近年、クラウド環境を前提としたクラウドネイティブなアプリケーション開発や、マイクロサービス・コンテナ・CI/CDといったモダンな開発・運用手法の導入が拡大しています。こうした変化に伴い、単にクラウドインフラを守るだけでなく、アプリケーションや開発プロセスも含めた包括的なサイバーセキュリティ対策が求められるようになりました。
この流れを受け、Gartnerは2021年にCNAPP(Cloud-Native Application Protection Platform、読み方:シーナップ)を提唱しました。この記事では、CNAPPとは何かを整理し、クラウドネイティブ環境のセキュリティ課題と必要な対策について、CNAPPの概念の実装と製品の選定方法や事例について詳しく解説します。
CNAPPとは
CNAPP(Cloud-Native Application Protection Platform)は、クラウドネイティブ環境におけるインフラとアプリケーションを統合的に保護するために設計されたセキュリティ・コンプライアンス対応のプラットフォームです。
アーティファクトのスキャン、セキュリティガードレール、構成・コンプライアンス管理、リスク検出と優先順位付け、行動分析など、プロアクティブおよびリアクティブなセキュリティ機能を一元的に提供し、コード作成から本番運用(ランタイム)に至るまで、可視性・ガバナンス・制御を一貫して実現します。
CNAPPソリューションは、主要なクラウドプラットフォームとのAPI連携を基盤とし、CI/CDパイプラインとの統合や、エージェント方式・エージェントレス方式の双方に対応することで、開発段階と実行段階の双方を包括的にカバーします。
Gartnerの定義と背景
Gartnerは、CNAPPを新しい製品カテゴリーとして定義しました。これは単なる複数のポイントソリューションの集合ではなく、統合的なカバレッジを提供するための基準を備え、顧客とベンダーがスイート製品の価値を理解しやすくすることを目的としています。
同様の動きは約10年前のアプリケーションパフォーマンス管理(APM)領域でも見られ、業界での採用が進むにつれて、共通の期待値や最低限の機能要件が明確化されていきました。
CNAPPを構成する5つのコンセプト
CNAPPは、開発から本番、さらに改善へと循環するクラウドネイティブアプリケーションのライフサイクル全体をエンドツーエンドで保護するため、次の5つの機能をカプセル化しています。
- 開発アーティファクトのスキャン
- クラウドセキュリティポスチャー管理(CSPM)
- IaC(Infrastructure as Code)スキャン
- クラウドインフラのエンタイトルメント管理(CIEM)
- ランタイム・クラウドワークロード保護プラットフォーム(CWPP)
これらがフィードバックループを形成し、クラウドネイティブアプリケーションのセキュリティをライフサイクル全体で支援します。
CNAPPは何をするのか?
CNAPPの役割を理解するには、5つのコア機能を見ていくのが分かりやすい方法です。
1. 開発アーティファクトのスキャン
開発段階の成果物(ソースコードやコンパイル済みバイナリなど)を対象に、脆弱性やライセンスリスクを検出します。主な領域は次の2つです。
- ソフトウェア構成分析(SCA)
成果物に含まれるオープンソースライブラリを特定し、バージョンやライセンス、既知の脆弱性(CVE)を洗い出してレポート化します。 - アプリケーションセキュリティテスト
- SAST(静的解析):コードやビルド済み成果物を調査し、バッファオーバーフローのような典型的な不具合を検出。
- DAST(動的解析):実行中のアプリケーションをブラックボックスとして扱い、入力検証不足や脆弱なエンドポイントを発見。
- IAST(対話的解析):実行中のアプリケーション内部で動作し、実行コードを分析。QAテスト環境での利用に適しています。
2. クラウドセキュリティポスチャーマネジメント(CSPM)
「ポスチャー」とは姿勢を意味し、CSPMはクラウド環境の健全な“姿勢”を保つ役割を担います。クラウド構成を継続的に監査し、期待される状態から逸脱している箇所を警告します。
例:不要に開放されたポート、過剰な権限を持つロールなど。
3. Infrastructure as Code(IaC)スキャン
CloudFormation、Kubernetesマニフェスト、Dockerfile、TerraformプランなどのIaCを解析し、実運用に移行する前にセキュリティ上の欠陥を検出します。これにより、自動化の利便性を保ちながら、リスクを早期に排除できます。
4. クラウドインフラストラクチャエンタイトルメント管理(CIEM)
クラウド環境における権限管理を最適化し、最小特権モデルを実現するための仕組みです。実際のアクセス権限を可視化し、不要に管理者権限を持つユーザーやロールを特定します。改善方針が決定されれば、CSPMと連携して適用が可能です。
5. ランタイム・クラウドワークロード保護プラットフォーム(CWPP)
実行中の環境をゼロトラストモデルに基づいて防御する、CNAPPのランタイム領域です。主な機能は以下の通りです。
- ランタイム検知:コンテナ内の不審な挙動を検出し、自動的にブロック。
- システムハードニング:LinuxホストやVM上で異常を監視。
- 脆弱性管理:本番前のコンテナイメージに潜む脆弱性を検出。
- ネットワークセキュリティ:Kubernetesネイティブのネットワークポリシーを適用し、コンテナレベルの通信を可視化。
- コンプライアンス:コンテナのFile Integrity Monitoringを実施し、規制対応を支援。
- インシデントレスポンス:稼働終了後のコンテナに対してもフォレンジック調査を可能に。
CNAPPは、開発から運用までのクラウドネイティブアプリケーションライフサイクルをエンドツーエンドで保護する統合基盤です。SCAからCSPM、IaCスキャン、CIEM、CWPPまでを包含し、継続的なセキュリティ強化とガバナンスを実現します。
CNAPPを構成する機能群 – クラウドネイティブ環境を可視化し保護する
CNAPPは、複数のセキュリティ機能を統合してクラウドネイティブ環境を保護するためのアーキテクチャです。CNAPPは、WAFやEDRなどの単機能のセキュリティ対策とは異なり、「設計」「構築」「運用」「検知」「対応」というクラウドネイティブ環境のアプリケーションライフサイクル全体を保護します。代表的な構成要素と機能の概要は次のとおりです。これらの機能を統合的に連携して管理することで、より迅速かつ正確なセキュリティ運用が実現されます。
| CNAPPを構成する機能 | 機能概要 | ユーザーの対応 |
|---|---|---|
| CSPM(Cloud Security Posture Management) | 構成管理 クラウドサービス(例:AWS, GCP, Azure)の構成ミス、セキュリティ設定ミスの検出・監査 |
・クラウド構成スキャン (S3の公開設定やIAMロールの誤設定などの検出) ・リアルタイムCSPM(CloudTrailログのストリーミング監視) |
| CIEM(Cloud Infrastructure Entitlement Management) | 権限管理 IAMユーザーやロールに与えられた権限の最小特権原則に基づく見直しと可視化 |
権限の可視化と過剰権限の検出 実際に使われた権限のトラッキング(行動ベース) |
| CWP または CWPP (Cloud Workload Protection / Platform) |
ワークロード保護 ワークロード(コンテナ、VM、K8s)の脆弱性管理、 ランタイム保護などを含む広義の保護機能 |
脆弱性スキャン(OS/パッケージ/ライブラリ) リスクの優先順位付け(Risk Spotlight) |
| CDR(Cloud Detection & Response) | 攻撃の検知と防御 実行時の不審な挙動を検知し、アラートや自動対処に繋げる機能 |
・ランタイム検知 ・ MITRE ATT&CKマッピング ・ イベントトラッキングとアラート |
CNAPPが重要な理由、可視性の欠如がもたらす深刻なリスク
米国の調査会社Gartnerは2019年10月に「Is the Cloud Secure?」と題した解説記事において「2025年までに、クラウドのセキュリティインシデントの99%が顧客の過失によるものになる」と述べています。従来、IaaS、 PaaS、Saasのサービスモデルを前提として説明されてきたクラウドの責任共有モデルは、クラウドネイティブ環境を考慮した新しいモデルが提唱されています。
クラウドネイティブにおける新しい責任共有モデル
CSA(Cloud Security Alliance)シリコンバレー支部(CSA Silicon Valley Chapter)は、2021年2月にクラウドネイティブにおける新しい責任共有モデルを説明したブログ「The Evolution of Cloud Computing and the Updated Shared Responsibility」を公開。この記事は、CSAジャパンにより日本語に翻訳され「クラウドコンピューティングの進化と新たな責任共有モデル」として公開されています。
このモデルでは、既存の責任共有モデルに「クラウドネイティブのレイヤー」が追加されました。コンテナのプロビジョニング、コンテナの実行環境やコンテナのランタイム、アプリケーションの開発やコンテナイメージの作成と展開について利用者の責任が明確化されています。
クラウドネイティブ環境で見過ごされがちな4つのリスク
1.設定ミス(Misconfiguration)
クラウドリソースのアクセス制御、公開設定、ネットワークポリシーなどの誤設定が最も多い原因です。例えば、S3バケットの公開、Kubernetesの過剰な権限設定などがあります。ユーザーの責任であるにもかかわらず、自動化スクリプトやIaCテンプレートでの設定漏れが大きな脆弱性を生むことがあります。
2.過剰権限とアイデンティティ管理の不備
開発スピードを重視するあまり「とりあえず管理者権限を付与する」などのアイデンティティ管理の甘さが侵入のリスクになります。
クラウドネイティブ環境では、マイクロサービスごとに適切な権限分離とトークン管理が必須で、IAMの設計ミスは即座に攻撃者の踏み台になります。
3.非承認クラウドサービス「シャドーIT」
クラウドネイティブでは、CI/CDパイプラインから自動的にコンテナ実行環境へアプリケーションを展開できます。管理者が知らぬ間に「管理すべき対象」が立ち上がる「シャドーIT」は、セキュリティリスクの温床になります。
4.平均10分以内、脅威の侵入と拡散スピード
Sysdigの2024年度グローバル脅威レポート年間レビューは、誤ってインターネットに公開された資産は平均で10分以内にスキャンされ、最短で数分以内に乗っ取られると報告されています。
オンプレとは異なり、クラウドでは「誤って公開=即座に世界中からアクセス可能」という性質があり、検知の遅れがそのまま被害拡大に直結します。
すべての脅威の根底にある「可視性の欠如」
これらのリスクに共通する本質的な課題は「可視性の欠如」です。
- 誰がどこで何を立ち上げたのか
- どんな設定がされているのか
- 異常な挙動が発生しているかどうか
これらをリアルタイムで把握できていない状態こそが、クラウドネイティブ環境におけるセキュリティの最大のリスクです。
なぜCNAPPに投資するのか?
CNAPPを導入する最大のメリットは、クラウドネイティブアプリケーションスタック全体に対する 可視性と制御性を統合的に高められる 点にあります。
現在、多くの組織は5つの領域(アーティファクトスキャン、CSPM、IaCスキャン、CIEM、CWPP)をカバーしようとしていますが、その実態は個別のツールを組み合わせて運用しているケースがほとんどです。その結果、ツール間でのデータ連携が不十分となり、リスクを正しく評価することが困難になります。企業は膨大な時間と労力をかけて各ポイントソリューションから得られたデータを統合しようとしますが、カバレッジは不均一で、最終的には不完全なデータに基づくレポートしか得られません。これでは、誤った安心感を生み出す一方で、実際のリスクを増大させる恐れすらあります。
CNAPPを導入することで、これらの課題を解消し、統一されたポリシーに基づく一貫したセキュリティ実装が可能になります。以下にその具体例を示します。
ビルド段階の脆弱性対応
ビルドチームがSCA(ソフトウェア構成分析)ツールを使ってレジストリ内の成果物をスキャンし、CVEデータベースを参照して既知の脆弱性を特定していたとします。もし運用中のアプリケーションに新たなクリティカルアラートが追加された場合、Log4Shellのような深刻な脆弱性であれば即時対応が必要です。CNAPPのワークロード保護機能は、このようなイベントに対する検知・遮断・緩和を自動化できるため、迅速かつ確実なリスク対応を可能にします。Gartnerも、この重要性からCWPPをCNAPPの中核機能として位置づけています。
設定ミスの早期検知と自動修復
例えば、クラウドエンジニアがサンドボックス環境でのテスト中にサブネットのポートを誤って開放し、そのままコミットしてしまったとします。この場合、CNAPPは2つの方法で問題を検知できます。
- IaCスキャン:CloudFormationやTerraformの設定を解析し、デプロイ前に不適切な構成を特定。
- CSPM(クラウドセキュリティポスチャーマネジメント):本番環境でコンプライアンス違反を検出し、是正を促す。
さらに多くのCNAPPは、検出した問題を即座に修正して設定をコンプライアンス状態へ戻す 自動修復機能 を備えており、運用リスクを大幅に低減できます。
CNAPPは、リスク削減と運用効率化を実現する
CNAPPは、従来の分散的なツール運用に伴う「データの断片化」と「リスク過小評価」を解消し、開発から運用まで一貫したセキュリティ対策を実現します。結果として、企業はリスク削減だけでなく、セキュリティ運用の効率化とスピード向上という大きな投資効果を得られるのです。
CNAPPを導入する意義や意味、DevSecOpsの視点から
DevSecOpsとは
DevSecOps(デブセックオプス)は、「Development(開発)」「Security(セキュリティ)」「Operations(運用)」を統合し、アプリケーションの開発から運用に至るまでのライフサイクル全体にわたってセキュリティを組み込む考え方です。
従来は、開発と運用が中心のDevOpsの中で、セキュリティは最後の工程で個別に対処されてきました。しかし、クラウドネイティブなアプリケーションの開発速度や複雑性が増す中で、この「事後対応のセキュリティ」ではクラウドネイティブ環境の脅威に対応しきれません。DevSecOpsは、セキュリティを最初から設計・実装プロセスに組み込むことで、セキュリティを担保しながら迅速なアプリケーション開発を可能にします。
DevSecOpsで求められる要件
DevSecOpsの実践には、以下のような要素が求められます。これらを単体のツールや手作業で実現するのは困難です。ここで注目されるのが、CNAPPです。
| 要件 | 概要 |
|---|---|
| シフトレフトの実践 | 開発初期からセキュリティ対策を開始し、脆弱性や設定ミスを早期に発見・修正する。 |
| 継続的なセキュリティチェック | CI/CDパイプライン内でコードやインフラ構成のセキュリティを自動チェック。 |
| セキュリティリスクの可視化と優先順位付け | 検知されたセキュリティのリスクの重要度を明確にし、限られたリソースで効率的に対応する。 |
| 運用時のリアルタイム監視と対応 | 本番環境でもランタイムの異常や攻撃兆候を監視し、即時対応できる体制の整備。 |
CNAPPの視点で見るDevSecOps
CNAPP(Cloud-Native Application Protection Platform)は、クラウドネイティブ環境におけるセキュリティ対策を統合的に提供するプラットフォームです。具体的には以下のような機能が含まれます:
- インフラの設定チェック(CSPM)
- コンテナ・イメージの脆弱性管理(CWP/CWPPP)
- ランタイム保護(CWP/CWPPP)
- IaCテンプレートやCI/CDパイプラインへのセキュリティ統合
- アラートの優先順位付けとリスクベースの対応
CNAPPを活用することで、DevSecOpsに必要なセキュリティ機能を一つの基盤に統合し、開発者とセキュリティチームの協業を効率化できます。単なる「ツールの寄せ集め」ではなく、セキュリティを開発・運用に自然に組み込む“仕組み”を提供するのがCNAPPの本質です。
成功のための5つのステップ
新しいプラットフォームの導入は、一見シンプルに見えても、実際には細部に多くの注意が必要です。CNAPPの導入においても、次の5つのステップに従うことで、段階的かつ着実に成果を得ることができます。
- 環境の調査とプロファイリング
CNAPPをインストールしたら、まず環境全体を調査し、どのような構成が存在するかを把握してプロファイルを作成します。 - ポリシーと推奨事項の確認
CNAPPが検出したポリシーや推奨事項を確認し、どの領域に改善の余地があるかを洗い出します。 - 適用ポリシーの選定と実施
推奨されたポリシーの中から、いくつかを選んで実施します。このとき、すぐに影響の大きい変更に飛びつかず、まずは小さな適用から始めることが重要です。アプリケーションや開発チームがCNAPPのフィードバックに慣れるまで、時間がかかる場合があります。 - アラートの監視と対応
適用した変更に対して発生するアラートを継続的に監視し、必要に応じて修正や改善を行います。 - 繰り返しの実施
最初から完璧を目指す必要はありません。シャンプーボトルに書かれた「泡立てる → 流す → 繰り返す」のように、段階的に適用・検証・改善を繰り返すことで、より堅牢なセキュリティ基盤を築くことができます。
CNAPP対応製品の要件や選定のポイント
CNAPP製品に求められる5つの基本要件とSysdigの対応
| 要件の項目 | 概要 | Sysdigの対応 |
|---|---|---|
| クラウド全体の可視化と脅威検知機能 | AWS、Azure、GCPなどのマルチクラウド環境で、設定ミスや脆弱性、過剰な権限などのリスクを横断的に把握する必要があります。また、ランタイムでの脅威検知(振る舞い監視)も欠かせません。 | CSPM機能により、AWS・GCP・Azureの設定リスクを継続スキャン アプリやクラスタ構成をクラウドマップで「ライブ可視化」 ランタイムでの行動ベースの脅威検知(Falcoルール + AIモデル) MITRE ATT&CK対応のイベント分類でインシデント分析も容易 |
| CI/CDパイプラインとの統合 | コードの段階でセキュリティリスクを検出し、「Shift Left(左シフト)」を実現するため、IaCテンプレートの静的解析やイメージスキャン、SBOMの生成機能が求められます。 | イメージビルド時にSBOM生成・脆弱性スキャン(CI/CD統合) IaCテンプレート(Terraform、CloudFormation等)のセキュリティチェック GitHub Actions、GitLab CI、Jenkinsなどと簡易に連携可能 |
| リスクの優先順位付け | 全てのアラートに対処するのは現実的ではありません。攻撃経路やコンテキスト(公開範囲、関連権限、通信関係など)を加味した「リスクベースの優先順位付け」が実装されていることが重要です。 | 「Runtime Insights」により、実行中のワークロードに基づく優先度設定が可能 未使用のパッケージ、露出していない脆弱性を自動判定 インパクトの大きいリスクから“修正すべき脆弱性”が一目でわかる |
| エージェントとエージェントレスの併用 | クラウド環境の特性や運用負荷を考慮し、軽量なエージェントや、APIベースのエージェントレススキャンの両方をサポートしていると柔軟性が高まります。 | クラウド構成・脆弱性チェックはエージェントレスでカバー コンテナ・ホストのランタイム保護は軽量エージェントで対応 利用用途ごとに柔軟なアプローチが選択可能 |
| 統合されたダッシュボードとレポート機能 | DevSecOpsの運用を支援するには、セキュリティチームと開発チームが同じ情報を共有できるダッシュボードが不可欠です。アクションに直結するUI設計も評価ポイントとなります。 | 主要クラウドアカウント・Kubernetesクラスタの統合ビューを提供 重大インシデント・脆弱性のトリアージを一元管理 CSV/PDFエクスポート・ダッシュボード共有など、報告・連携用途にも最適 |
Sysdigは、現場運用に根ざしたCNAPPを実現します
Sysdig Secureは、CSPMやCWPP、CIEMを単に“統合”するだけではなく、コンテキストに基づいたリスク可視化と優先度の自動判断を通じて、DevSecOpsの運用を支援します。日本国内でも着実に採用実績を重ねており、「導入して終わり」ではなく「運用し続けられるCNAPP」を求める組織に最適な選択肢です。
CNAPP対応事例 – Sysdig Secure事例
Sysdig Secureの導入によりCNAPPに対応した日本のお客様事例をご紹介します。
LINEヤフー:Sysdigでクラウド環境のセキュリティと開発スピードを両立
LINEヤフーは、Sysdigを活用してKubernetesクラスターの可視化とセキュリティ強化を実現しました。これにより、クラウド環境全体のリスクを継続的にモニタリングしながら、開発スピードを維持する体制を構築。セキュリティとアジリティの両立に成功しています。
事例:Yahoo! JAPANの安定稼働を支えるコンテナ環境のセキュリティアプローチとは
みんなの銀行:クラウドネイティブセキュリティでセキュリティ運用を統合
みんなの銀行は、Sysdigのクラウドネイティブセキュリティを活用して、個別のセキュリティ運用から脱却し、セキュリティ運用の統合を実現しました。これにより、クラウド環境全体の可視化とリスクの優先順位付けが可能となり、セキュリティ体制の強化につながっています。
事例:みんなの銀行の守りを固めるSysdig のクラウドネイティブセキュリティ
NTTドコモ:Sysdigでクラウドネイティブ環境のセキュリティと可視化を強化
NTTドコモは、Sysdigを活用してクラウドネイティブ基盤「RAFTEL」のセキュリティ対策と運用監視を強化しました。これにより、クラウド環境全体の可視化やリアルタイムでの脅威検知、脆弱性の優先順位付けが可能となり、セキュリティ運用の効率化と体制強化を実現しています。
事例:8000万ユーザーへのAPIサービス基盤RAFTELをSysdigで支える
まとめ:クラウドネイティブ時代に求められるセキュリティの新常識
クラウドネイティブ技術の進展により、アプリケーション開発のスピードと柔軟性が飛躍的に向上する一方で、セキュリティリスクの管理はより複雑化しています。このような環境下で、開発・運用・セキュリティが連携した統合的な対策が不可欠となっており、その中心に位置づけられるのがCNAPP(Cloud-Native Application Protection Platform)です。
CNAPPは、クラウド環境における可視性の欠如や構成ミス、過剰権限、シャドーITといった多層的なリスクに対し、設計・開発・実行の各段階で包括的な保護を提供します。特にDevSecOpsの実践においては、CNAPPの導入によりセキュリティ対応を自動化・統合し、継続的な安全性の確保が可能となります。
製品選定にあたっては、単機能ツールの寄せ集めではなく、可視化・優先順位付け・実運用での柔軟性を備えた統合型ソリューションが求められます。Sysdig SecureのようなCNAPP対応製品は、セキュリティ体制の整備と効率化の両立を支援する有力な選択肢といえるでしょう。
クラウドの利便性を最大限に活かしながら、組織全体のリスクを継続的に管理・改善していくために、CNAPPの導入と運用は、今後のクラウドセキュリティ戦略において欠かせない概念となります。
SysdigのCNAPP関連ブログ:
- CSPM、CIEM、CWPP、CNAPP:クラウドセキュリティを取り巻く環境は?
- クラウドセキュリティ: もう一つの略語が必要であることが判明(CNAPP)
- SANS Cloud-Native Application Protection Platforms (CNAPP) バイヤーズガイド(日本語版レポートダウンロードリンクあり)
- SysdigがFrost Radar、CNAPP 2022のリーダーに選出