Trending keywords: security, cloud, container,

Overview

CNAPPとは?

SHARE:

in this article:

なぜCNAPPか? CNAPP ソリューションの主な特徴は? なぜCNAPPにはランタイムインサイトが必要なのか? ランタイム・インサイトの日常的な活用例 CNAPPはどのように機能するのか? CNAPP ソリューションは、既存のセキュリティツールやシステムと統合できるか? ケーススタディ: ボット対策大手企業が CNAPP でコスト削減、アラート削減、ツール統合を成功させた方法 CNAPP ツールは組織にどのようなメリットをもたらすのか? 結 論

Content

なぜCNAPPか?
CNAPP ソリューションの主な特徴は?
なぜCNAPPにはランタイムインサイトが必要なのか?
ランタイム・インサイトの日常的な活用例
CNAPPはどのように機能するのか?
CNAPP ソリューションは、既存のセキュリティツールやシステムと統合できるか?
ケーススタディ: ボット対策大手企業が CNAPP でコスト削減、アラート削減、ツール統合を成功させた方法
CNAPP ツールは組織にどのようなメリットをもたらすのか?
結 論

Cloud-Native Application Protection Platform(CNAPP)は、クラウドベースのアプリケーションとインフラストラクチャを保護するオールインワンのセキュリティソリューションであり、集中管理、脅威検知、インシデント対応機能を提供します。

ガートナー社は、CNAPP を「開発から本番稼動までのクラウドネイティブなアプリケーションをセキュアに保護するために設計された、一体型の緊密に統合されたセキュリティとコンプライアンス機能のセット」と定義しています。CNAPP は、コンテナ・スキャン、クラウド・セキュリティ・ポスチャー管理、Infrastructure as Code スキャン、クラウド・インフラストラクチャ・エンタイトルメント管理(CIEM)、ランタイム・クラウド・ワークロード保護(CWPP)、ランタイム脆弱性/構成スキャンなど、これまでサイロ化されていた多数の機能を統合します。

なぜCNAPPか?

CNAPP は、堅牢なクラウドセキュリティの統合とソフトウェア開発ライフサイクル (SDLC) の強化される必要性がますます高まる今日のデジタル環境において不可欠なものです。クラウド・コンピューティングの急速な普及と最新のアプリケーションの複雑化に伴い、従来のセキュリティ対策では、高度なサイバー脅威から効果的に保護できないことが多くなっています。

CNAPP は、「シフトレフト」と「シールドライト」のセキュリティ概念を取り入れ、アプリケーションのライフサイクル全体を通じて包括的で堅牢なセキュリティ戦略を提供しています。

セキュリティをシフトレフトすることで、企業は、アプリケーション開発プロセスの初期段階から、セキュリティ管理、脆弱性スキャン、コンプライアンスチェックを活用することができます。

「シールドライト」のコンセプトは、アプリケーションの実行フェーズにおいて、セキュリティインシデントをリアルタイムで検出して対応することに重点を置いています。開発中にアプリケーションの安全性を確保するために最善の努力を払っても、脆弱性は依然として存在する可能性があり、また、新たな脅威が出現する可能性もあります。

CNAPP ソリューションの主な特徴は?

CNAPP は、ソフトウェアサプライチェーンのさまざまな段階にまたがるセキュリティ機能を提供し、開発から運用のライフサイクル全体を通じて包括的な保護を保証します。Gartner 社は、これらの機能を 4 つの主要カテゴリに分類しています。

アーティファクトスキャン

アーティファクトスキャンは、シフトレフトセキュリティアプローチをサポートする CNAPP の中核コンポーネントのひとつです。リスクの可視化とスキャンをシフトレフトするためには、開発組織が使用する開発パイプラインツールに統合する必要があります。

成果物がソースコードであれ、コンパイルされたバイナリであれ、成果物スキャンには 2 つの主要な分野があります。それは、ソフトウェア構成分析(SCA)とアプリケーションセキュリティテストです。

SCA は、アーティファクトをレビューして、そのアーティファクトに含まれているオープンソースライブラリを見つけます。そして、使用されているライブラリのバージョンとライセンスにフラグを立てます。この情報を使って、SCA は、共通脆弱性識別子(Common vulnerabilities and exposures: CVE)とその評価をリストアップし、レポートに添付したり、リポジトリにある成果物のメタデータとして添付したりすることができます。

アプリケーションセキュリティテストは、静的テスト(SAST)、動的テスト(DAST)、対話型テスト(IAST)の3つの主要なグループに分類されます。SAST は、ソースコードや構築された成果物を見て、ベストプラクティスや、チェックされていないバッファのようなコードに見られる一般的なミスを調べます。DASTは、実行中のアーティファクトをブラックボックスとして扱います。攻撃者が行うように、入力検証や安全でないページを探します。IAST は、実行中のアプリケーションの内部で動作しますが、実行中のアプリケーションコードのみを分析します。IAST は、QA チームが機能テストを実行している環境で最もよく見られます。

クラウド設定

クラウドセキュリティポスチャー管理(CSPM)

CSPMは、クラウドインフラストラクチャが正しく設定され、ロックダウンされていることを保証するために、クラウドセキュリティの誤設定を継続的に監視、検出、修正します。実行されているものを検証し、想定しているものと一致しないものには警告を発します。例としては、ポートが開いていたり、必要以上のアクセス権を持つセキュリティ・ロールがあったりします。

クラウド基盤権限管理(CIEM)

CIEMは、単一のクラウドやマルチクラウド環境のアイデンティティに対するアクセス権、アクセス許可、または特権を管理するセキュリティプロセスです。このプロセスは、特権が本来よりも高い、または広いことから生じるリスクを特定し、回避するのに役立ちます。

CIEMのセキュリティがカバーする問題の例としては、長く使用されていない認証情報を取り消さないことや、EC2インスタンスに不要なワイルドカード権限を与えないことなどが挙げられます。

インフラストラクチャ・アズ・コード(IaC)スキャン

クラウドネイティブエコシステムの大きな魅力は、アプリケーションの実行に必要なすべてを自動化できることです。IaCはCloudFormation、Kubernetesマニフェスト、Dockerfile、Terraformプランのテンプレートのようなものになります。IaCスキャンの背後にある考え方は、明らかなセキュリティ上の欠陥が本番環境に到達して問題を引き起こす前に見つけることです。

IaCスキャニング・ソリューションには、以下のものが含まれます:

  • ドリフトの防止:デプロイ前にIaCファイルをスキャンします。本番環境での設定ミスをソースにマッピング
  • リスクの優先順位付け:アプリケーションのコンテキスト、要件、依存関係に基づいて、セキュリ ティ修正の優先順位を決定。
  • ソースでの修復: 自動生成されるプルリクエストにより、ソースで修正勧告を受け取ります。

ランタイム防御

ワークロードの保護(CWPP)

これは、運用チームが最も気にする部分です。CWPPはCNAPPセキュリティ・スイートのランタイム実施部分です。CWPPは、何も自動的に信頼されないゼロ・トラスト・モデルを実現するために機能します。

それは、次のようなアクションを実行します:

  • ​​
  • ランタイム検出: 実行時にコンテナの不審な挙動を検出し、防止します。コンテナの脅威に対する対応を自動化します。
  • システムの堅牢化: Linuxホストまたはホスト上で実行されるVMベースのワークロードを保護します。
  • 脆弱性管理: 本番環境にデプロイする前に、CI/CDパイプラインとレジストリでコンテナ・イメージの脆弱性を検出します。
  • ネットワークセキュリティ: セグメンテーションを含むKubernetesネイティブのネットワークポリシーを実施し、コンテナレベルまでネットワークトラフィックを可視化します。
  • コンプライアンス コンテナのコンプライアンスを検証し、コンテナ内のFile Integrity Monitoringを保証します。
  • インシデントレスポンス: KubernetesとKubernetesが管理するコンテナに対するフォレンジック分析とインシデントレスポンスを、コンテナ消滅後も提供します。

Gartner社は最近、ランタイムセキュリティ部分の重要性を強調し、”従来のエージェント、Extended Berkeley Packet Filter(eBPF)のサポート、スナップショット、特権コンテナ、Kubernetes(K8s)の統合など、さまざまなランタイム可視化技術を提供するCNAPPベンダーを支持し、デプロイ時に最も柔軟性を提供する “と述べています。

クラウド検知・対応 (CDR)

クラウド検出・応答(CDR) は、クラウド環境に特化して設計された高度な脅威検出、インシデント対応、および継続的な監視機能を提供することで、CNAPP において重要な役割を果たします。CNAPPのCDRは、クラウドワークロード保護プラットフォーム(CWPP)やクラウドセキュリティ姿勢管理(CSPM)ツールなどのクラウドネイティブなセキュリティコントロールを活用して、クラウド資産、構成、アクティビティをリアルタイムに可視化します。CDRは、クラウドのログ、ネットワーク・トラフィック、ユーザーの行動を継続的に監視・分析することで、セキュリティ・インシデントや侵害を示す可能性のある侵害指標(IOC)、異常、不審な行動の検出を支援します。

潜在的な脅威や侵害が検出されると、CDR は自動化された、または誘導された対応アクションを提供することで、迅速なインシデント対応を可能にします。CDRは、セキュリティ・インシデントの封じ込め、調査、修復を容易にし、企業が潜在的な影響を最小限に抑え、さらなるリスクを軽減できるよう支援します。

CDRをCNAPPに統合することで、プロアクティブなクラウドセキュリティ管理、脆弱性管理、セキュアコーディングの実践、継続的な監視と対応機能を組み合わせた包括的なセキュリティソリューションが実現します。これにより、クラウドネイティブなアプリケーションは、開発からデプロイ、そしてその後のライフサイクル全体を通じて確実に保護され、新たな脅威から保護されるとともに、私たちの環境で強固なセキュリティ体制を維持することができます。

図1:ガートナー社によるCNAPPの詳細な見解

なぜCNAPPにはランタイムインサイトが必要なのか?

CNAPP は複数のデータソースを取り込み、分析するプラットフォームになりつつあります。コンテナ/Kubernetes上に構築されたマイクロサービスの採用を考慮すると、データ量は爆発的に増加しています。このため、忠実度の高いシグナルと低いシグナルの両方があっという間に膨大な量になり、最終的には、クラウドネイティブなインフラストラクチャの最も重大なリスクに焦点を当てるにはどうすればよいかという疑問が生じます。

今、何が実行されているのかについて深い知識を持つことは、緊急に注意を払う必要があるもののリストを縮小するのに役立ちます。簡単に言えば、何が実行されているかについての知識(すなわち、ランタイムインサイト)は、セキュリティチームとDevOpsチームが最も重大なリスクに対して最初に行動を起こすために必要なコンテキストです。最終的に、このコンテキストは、開発ライフサイクルの早い段階でフィードバックすることができ、実行可能な優先順位付けによって、CNAPPの「シフトレフト」ユースケースをより良くすることができます。

ランタイム・インサイトの日常的な活用例

CNAPPを取り入れることで、価値ある一貫したポリシーの実施が可能になる例をいくつか紹介します:

E例1:実行中のパッケージ

ビルドチームは、ビルドとテストのパイプラインにセキュリティスキャンを導入しました。SCAツールが、成果物が保存されているレジストリに対して実行され、CVEデータベースから既知の脆弱性をタグ付けしているとしましょう。すでに本番稼動しているものに、新たなクリティカルアラートタグが付けられたらどうなるでしょうか?Log4Shell 脆弱性のような深刻なものであれば、影響を受けるアプリケーションを直ちにシャットダウンするか、潜在的な攻撃を緩和する必要があります。強力な CNAPP は、ランタイム・インサイトの力を活用して、脆弱性のあるライブラリがすでに使用されているかどうかを識別し、それに応じてリスクと緩和策の優先順位を決定します。また、この種のイベントへの対応を自動化できる必要があります。

例2:使用中のパーミッション

ある組織がクラウドインフラにアマゾン ウェブ サービス(AWS)を利用しています。 CreateS3BucketAdmin “というカスタム権限が特定のプロジェクト用に作成されましたが、現在は使用されていません。 この権限は、AWSアカウント内でS3バケットを作成および管理するための完全な管理アクセスを許可します。

この状況は重大なセキュリティリスクをもたらします。侵害された場合、攻撃者はS3バケットを作成および操作するためにこの未使用の権限を活用することができ、潜在的にデータ露出、データ損失、または機密情報への不正アクセスにつながる可能性があります。

CNAPPは、このようなセキュリティリスクを特定し、軽減する上で重要な役割を果たします。CNAPPは、ユーザの行動と、ユーザが通常使用する権限の分析に基づいて、自動的にポリシーを定義することができます。この情報は、理想的にはコード化され、強制可能なベースラインを生成するために使用することができます。この「使用中」の権限ポリシーはフィルタとして機能し、自動的に推奨を生成し、このプロセスをより効率的にすることができます。

CNAPPはどのように機能するのか?

CNAPPは、ランタイムリスク可視化、クラウドリスク可視化、開発アーティファクトリスク可視化の要件をひとつの強固なプラットフォームに統合することで、クラウドセキュリティの統合を可能にします。

このように統合された一連の機能を持つために、CNAPPは一般的にエージェントベースとエージェントレスという2つの異なる計測パラダイムに従っています。

  • エージェントベースは、ワークロードの近くに留まります。エージェント(多くの場合、センサーまたはプローブと呼ばれます)は、インスツルメンテッド・マシン上でワークロードと同時に実行する必要があります。同じホスト上にあることで、ランタイムをリアルタイムで可視化し、システムレベルのコンテキスト情報にアクセスすることができます。
  • エージェントレスは、クラウドプロバイダーが提供するAPIによって実現され、ワークロードと共に実行するエージェントを必要とせずに、関連するコンテキストを収集します。多くの場合、スナップショットを取得する機能を活用して、ポイントインタイムのコピーでセキュリティスキャンを延期し、元のワークロードは変更せずに残します。このアプローチは、エージェントが提供する実行時の深い洞察には欠けるものの、資産のインベントリを構築したり、監査ログから既知の脆弱性や異常な動作を特定したりするなど、リアルタイムデータに依存する必要のない問題に取り組むための摩擦のないソリューションを提供します。

堅牢な CNAPP ソリューションは、可能な限り効果的にするために、両方のインスツルメンテーションアプローチを採用する必要があります。ランタイムをリアルタイムで可視化し、システムレベルのコンテキスト情報へのアクセスを向上させるために エージェントを使用し、既知の脆弱性と監査ログの異常な動作を特定するためにエージェントレスを使用します。

CNAPP ソリューションは、既存のセキュリティツールやシステムと統合できるか?

CNAPPは、開発組織が使用するランタイムクラウド環境や開発パイプラインツールとの統合を必要とします。

CI/CDパイプラインへの統合

CNAPP は CI/CD 開発ツールセットと統合して、ビルド時の脆弱性や設定ミスによる暴露リスクを抑える必要があります。この統合は、ソースコードであろうとコンパイルされたバイナリであろうと、アーティファクトのスキャンに不可欠であり、アーティファクトの監査/ログのテレメトリをカバーするように拡張されています。

クラウドプロバイダとの統合

エージェントレス計測が進化するにつれ、CNAPPベンダーはクラウドプロバイダーとの統合レベルを高め、ワークロードに沿って実行するエージェントを必要とせずに、関連するコンテキストを収集するために利用可能なAPIを活用しています。

既存のCNAPPのほとんどは、3大クラウドプロバイダーをサポートしています: アマゾン ウェブ サービス(AWS)、Microsoft Azure、Google Cloud Platform(GCP)です。さらに、Oracle Cloud、IBM Cloud、Alibaba Cloud、VMware Tanzuなど、他のプロバイダーとの統合を拡大しているベンダーもあります。したがって、自社のインフラをサポートするソリューションを選択するようにしてください。

Infrastructure as a Code(IaC)ツールとの統合

この統合により、CNAPP はデプロイ前に IaC ファイルをスキャンし、ランタイムドリフトを検出します。例えば、Git Integrations は、事前に定義されたポリシーに基づいて、受信した Pull Requests(PR)をスキャンし、セキュリティ違反を検出します。スキャンの評価結果は、PR 自体に表示されます。合格した場合はマージすることができ、不合格の場合はマージすることができません。また、PR で提供される情報は、問題箇所を特定し、ユーザの修正作業を支援します。

鍵管理システム(KMS)との統合

これは、暗号化されたリソースや署名されたリソースのリスクをスキャンするために必須です。

ケーススタディ: ボット対策大手企業が CNAPP でコスト削減、アラート削減、ツール統合を成功させた方法

ある大手ボット対策企業は最近、クラウドセキュリティインフラを強化するために CNAPP を採用しました。CNAPP を導入することで、同社はセキュリティツールの統合、アラートの削減、コスト削減などの大きなメリットを得ました。

CNAPP を採用する前、同社は 6 つの異なるセキュリティツールを利用しており、それぞれが私たちの環境で特定のセキュリティ機能を提供していました。このような断片的なアプローチでは、運用が複雑化し、機能が重複し、メンテナンスコストは増大しました。CNAPP の導入により、同社はすべてのセキュリティツールを単一のプラットフォームに統合し、セキュリティ運用を合理化して管理オーバーヘッドを削減することができました。

CNAPP の導入は、アラート管理プロセスの最適化にも役立ちました。CNAPPの高度な脅威検知・対応機能とランタイム・インサイトを活用して、使用中のパッケージに焦点を当て、リスクに優先順位をつけることで、同社はセキュリティアラートの発生件数を30%削減することに成功しました。この改善は、インテリジェントでコンテキストに基づくアラートの優先順位付けによって達成され、セキュリティチームは、ノイズや誤検知を最小限に抑えながら、最も重要な脅威に集中できるようになりました。その結果、チームの効率と応答性が大幅に向上し、真のセキュリティ・インシデントに迅速に対処できるようになりました。

さらに、CNAPP によるセキュリティツールの統合は、大幅なコスト削減をもたらしました。複数のセキュリティ・ツールに関連するライセンス料、メンテナンス費用、および運用上のオーバーヘッドを排除することで、同社はセキュリティ支出全体の 20% 削減を達成しました。CNAPP が提供する簡素化された管理と合理化された運用は、コストを削減するだけでなく、貴重なリソースを解放し、他の戦略的イニシアティブに割り当てることを可能にしました。

全体として、CNAPP の採用により、セキュリティインフラの統合、アラート管理の合理化、大幅なコスト削減が実現しました。クラウドセキュリティに対するこの包括的で統一されたアプローチは、運用効率の向上、インシデント対応能力の向上、組織のセキュリティ体制の強化につながりました。

CNAPP ツールは組織にどのようなメリットをもたらすのか?

1. クラウドセキュリティの強化

CNAPPは、あらゆるワークロード、クラウド、サービスにわたって広範な機能を提供するEnd-to-Endソリューションであり、企業はクラウドインフラストラクチャに関係なく、一貫した脅威の検出と可視性を維持することができます。また、機械学習(ML)、ルール、脅威フィードなど、さまざまな技術を組み合わせることで得られる深みも提供し、脅威を効果的に検知して対応することができます。CNAPPはまた、攻撃経路分析を提供することで、クラウドネイティブ環境における攻撃対象領域を削減し、予防的制御の一種として環境設定のギャップを浮き彫りにします。

2. リアルタイム脅威検知

CNAPP は、高度な脅威検知機能をリアルタイムで提供します。クラウドネイティブなセキュリティ制御とランタイムの可視化技術を活用し、セキュリティインシデント、異常、侵害の指標(IOC)を迅速に特定します。CNAPP はエンドツーエンドの検知を提供するため、企業は新たな脅威に迅速に対応し、セキュリティ侵害の影響を最小限に抑えることができます。

3. コンプライアンスの簡素化

CNAPP は、業界標準およびベストプラクティスに沿ったセキュリティ管理およびメカニズムを提供することで、組織が規制およびコンプライアンス要件を満たすのを支援します。セキュリティ脆弱性の特定と修正を支援し、アプリケーションが PCI DSS、HIPAA、GDPR などのコンプライアンスフレームワークに準拠していることを保証します。

4. DevOpsコラボレーションの改善

CNAPP は、開発チームとセキュリティチームのコラボレーションと連携を促進し、セキュリティとデジタルイノベーションのバランスを取ります。CNAPPは、DevOpsツールやプロセスと統合し、継続的インテグレーションと継続的デプロイメント(CI/CD)パイプラインにセキュリティをシームレスに組み込むことができます。

5. 作業効率

CNAPP は、セキュリティ管理を統合し、一元管理することで、セキュリティ運用を簡素化します。CNAPPは、検出、応答、およびセキュリティ・イベントの管理のための単一のガラス窓を提供します。

結 論

CNAPP を使用することで、企業はクラウドネイティブなセキュリティツールを統合し、運用を合理化し、リスクに優先順位を付けて、全体的なセキュリティ体制を強化することができます。

CNAPPのランタイムインサイトを活用することで、企業は次のことが可能になります:

  • 組織で使用されているものに基づいてリスクの優先順位を決定します。
  • 継続的かつリアルタイムな検知を可能にします。
  • 攻撃経路分析を使用して、環境構成にギャップが存在する場所を強調するデータの可視化を強化します。