クラウド・ワークロード・プロテクション・プラットフォーム（CWPP）とは何ですか

CWPPの利点には、データ侵害を防ぎ、ダウンタイムを最小限に抑え、ワークロードのライフサイクル全体にわたって規制コンプライアンスを保証する貴重なサイバーセキュリティー機能が含まれます。主な機能：

• リアルタイムの可視性： CWPPは、クラウド環境全体でアクティブなすべてのワークロードを個々のエンドポイント・アクセス制御まで監視し、バージョンやパッチ履歴を含む重要なオペレーティング・システムとアプリケーション情報を明らかにします。

• Advanced脅威検知：CWPPは、クラウド・プラットフォーム上の脆弱性を検知することで、組織の攻撃対象領域を減らすことができます。機械学習、シグネチャ・ベースの検知、ヒューリスティック・ベースの検知ツールにより、マルウェアやその他のセキュリティー脅威から防御します。

• 規制コンプライアンスの向上： CWPPは、金融機関や医療機関などの機密データを扱う組織が、複雑なクラウド・アプリケーション向けに設計された広範な自動化とセキュリティー制御を通じて、単純なファイアウォールを超えて規制コンプライアンスを維持できるように支援します。

CWPPはクラウド・セキュリティー体制管理（CSPM）において重要な役割を果たし、通常、より広範なクラウドネイティブ・アプリケーション保護プラットフォーム（CNAPP）に統合されます。

CWPPは、アプリケーション・セキュリティーを含む CNAPP ほど堅牢ではありませんが、ワークロードの整合性、機密性、可用性を維持することで、クラウド・ワークロードのセキュリティーを確保するのに役立ちます。CWPPソリューションは、次のようなさまざまなクラウド・インフラストラクチャー・アーキテクチャとワークロードにわたってワークロードを保護します。

• オンプレミス・データセンター：オンサイト・データセンターにある従来のベアメタル・リソース。

• クラウド環境：プライベートクラウド、パブリッククラウド、ハイブリッド、マルチクラウドのバリエーション。

• 仮想マシン：仮想マシン（VM）は、仮想化によって物理コンピュータ・システムをエミュレートできるシミュレートされたサーバーであり、単一の物理マシン上で複数の種類のオペレーティング・システムを実行するのに役立ちます。

• コンテナ：コンテナと呼ばれるシステム・レベルの仮想パッケージは、さまざまなクラウド環境間でアプリケーションを一貫して分離および展開するために使用されます。

• サーバーレス：アップデートやパッチなどのクラウド・ベースのサーバーレス機能は、基盤となるインフラストラクチャー・コードを管理する必要なくデプロイできます。

単一のプラットフォームに統合されたCWPPは、脆弱性管理、侵入防止、ランタイム保護、コンプライアンス監視など、さまざまなセキュリティー・ツールを通じて総合的なサイバーセキュリティーを提供します。これによりセキュリティー・チームは、迅速なインシデント対応と修復が可能になります。

効果的なCWPPは、クラウド・コンピューティングのあらゆるDevOpsおよびDevSecOpsセキュリティー・ストラテジーにおいて、重要なコンポーネントです。クラウド・プラットフォームやクラウド・アプリケーションを使用するあらゆる業種・業務で一般的なCWPPは、セキュリティー・リスクやセキュリティー上の脅威を軽減し、セキュリティー問題を防止するために欠かせません。

クラウド・コンピューティングのあらゆる機能を支えるワークロードとは、クラウド・ベースのリソースを消費するあらゆるサービス、アプリケーション、機能のことです。簡単に言うと、ワークロードとは、クラウド・サービスにアクセスするために必要な参考情報、プロセス、およびタスクの組み合わせのことです。

クラウド・ワークロードには、コンピューティング・リソース、データ・ストレージ、ネットワーク機能、アプリケーション、およびリクエストを完了するために使用される任意の数の処理タスクが含まれる場合があります。仮想マシン、データベース、アプリケーション、マイクロサービス、ノードなどはすべてワークロードと見なされ、すべてがセキュリティーの脅威に対して脆弱です。

Orca Security 2022 State of Cloud Security Report¹によると、クラウド・サービスを使用しているほとんどの組織はセキュリティー・イベントの高リスクにさらされており、81％が安全で保護されていない公開資産を維持しています。調査対象となった全組織のうち、全保管資産の11％が、以下のようないくつかのセキュリティー脅威に対して脆弱であることが判明しました。

• データ侵入：データ侵害は、権限のないユーザーが保護されたファイルにアクセスし、機密情報を破損、盗難、または漏洩する脅威がある場合に発生します。IBMのデータ侵害のコストに関する調査によると、パブリッククラウドに保存されたデータ・ストアの漏洩データの平均の漏洩コストは468万米ドルで、2番目に高いことがわかりました。

• コンプライアンス違反：健康記録やクレジット・カード番号などの顧客データをクラウドに保存している組織は、厳格なサイバーセキュリティー規制の対象となります。IBM^® X-Force Threat Intelligence Index 2025によると、データ盗難はすべてのセキュリティー・インシデントの18％を占めています。企業がユーザー・データを保護できなかった場合、顧客の信頼が失われることは言うまでもありません。

• 停止とダウンタイム：クラウドの脆弱性は、組織や公共インフラストラクチャーを機能不全に陥れる可能性のある壊滅的な攻撃を引き起こす危険な経路です。一例がコロニアル・パイプラインへの攻撃です。この攻撃により米国東海岸全域で公共・民間を問わず重要な燃料供給が停止し、データ損失で500万米ドル、規制違反罰金で100万米ドル近い損害が発生しました。しかし、たとえ小規模なセキュリティー・インシデントであっても、収益に大きな影響を与える可能性があります。データ侵害のコストに関する調査によると、侵害を受けた組織は平均で138万米ドルの損失を被っています。

ソフトウェア・アズ・ア・サービス（SaaS）アプリやプラットフォーム・アズ・ア・サービス（PaaS）サービスが急増するにつれて、クラウド・ベースのサービスが劇的に拡大し続けるにつれ、クラウド・プラットフォームの保護はますます重要かつ複雑になっています。

クラウド・リソースがハイブリッドおよびマルチクラウド・プラットフォームに広がるにつれて、新しいタイプの環境はそれぞれ固有の課題とパラメーターをもたらします。CWPPは、サイバー脅威から組織を保護し、機能停止を軽減し、ますます複雑化するクラウド環境で規制コンプライアンスを確保します。

CWPPは、さまざまな方法とツールを使用して、クラウド環境内のワークロードを自動的に検知および分析し、ネットワークの監視、潜在的な問題の検知、カスタマイズ可能なセキュリティー標準の適用を行います。

多くの開発オペレーション・チームは、クラウド・サービス更新が利用可能になるとすぐに開始し、さまざまな主要な機能を継続的に反復することで、継続的統合と継続的デプロイメント（CI/CD）手法を採用しています。CWPPは、新しいデプロイメントを追跡し、新しい主要な機能や更新がリリースされたときに標準化されたセキュリティー・プロトコルを適用および維持することで、さらなる価値を提供します。

CWPPの主要な機能はベンダーによって異なる場合があります。ただし、Gartner社からCloudstrike、Amazon Web Service（AWS）やAzure Kubernetes Service（AKS）などの主要プロバイダーまで、さまざまなセキュリティー専門家は、次の一般的な保護機能と主要な機能を推奨しています。

• ネットワークの可視性とワークロードの検出：CWPPは、許可されたユーザーにダッシュボードを提供し、ネットワーク全体から個々のセグメントやユーザーまでのアクティビティーを監視します。管理者は、事前定義されたセキュリティー・ポリシーおよびベスト・プラクティスに基づいて、特定のアプリケーション、参考情報、アクティビティーをホワイトリストまたはブラックリストに登録するなど、システム・レベルのコントロールを提供できます。

• 脆弱性スキャン：アセスメントでは、デプロイメント前にワークロードの潜在的な弱点や設定ミスを自動的にスキャンし、容易に拡張性を実現できるようにします。セキュリティー対策には、ファイアウォール、マルウェア検知、マイクロセグメンテーション（プラットフォームをより小さなサブセクションに分割して、潜在的な攻撃を遅らせ、阻止する）などが含まれます。EDR（エンドポイントの検知と対応）とホスト・ベースの侵入防止シールドにより、クラウド・ワークロードを外部サーバー攻撃や侵入から保護します。CWPPは、組織の攻撃対象領域を縮小し、シフトレフトのセキュリティー体制とゼロトラスト手法を推進することで、すべての新規および既存のクラウド・ワークロードを強化します。

• 構成とコンプライアンスの監視：CWPPは継続的なネットワーク診断を提供し、クラウド・システム全体が意図したとおりに機能していることを確認し、攻撃につながる可能性のあるクラウドの誤った構成を軽減します。また、行動監視では、不正使用や不正アクセスを示す可能性のある不審なネットワーク・アクティビティーがスキャンされます。

追加のサービス、主要な機能、機能には次のものが含まれます。

• ランタイム保護

• コンテナとKubernetesのセキュリティー構成

• アプリケーション・セキュリティー

• CI/CDパイプラインの統合

• WebアプリケーションとAPIセキュリティー（WaaS）

• ウェブ・アプリケーション・ファイアウォール（WAF）

特定のCWPPソリューションは、組織の特定のワークフロー要件に適している（または悪い）場合があります。すべてのCWPP社は同様のセキュリティー対策を提供しますが、保護の提供方法は異なります。CWPPには、従来のエージェント・ベースとより最新のエージェントレス型の2つの主なタイプがあります。

従来のエージェント・ベースのCWPPでは、すべてのクラウド・ワークロードにソフトウェア・エージェントをインストールする必要があります。エージェント・ベースのCWPPのメリットは次のとおりです。

• ワークロード、ネットワーク・トラフィック、システム構成を詳細に可視化することで、広範なセキュリティー監視を実現します。

• アクティブな脅威への対応時間を改善するリアルタイムの脅威検知。

• 個々のワークロードまたはカテゴリーのニーズに合わせて構成できるカスタマイズ可能なエージェント。

エージェント・ベースのCWPPには特定のメリットがありますが、デプロイに時間がかかり、大幅なオーバーヘッドが発生することで、個々のワークロードやプラットフォームの速度が低下することがよくあります。エージェント・ベースのCWPPはワークロード・レベルでセキュリティーを提供するため、部分的にデプロイされたエージェントはセキュリティー上の盲点を作り、潜在的にデプロイされたワークロードが非常に脆弱になります。

エージェントレスなCWPPはクラウド・サービス・プロバイダーのAPI内に統合されており、個々のワークロードを独自のエージェントでパッケージ化する必要がなくなります。この方法では、きめ細かな制御とリアルタイム監視が実現し、次のような貴重なメリットが得られます。

• デプロイメント速度が大幅に向上しました。

• 既存の資産と新規作成された資産を含む、すべてのクラウド資産の継続的なカバレッジ。

• 個々のエージェントに関連する参考情報の消費や潜在的な互換性エラーを排除することで、エージェントのデプロイメント、更新、管理のオーバーヘッドを削減し、ワークロードの効率を向上させます。