フォーム読み込み中
CNAPPとは? CSPM・CWPPを活用したクラウド時代のセキュリティ対策
ソフトバンクビジネスブログ編集チーム
本橋 恵美
2018年からソフトバンクにてB2Bマーケティングに従事。 セミナー企画やウェビナーの立ち上げを担当した後、2023年よりドキュメント制作に携わる。 主な担当領域はスマートワーク実現に向けた内容のコンテンツ。
2024年3月29日掲載
この記事では、セキュリティ分野におけるキーワードや注目を集めている用語についての基礎知識を深めていただくことを目的に、概要やポイントなどを分かりやすく解説しています。今回のテーマは、クラウド環境におけるセキュリティの考え方である「CNAPP(シーナップ)」についてです。
本記事を監修いただいた方のご紹介
中堅中小企業向けにセキュリティの支援を行う株式会社CISO 代表取締役。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、独自のセキュリティサービス(特許取得)を提供。業界問わず幅広く講演・執筆多数。近著に「知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)」あり。
CNAPPとは? CNAPPが必要な時代背景
CNAPP(シーナップ)とは、Cloud Native Application Protection Platformの略で、米国の調査会社であるGartnerによって提唱されたセキュリティ用語です。セキュリティ業界において頻繁に新語が出てくる中で、最近耳にしたことがある方も多いのではないでしょうか。
急速に進むデジタル化社会において、種類も豊富ですぐ利用できるSaaSなどのパブリッククラウドアプリケーションが多く提供されるようになりました。また、オンプレミスサーバは、AWSやAzureに代表されるPaaSやIaaSなどのクラウド環境を活用することで、物理サーバを購入することなく、クラウド上でサーバ機能を利用できるようになりました。このように、オンプレミス環境からクラウド環境への移行が主流となる中、そこには、クラウド環境におけるセキュリティ管理という新たな課題が伴います。そこで最近話題を集めているのが、複数のセキュリティやコンプライアンス機能を1つに統合するクラウドセキュリティプラットフォーム「CNAPP」です。
CNAPPは、企業がクラウドサービスを使う際に課題となる「セキュリティ管理」に焦点を当てたソリューションです。クラウドサービスが浸透していないときのシステムの利用は、社内環境やデータセンターにサーバを設置して利用する「オンプレミス環境」が主流でした。この場合、インターネットの出入り口にファイアウォールを設置し、外部からの侵入を防ぐことで守れていましたが、クラウドサービス(SaaSやPaaS、IaaSなど)の活用によって重要なデータが「社外」に存在するようになりました。
ユーザが限定されない公開型の「パブリッククラウド」や、クラウドサービスをあたかも社内のオンプレミス環境として閉域で活用できる「プライベートクラウド」の利用など、いずれにおいても、公開設定や管理者権限を持つIDなどの設定のミスによって、攻撃者から簡単に外部侵入を許してしまうという新たなリスクを持つようになりました。
CNAPPはこのような環境設定上の不備や、アカウントの設定不備などによるリスクを管理するソリューションで、これまでサイロ化(個別に提供)されていたセキュリティツールを統合したものです。これにより、クラウド時代のセキュリティ管理の効率化が実現できます。
(図:統合型プラットフォーム CNAPPのイメージ)
CNAPPを構成するコンポーネントの紹介
CNAPPは、CSPMやCWPPなど、複数のコンポーネント(要素)で成り立っています。代表的な内容について、それぞれの概要や特徴を説明していきます。
●CSPM(Cloud Security Posture Management):
クラウドの設定不備をシステムが自動的に発見し、リスクを検出するためのシステムです。
例えばクラウド設定において、セキュリティポリシー上問題がないか、脆弱性が残っていないか、攻撃者からの侵入可能性の残る状態になっていないか、などのリスクを自動的に発見したり、管理するための機能が含まれています。クラウドセキュリティを語る上で重要なワードであるCASB(Cloud Access Security Broker)と比較されることがありますが、CSPMとCASBはチェックする範囲が異なります。CSPMがクラウド環境内部のセキュリティ管理に注力するのに対し、CASBはクラウドサービスへのアクセス点に位置し、アクセス管理(ブロック)をすることに重きを置いています。クラウドセキュリティのリスクを事前に特定することにより、クラウド環境上の不備によって発生する情報漏えいやサイバー攻撃のインシデントを未然に防ぐことに繋がります。
●CWPP(Cloud Workload Protection Platform):
クラウド環境におけるワークロード(クラウド上で実行されているサーバや仮想マシン、動作しているソフトウェア、コンテナ、サーバーレスアプリケーションなど)
のセキュリティを保護するためのプラットフォームです。ワークロードの可視化や監視、セキュリティポリシーの適用、脅威検出と対応、コンプライアンス管理などの機能を提供します。これにより、クラウド環境でのワークロードのセキュリティリスクを最小限に抑えることができ、攻撃者がワークロードを通じてシステムを侵害するのを防ぐことに繋がります。
●IAM(Identity and Access Management):
クラウド上でのユーザ認証、およびアクセス制御を行うためのプロセスと技術です。
IAMはセキュリティを強化し、各種のサービスやツールに関する認証、複数のサービス・ツール間でのIDの一元管理、および、セキュリティの確保と情報資産へのアクセス制限を実現します。
●CIEM(Cloud Infrastructure Entitlement Management):
CIEMは、ハイブリッドクラウド(プライベートクラウドやパブリッククラウドなどの混合体)やマルチクラウド環境の権限の管理を適切に制御し、セキュリティリスクを減らすことを目的としたシステムです。特に、SaaSで用いられるパブリッククラウドにおいて、利用サービスの数が増えれば増えるほど、権限管理に手が回らなかったり、必要以上の権限を付与し続けるなどの問題が発生するリスクが増えます。このような問題が起こらないように権限を見える化します。
●IaC(Infrastructure as Code)
クラウドのリソースやインフラストラクチャーをコードで管理することにより、デプロイや設定作業を自動化し、手動操作に起因する不備を削減することで運用効率を向上させる手法で、サーバやネットワークなどのインフラ構成をコード化して構築や管理を自動化します。
●KSPM(Kubernetes Security Posture Management):
Kubernetes環境のセキュリティ状態を管理・改善するためのソリューションを意味します。Kubernetesはコンテナ化されたアプリケーションのデプロイ、スケーリング、管理をオーケストレーションする開放型のプラットフォームであり、Kubernetes環境におけるリスクや脆弱性を特定し、セキュリティインシデントのリスクを軽減します。
CNAPP 導入・運用の課題
CNAPPは複数のコンポーネントで成り立ちますが、コンポーネントの組み合わせや導入・運用には、クラウドセキュリティに関する十分な専門知識が必要です。
統合された複数の機能が最適化されているかを確認しなければなりませんし、近年の巧妙化するサイバー攻撃により、CNAPPが提供するセキュリティ対策が追いつかなくなる可能性もあります。そのため、CNAPPの継続的なアップデートの対応が求められます。
CNAPPを提唱するGartnerの定義は理想的とは言えますが、広範囲にわたることから、
現時点においてはCNAPPの定義を全て満たすサービスベンダは存在しません。
ベンダ側もCNAPPの定義に見合うようにサービスのアップデートを日々行っているというのが現状であるため、今後も進んでいくであろうクラウド環境への移行に向けて、CNAPPの概念を十分に理解しておくことが重要となります。
CNAPPの果たす役割を理解して、より強固なセキュリティを実現しましょう
テクノロジーが急速に進化する今、CNAPPの果たす役割は重要な位置付けであり、今後の企業のセキュリティ戦略に欠かせない要素になっていくことでしょう。
ソフトバンクはお客さまのセキュリティ課題を解決します。ソフトバンクでは、CSPM・CWPPに関連するソリューションをご用意しています。下記のリンクより詳細をご確認いただけますので、ぜひご覧ください。
関連セミナー・イベント
おすすめの記事
条件に該当するページがございません
