CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）とは

CNAPPは、クラウドおよびマルチクラウド環境における アプリケーションのセキュリティ 、ネットワークセキュリティ、規制遵守の確保を支援します。これにより、パブリッククラウド 、プライベートクラウド、オンプレミスインフラ全体で、データ侵害 、 マルウェア攻撃、その他のセキュリティ脅威から機密データを保護できます。

CNAPPにはクラウドセキュリティソリューションが組み込まれているため、製品間で機能が異なる場合があります。一般的に、次のようないくつかの予防的および事後的なセキュリティ機能が組み込まれています。

• アーティファクトスキャン： 既知の脆弱性のデータベースとコードを自動的に照合し、デプロイメント前に潜在的なセキュリティ問題を事前に特定します。

• セキュリティガードレール： 必要に応じて事前定義されたセキュリティ対策を自動的に適用する（またはセキュリティが不十分な領域にフラグを立てる）ツールを使用して、カスタムおよび標準のセキュリティ・プロトコルを確立します。

• 設定およびコンプライアンス管理ツール： 誤設定やコンプライアンス違反のセキュリティ慣行を高いレベルで特定・防止し、データ・セキュリティーの確保と法規制による罰則の回避を支援します。

• リスクの検知と優先順位付け:リスクの検知と優先順位付けは、潜在的な脆弱性を明らかにし、最も緊急の問題を特定するのに役立ちます。

• ユーザー行動分析 (UBA): UBAツールは、データ分析、AI 、ML を使用して、ネットワーク上の一般的なユーザー行動のモデルを作成し、セキュリティの脅威を示す可能性のある逸脱を検知します。

CNAPP は、クラウド環境全体にリアルタイムの可視性を提供し、開発ライフサイクル全体にわたってセキュリティ リスクと脆弱性を特定して対応します。IBM Cloud 、Amazon Web Services(AWS)、Microsoft Azureなどの主要なクラウドプロバイダーとのAPI統合を提供するCNAPPソリューションは、 CI/CDパイプライン内に統合され、コード作成からランタイム実行までの包括的なセキュリティのためのエージェントとエージェントレスの両方のワークロード保護を提供します。

CNAPPセキュリティー・プラットフォームは、もともと研究およびコンサルティング会社のGartnerによって概念化されたもので、従来は個別にデプロイされていたさまざまなクラウドネイティブなセキュリティー・アプリケーションを単一のプラットフォームに統合します。

CNAPP プラットフォームは、従来のサイロ化されたセキュリティ アプローチではなく、複数のクラウド セキュリティ ツールを組み合わせて合理化し、クラウド プラットフォームを監視するセキュリティ チームに包括的な可視性、脅威の検知、および修復を提供します。

組織の要件に応じて、異なるCNAPPフレームワークが異なるユースケースに適している場合があります。多少の違いはありますが、ほとんどの CNAPP は、初期のコード開発から最終的なデプロイメントまでクラウドアプリケーションを保護するために設計された最小限のセキュリティ機能セットを提供します。

クラウド リソースを保護し、アプリケーション セキュリティ (AppSec)を提供するように設計された最高の CNAPP は、組織の固有のニーズを満たすことで機能します。少なくとも、効果的な CNAPP は、組織の潜在的な攻撃対象領域を監視および削減し、潜在的なセキュリティの不確実性を排除して、組織の全体的なセキュリティー体制を改善します。したがって、最良のCNAPPとは、組織に与えられた要件に最も適していることです。

さまざまなユースケースのさまざまなニーズを満たすために、ベンダーはさまざまなレベルのサービスを提供する場合がありますが、十分なCNAPPがこれらの主要コンポーネントのほとんどを提供することが期待できます。

CSPMにより、組織はクラウド インフラストラクチャ、コードとしてのインフラストラクチャ (IaC) 、およびその他のクラウド参考情報を継続的に監視し、事前定義されたセキュリティ ポリシーに基づいてセキュリティ制御を自動的に実装できるようになります。

CSPMは、脆弱性や設定ミスを明らかにするのに役立ち、組織がクラウドセキュリティの状態を容易に評価し、存在する可能性のある脅威やコンプライアンスのリスクに対処できるようにします。

CWPPは、コンテナ、仮想マシン、Kubernetes、データベース、API、サーバーレス機能などのクラウドワークロード(およびクラウド環境内でタスクを実行するために必要な関連データとプロセス)を特に保護するように設計されています。

一部の CWPP は各ワークロードにバーチャル・アシスタントを接続しますが、最新のエージェントレス CWPP は包括的なカバレッジを提供します。どちらのタイプのCWPPも、クラウド環境内にデプロイされているすべてのワークロードに対してランタイム保護を提供します。

CIEMツールは、アクセス権、特権、権限など、単一クラウド環境およびマルチクラウド環境のID管理に使用されます。CIEMを統合することで、CNAPPはクリティカルなアクセス管理を実現し、最小権限の原則を適用できるようになり、ユーザーとサービスのアクセスがそれぞれの役割に必要なものに限定されるようになります。

CIEM ツールは、意図しない権限や過剰な権限を識別して防止し、関連する脅威やデータ侵害を防止します。これらは、組織のより広範なID およびアクセス管理 (IAM)プログラムのクリティカルなコンポーネントであると考えられており、より安全なゼロトラスト セキュリティ アプローチを実現する上で役立ちます。

CDR システムは、クラウド環境における疑わしいアクティビティを積極的に監視します。このようなアクティビティが特定されると、CDR はリアルタイムの脅威修復のための自動インシデント対応をトリガーします。

CSNS ソリューションは、ネットワークの脆弱性に対処するように設計されており、Web アプリケーション ファイアウォールを強化し、Web ゲートウェイを保護し、 DDoS (分散型サービス妨害) 攻撃に対する保護を提供するツールが含まれています。

Kubernetes は、コンテナ化されたアプリケーションのスケジュール設定と自動化を行うコンテナ オーケストレーションプラットフォームです。KSPM ツールは、Kubernetes 環境を監視、評価、保護するように設計されており、構成の検証、クラスターペネトレーション、テスト、ベンチマークを通じてデータ保護と規制遵守を確保します。

ASPM は、アプリケーションのデプロイメント前のセキュリティを確保することに特に焦点を当てており、アプリケーションがデプロイされた後に発生する可能性のある潜在的な脆弱性を特定して解決するために、開発段階で重要なコンテキスト情報をアプリケーションに適用します。

DSPM は、クラウド環境でのデータの保管、転送、保護の方法を監視し、セキュリティ ガードレールの適用と規制コンプライアンスの維持によって組織が機密データを追跡、管理、保護できるように支援します。

IaC ツールは、実際のコードの代わりに (または実際のコードに加えて) 構成ファイルを使用して、組織がクラウド アーキテクチャを定義するのに役立ちます。IaC ツールは、構成ファイルをスキャンして脆弱性や誤った構成を検出し、意図しないネットワークの公開、権限、コンプライアンス違反を最小限に抑えます。IaCスキャンは自動化することも手動で開始することもできます。

クラウド・サービスとサービスとしてのインフラストラクチャー (IaaS)の普及に伴い、データ・セキュリティーを維持し、コストのかかる規制コンプライアンス違反を回避しようとする運用では、広範なセキュリティーの課題が生じています。クラウド・サービスは、ソフトウェア開発とアプリケーション開発に理想的な実稼働環境を提供し、物理ハードウェアやサプライチェーンに関連する高額なコストを発生させずに市場投入までの時間を短縮します。

しかし、クラウド・サービスプロバイダー（CSP）に依存する組織にとって、セキュリティは共同責任となります。CNAPPs を使用すると、組織はアプリケーション ライフサイクル全体にわたってクラウド リソースを保護できます。CNAPP は、エンドポイント管理やワークロード保護などの重要なサイバーセキュリティ機能をすべて 1 つのインターフェイスにまとめて提供します。この合理化されたアプローチにより、クラウド セキュリティ体制全体の個々の部分を監督する複数のマネージャーに関連するオーバーヘッドが削減されます。

複雑なクラウド環境には、さまざまなセキュリティ上の課題が伴い、検証、保護、テスト、デプロイを行うための新しい動的コンポーネントが継続的に登場します。クラウドは比類のない柔軟性と利便性を提供する一方で、多数の新しい攻撃ベクトルと潜在的な脆弱性ももたらし、セキュリティ チームにさまざまな課題をもたらします。CNAPP が解決に役立つ主なセキュリティ上の課題は次のとおりです。

• サイロ化されたセキュリティ オペレーション:組織は歴史的に、クラウド セキュリティに対して段階的なアプローチを採用し、CNAPP の一部 (データ セキュリティー体制管理や Kubernetes セキュリティー体制管理など) をスタンドアロン ツールとして組み立ててきました。この洗練されていないアプローチでは、より多くの参考情報が必要となり、オーバーヘッドが増加し、全体的なセキュリティ実装が最適化されない結果となります。CNAPP は、これらの異種のツールを 1 つのプラットフォームに統合することで、クラウド インフラストラクチャと開発パイプライン全体にわたってセキュリティの取り組みを改善し、標準化します。これらの主要な機能を一元化されたツールに統合すると、必要なリソースが少なくなり、全体的なオーバーヘッドが削減されます。

• セキュリティーの不確実性： CNAPP は、組織がクラウドインフラストラクチャ全体の可視性を向上させるのに役立ちます。ハイブリッド・エージェント・ベースおよびエージェントレス・セキュリティー機能を提供し、最もクリティカルなワークロードを綿密に監視し、リソースの可用性のためにエージェント・ベースの監視ができない場合は、強力な包括的保護を提供します。

• アラート疲労:サイロ化されたセキュリティ ツールは特定の種類の脆弱性を識別できますが、それらの脆弱性が深刻な脅威になる可能性がある程度を文脈に沿って説明できないことがよくあります。全体像が把握できないと、スタンドアロンのセキュリティ ツールでは潜在的な問題を適切に優先順位付けできず、結果として優先度の低いアラートが過剰に生成されることになります。セキュリティー管理者が「ノイズ」の中から最も関連性の高いアラートを識別する必要がある場合、アラート疲労により人的なミスが発生する可能性があります。

• 運用上の摩擦: DevOpsチームは、新しいクラウドリソースとアプリケーションを開発してデプロイするという多大なプレッシャーにさらされることが非常に多いです。この時間的制約の中で、開発者と運用セキュリティの維持を担当するDevSecOpsチーム間の連携は、しばしば摩擦の原因となり、市場投入までの時間を遅らせます。CNAPP は、DevOps チームと DevSecOps チームが協力して、開発パイプラインの早い段階でクラウドセキュリティのベスト・プラクティスを自動的に組み込むのに役立ちます。

オールインワン クラウド セキュリティ ソリューションとして、CNAPP は、CSPM、CWPP、CIEM ツールに関連する利点を簡素化された単一のアプリケーションにパッケージ化します。従来はスタンドアロンだったこれらのプラットフォームを緊密に統合することで、CNAPP は個別かつ総合的なセキュリティ対策を最適化し、脅威や脆弱性をより効果的に防止、検知、対応できるようになります。

CNAPP は、開発プロセスの早い段階でセキュリティ テストの統合を促進する、サイバー セキュリティへの「シフトレフト」アプローチもサポートしています。また、DevOpsチームとDevSecOpsチーム間のワークフローの改善にも役立ちます。

CNAPP の主要なメリットには、次のようなものがあります。

• サイバーセキュリティーの強化:クラウド環境内にセキュリティを統合し、組織にサイバー脅威に対するより強力な保護を提供します。クラウド環境がますます一般的で複雑になるにつれて、無秩序に広がるハイブリッドおよびマルチクラウド・システムを保護するために、クラウドネイティブのセキュリティーの重要性が増しています。

• 一元管理： 組織はクラウド・フットプリント全体を一度に評価および管理できます。

• 可視性の向上： クラウド環境に関するより深い洞察を提供し、不確実性を減らし、セキュリティの脆弱性や非準拠の規制上の問題を浮き彫りにします。

• 高度な脅威検知： 開発からデプロイまでのプロダクションパイプラインにおける潜在的な欠陥、脆弱性、設定ミスを検出します。

• 自動化：さまざまな種類のセキュリティ スキャンと脅威への対応を自動化し、該当する場合は内部セキュリティ標準を幅広く適用します。

• シフトレフト・セキュリティー： シフトレフト・セキュリティー・アプローチを推進し、開発パイプラインのできるだけ早い段階で厳格なセキュリティー・テストと管理を追加します。クラウド・システム内の脆弱性を軽減する最善の方法は、発生前にその脆弱性を発見して防止することです。

• セキュリティーの合理化： セキュリティーオペレーションを簡素化することで、セキュリティーチームの負担を軽減し、個々のセキュリティーソリューションの管理に必要な間接費を削減します。