを継続スキャン アプリやクラスタ構成をクラウドマップで「ライブ可視化」 ランタイムでの行動ベースの脅威検知(Falcoルール + AIモデル) MITRE ATT&CK対応のイベント分類でインシデント分析も容易 |
| CI/CDパイプラインとの統合 | コードの段階でセキュリティリスクを検出し、「Shift Left(左シフト)」を実現するため、IaCテンプレートの静的解析やイメージスキャン、SBOMの生成機能が求められます。 | イメージビルド時にSBOM生成・脆弱性スキャン(CI/CD統合) IaCテンプレート(Terraform、CloudFormation等)のセキュリティチェック GitHub Actions、GitLab CI、Jenkinsなどと簡易に連携可能 |
| リスクの優先順位付け | 全てのアラートに対処するのは現実的ではありません。攻撃経路やコンテキスト(公開範囲、関連権限、通信関係など)を加味した「リスクベースの優先順位付け」が実装されていることが重要です。 | 「Runtime Insights」により、実行中のワークロードに基づく優先度設定が可能 未使用のパッケージ、露出していない脆弱性を自動判定 インパクトの大きいリスクから“修正すべき脆弱性”が一目でわかる |
| エージェントとエージェントレスの併用 | クラウド環境の特性や運用負荷を考慮し、軽量なエージェントや、APIベースのエージェントレススキャンの両方をサポートしていると柔軟性が高まります。 | クラウド構成・脆弱性チェックはエージェントレスでカバー コンテナ・ホストのランタイム保護は軽量エージェントで対応 利用用途ごとに柔軟なアプローチが選択可能 |
| 統合されたダッシュボードとレポート機能 | DevSecOpsの運用を支援するには、セキュリティチームと開発チームが同じ情報を共有できるダッシュボードが不可欠です。アクションに直結するUI設計も評価ポイントとなります。 | 主要クラウドアカウント・Kubernetesクラスタの統合ビューを提供 重大インシデント・脆弱性のトリアージを一元管理 CSV/PDFエクスポート・ダッシュボード共有など、報告・連携用途にも最適 |
Sysdigは、現場運用に根ざしたCNAPPを実現します
基づいたリスク可視化と優先度の自動判断を通じて、DevSecOpsの運用を支援します。日本国内でも着実に採用実績を重ねており、「導入して終わり」ではなく「運用し続けられるCNAPP」を求める組織に最適な選択肢です。
CNAPP対応事例 – Sysdig Secure事例
Sysdig Secureの導入によりCNAPPに対応した日本のお客様事例をご紹介します。
LINEヤフー:Sysdigでクラウド環境のセキュリティと開発スピードを両立
LINEヤフーは、Sysdigを活用してKubernetesクラスターの可視化とセキュリティ強化を実現しました。これにより、クラウド環境全体のリスクを継続的にモニタリングしながら、開発スピードを維持する体制を構築。セキュリティとアジリティの両立に成功しています。
事例:Yahoo! JAPANの安定稼働を支えるコンテナ環境のセキュリティアプローチとは
みんなの銀行:クラウドネイティブセキュリティでセキュリティ運用を統合
みんなの銀行は、Sysdigのクラウドネイティブセキュリティを活用して、個別のセキュリティ運用から脱却し、セキュリティ運用の統合を実現しました。これにより、クラウド環境全体の可視化とリスクの優先順位付けが可能となり、セキュリティ体制の強化につながっています。
事例:みんなの銀行の守りを固めるSysdig のクラウドネイティブセキュリティ
NTTドコモ:Sysdigでクラウドネイティブ環境のセキュリティと可視化を強化
NTTドコモは、Sysdigを活用してクラウドネイティブ基盤「RAFTEL」のセキュリティ対策と運用監視を強化しました。これにより、クラウド環境全体の可視化やリアルタイムでの脅威検知、脆弱性の優先順位付けが可能となり、セキュリティ運用の効率化と体制強化を実現しています。
事例:8000万ユーザーへのAPIサービス基盤RAFTELをSysdigで支える
まとめ:クラウドネイティブ時代に求められるセキュリティの新常識
クラウドネイティブ技術の進展により、アプリケーション開発のスピードと柔軟性が飛躍的に向上する一方で、セキュリティリスクの管理はより複雑化しています。このような環境下で、開発・運用・セキュリティが連携した統合的な対策が不可欠となっており、その中心に位置づけられるのがCNAPP(Cloud-Native Application Protection Platform)です。
CNAPPは、クラウド環境における可視性の欠如や構成ミス、過剰権限、シャドーITといった多層的なリスクに対し、設計・開発・実行の各段階で包括的な保護を提供します。特にDevSecOpsの実践においては、CNAPPの導入によりセキュリティ対応を自動化・統合し、継続的な安全性の確保が可能となります。
製品選定にあたっては、単機能ツールの寄せ集めではなく、可視化・優先順位付け・実運用での柔軟性を備えた統合型ソリューションが求められます。Sysdig SecureのようなCNAPP対応製品は、セキュリティ体制の整備と効率化の両立を支援する有力な選択肢といえるでしょう。
クラウドの利便性を最大限に活かしながら、組織全体のリスクを継続的に管理・改善していくために、CNAPPの導入と運用は、今後のクラウドセキュリティ戦略において欠かせない概念となります。