クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)

CNAPPソリューションがアプリケーション開発プロセスにおけるリスクのより全体像をどのように提供できるかをご覧ください。

InsightCloudSecをお試しください

クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)とは

クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、統合されたライフサイクルアプローチを採用するクラウドセキュリティの原型であり、真のクラウドネイティブアプリケーション開発環境のホストとワークロードの両方を保護します。こうした環境には独自の要件と課題が存在するため、そうした懸念に対処するために新しいセキュリティ製品カテゴリーが登場したことは自然なことと言えます。

Gartnerは、「クラウドネイティブアプリケーションの最適なセキュリティには開発からランタイムまで拡張する統合アプローチが必要」として、2021年にCNAPPを公式のクラウドセキュリティカテゴリーとして導入しました。クラウドのような一時的な環境でアプリケーションを構築するDevOps組織は、誤設定や脆弱性が出現したときにそれを把握するために、プロセスを完全かつリアルタイムに可視化する必要があります。一般に、CNAPPのセキュリティとは、シフトレフト(システム開発の流れの中で早い段階でセキュリティ対策を取り組むという考え)で、開発ライフサイクルにセキュリティを可能な限り緊密に統合することと同義だと考えられています。

クラウドでのエンドツーエンドのアプリケーションセキュリティの検討を始めた組織は、より深く階層化された防御やワークロードへのより頻繁なアクセスなどの利点を認識できる可能性があります。CNAPPは重要な自動化機能も備えており、正しく調整されていれば、クラウド管理者の効率を大幅に向上させることができます。これまでサイロ化されていたアプリケーションセキュリティへのアプローチがCNAPPに統合され、次世代のアプリケーションセキュリティソリューションとツールを宣伝するベンダーに対する期待値が引き上げられました。

CNAPPの主要コンポーネント

CNAPPソリューションのコンポーネントと機能は常に変化し、これを特定するのは容易ではありませんが、Gartnerはこうしたソリューションが満たすべき最低要件を定めています。以下では、それらの要件を定義するコア機能をいくつか見てみましょう。

クラウドセキュリティ態勢管理(CSPM)

CSPMソリューションでは、企業のクラウド環境における脅威を特定、修正することができます。開発者やITセキュリティチームと連携し、自動化でセキュリティリスクを可能な限りスピーディーに処理します。その他の重要な機能として、セキュリティリスクの評価、インシデント対応、DevOpsとの統合が備わっています。ハイブリッド、コンテナ化されたクラウド環境と互換性があるほか、マルチクラウド環境で使用すると最も効果的です。CSPMソリューションは、組織のクラウド資産と各構成に対する比類のない可視性を提供します。

クラウドワークロード保護プラットフォーム(CWPP)

CWPPソリューションは、企業のクラウドプラットフォームに現在デプロイされているすべてのワークロードを管理する機能を提供する必要があります。開発組織は、通常の構築プロセスの一部として、CI/CDパイプラインの自動化されたプロセスにCWPPを統合できます。このアプローチは、DevOpsやDevSecOpsの方法論を採用する企業では一般的になっています。CWPPは企業のSecOpsインフラの他の部分とシームレスに統合する必要がありますが、セキュリティ オペレーションセンター(SOC)の能力を強化し、複雑なクラウドベースのサイバー攻撃をより効果的に検知・分析するのに役立ちます。

クラウドインフラストラクチャ権限管理(CIEM)

CIEMはIDに基づく、クラウドアクセスリスクの管理において重要な役割を果たすソリューションです。CIEMは、管理時間の制御を活用して、ハイブリッドおよびマルチクラウドIaaSアーキテクチャにおけるエンタイトルメントとデータガバナンスを管理します。 これらのツールは、動的なクラウド環境のアイデンティティガバナンスを処理し、ユーザーとエンティティに対し、必要最低限のアクセスのみを付与するという 最小特権の原則に従います。

コンテナセキュリティ

コンテナセキュリティとは、Kubernetesのようなプラットフォーム上でコンテナ化されたアプリケーションやワークロードを保護するためのメカニズムやプロセスを実装することを指します。今日のクラウド環境では、コンテナホストのロケーション、実行中または停止中のコンテナの特定、CISベンチマークに準拠していないコンテナホストの検出、脆弱性評価の実施といった側面を最大限に可視化することが重要となります。コンテナセキュリティは、アプリケーションのリスクを早期に明らかにし、開発プロセスの摩擦をできるだけ減らすため、CI/CDパイプラインをできるだけ早い段階で実装する必要があります。

Infrastructure as Code(IaC)セキュリティ

Infrastructure as Code(IaC)は、事前構築されたテンプレートの形式でコードを活用し、クラウドベースのアプリケーションをサポートするために必要なインフラストラクチャリソースをプロビジョニングする手法を指します。再現性が高い手法で、開発者は、アプリケーションが実行されるインフラストラクチャを作成するコードの作成、テスト、リリースに使えます。アプリケーション開発プロセスのセキュリティ制御の実装が開発の後段階になるほど、攻撃者に悪用される可能性のある誤設定や脆弱性の発生可能性が高くなるため、そのプロセスを保護することは非常に重要です。

Gartnerは、そのCNAPPの最近のマーケットガイドにおいて、CNAPPに求められるコア機能、推奨機能、およびオプション機能のより網羅的で分類されたリストを説明しています。

CNAPPが解決する課題

CNAPPは、アプリケーションのライフサイクル全体にわたる可視性、クラウドリスク管理の課題、検出された脆弱性の優先順位付けなどの問題を解決します。いくつかのユースケースを具体的に見てみましょう。

可視性の向上とリスクの定量化

開発ライフサイクル全体の可視性は、長い間、セキュリティチームが直面する最も重要な課題でした。このため、プロセスの早い段階や導入前に間違いを発見できるよう、セキュリティをできるだけシフトレフトすることが非常に重要です。可視性の観点からはデプロイメント後からランタイムまでも見逃すべきではなく、CNAPPベンダーはライフサイクル全体に重点を置くことが肝要です。CNAPPの提供する可視性の強化がなければ、修正のためのリスクを定量化し、優先順位を付けることが困難になる可能性があります。

統合クラウドセキュリティソリューション

完全な可視性と状況に応じた優先順位付けであらゆる問題を開発プロセス内で把握できれば理想的ですが、これを100%の確率で完璧に実行できるCNAPP製品は存在しません。ただし、優れたベンダーであれば、プロセスを継続的に中断することなく、開発者に合わせてセキュリティを調整し、DevOpsの急速なクラウド成長目標に対応できるソリューションを提供できるはずです。

セキュアなソフトウェア開発

Gartnerは、「CNAPPは、誤検知やノイズを減らし、リスクの優先順位付けを行い、特定されたリスクを解決するための具体的な修正ガイダンスを提供することで、可能な限りシームレスかつ透過的にネイティブの開発ツールセットに統合し、開発者のエクスペリエンスを向上させることができる」としています。その要点は、クラウド導入における主な推進要因の1つであったはずのスピードを損なうことなく、開発プロセスを補完することにあります。SecOpsにとっては、開発環境を理解し、脆弱性スキャンをプロセスの早期に移行するための重要な領域を特定することも同様に重要です。

CNAPPの利点

CNAPPソリューションは、アプリケーション開発プロセスにおけるリスクのより包括的な全体像を提供し、その能力は多岐にわたりますが、誇張されるべきではありません。前述のように、完璧なソリューションは存在しませんが、有能なCNAPPプラットフォームなら次の利点を提供できるはずです。

コスト削減と簡素化

複雑さの軽減はサイバーセキュリティ分野に限られた概念ではありませんが、技術革新のスピードにより、真の意味でのインパクトがなく、企業の財務的損失となりうる時代遅れのレガシーソリューションの継続的な淘汰が不可避となります。CNAPPの導入を検討する顧客は、ソリューションをバンドルしてコストを節約し、完全なライフサイクルの可視性を提供できる単一ベンダーのソリューションにセキュリティを統合することで、運用を簡素化することを希望する傾向が強まっています。

包括的なカバレッジ

理想的なCNAPPソリューションは、ベンダーが提供するテクノロジーと実務担当者が実行する戦略の両面から見てクラウドセキュリティに対する包括的なアプローチであり、広大で複雑なクラウド環境内のリスクをエンドツーエンドで監視し、是正するプロセスを簡素化するものであるべきです。マイクロサービスベースのアーキテクチャのセキュリティを簡素化できるCNAPPソリューションの登場で、分散型サービスはその大部分が過去のものとなる可能性があります。

開発者と歩調を合わせる

これについては少し説明しましたが、プロセスのリスクを軽減するには、DevOps組織と真に提携して、開発ライフサイクルを有機的に確保することが最良の方法です。CNAPPは高度な分析を活用してリスクをより詳細に可視化でき、これによりセキュリティ担当者はどこを調べればよいのか、どうすればより迅速に実行できるかをより正確に把握できるようになり、迅速な修正と優先順位付けを行えるDevSecOps文化の構築に役立ちます。

セキュリティガードレール

CNAPPは、開発プロセスにガードレールを提供するだけでなく、セキュリティの有機的な統合にも役立ちます。こうした仕組みがあれば、開発者は、環境に合わせて調整されたセキュリティガードレールの制約内にある限り、自動化、構築、展開を好きなだけ早く行うことができます。イノベーションとスピードを過度に抑制する必要がなくなることが、開発者にとって真のメリットとなります。