CNAPPとは?
CNAPPとは、Cloud Native Application Protection Platformの略称で、日本語では「クラウド ネイティブ アプリケーション保護プラットフォーム」と訳されます。シーナップと呼ばれることもあります。
CNAPPとはどのようなものか
CNAPPは、AWSやGCP、Azureのようなクラウドのインフラストラクチャーやクラウドネイティブなアプリケーションに関して、オールインワンでセキュリティソリューションを提供する総合的なセキュリティツールパッケージです。
CNAPPは、アメリカに本拠をおく「ガートナー社」が、2021年に提唱した概念です。クラウドの普及と、サイバーセキュリティの必要性が高まる近年のIT環境下では、クラウドネイティブなセキュリティ対策が必要であり、その効果的・効率的なセキュリティ対応のための概念としてCNAPPが提唱されました。
クラウドネイティブなアプリケーションとは
CNAPPが保護の対象とするのは、クラウドのインフラストラクチャーとクラウドネイティブアプリケーションです。
クラウドネイティブアプリケーションとは、最初からクラウドの環境上で動作する前提で開発されたアプリケーションのことを指します。boxなどのクラウドサービスやSalesforceをはじめとするクラウド型CRMなどがクラウドネイティブアプリケーションです。
CNAPPが注目される背景
CNAPPが注目される大きな理由は、クラウドサービスの普及と多様化にあります。クラウドサービスは、手軽に利用を開始でき、柔軟性が高く使い勝手の良い環境であることから、利用が一般化しています。また、クラウドサービスの利用が進むにつれて、企業の情報資産はクラウド側に集約されつつあります。その結果、クラウド側の情報価値が急上昇し、この領域を狙ったサイバー攻撃が増加しています。
そして、手軽に始められて自由度が高い反面、不慣れな担当者や知識不足の担当者がクラウドサービスを利用し、誤った設定によって思わぬ情報漏えいを招くケースも少なくありません。このような人為的な脆弱性もサイバー攻撃増加の一因となっています。
このような理由から、クラウドサービスに対するサイバー攻撃は増加傾向にあり、クラウドサービスのセキュリティ対策としてCNAPPが注目されています。
CNAPPの主な6つの機能とSSPM
既述の通り、CNAPPは、それ自体がひとつのセキュリティツールということではなく、さまざまなセキュリティ機能が複合的にパッケージ化されたプラットフォームです。以下に、代表的な機能6つと同時に議論に上がるSSPMについて解説します。
| 製品カテゴリ | 役割 | 個別機能名称 | |
|---|---|---|---|
| クラウド環境の保護 ≒CNAPP | クラウド基盤の保護 | 設定の保護 | CSPM |
| 権限の保護 | CIEM | ||
| 実装アプリの保護 | ワークロード保護 | CWPP | |
| データ保護 | DSPM | ||
| コンテナ保護 | KSPM | ||
| リリース管理 | IaC | ||
| SaaS保護 | SSPM | ||
1.CSPM(設定の保護)
CSPMとは、Cloud Security Posture Management(クラウド セキュリティ ポスチャー マネジメント)の略称です。クラウドセキュリティ体制管理などと訳されます。この機能では、クラウド基盤の利用に関連した設定の問題や、不適切な設定状態などをチェックすることで、設定の保護を実現します。
2.CIEM(権限の保護)
CIEMとは、Cloud Infrastructure Entitlement Management(クラウド インフラストラクチャー エンタイトルメント マネジメント)の略称です。クラウド基盤権限管理などと訳されます。この機能は、アカウント設定とリソース権限の割り当てを管理する役割を担っています。たとえば、過剰な権限が付与され、長期間使用されずに放置されたアカウントを監視し、それらの権限を保護します。
3.CWPP(ワークロード保護)
CWPPとは、Cloud Workload Protection Platform(クラウド ワークロード プロテクション プラットフォーム)の略称です。クラウドワークロード保護プラットフォームなどと訳されます。これは、クラウド基盤上のサーバーや仮想マシン、あるいはアプリケーションなど(クラウドワークロード)対しての保護を目的としたセキュリティ機能です。
4.DSPM(データ保護)
DSPMとは、Data Security Posture Management(データ セキュリティ ポスチャー マネジメント)の略称です。データセキュリティ態勢管理などと訳されます。
DPSMの前提は、「価値ある重要なデータ」を高リスクとして重み付けし、高リスクのデータほど対策の優先度(緊急度)を上げてユーザーに通知する機能を持ちます。これにより、ユーザーはすべてに完璧な対策を強いられるのではなく、優先順位を決めて効率的に対策を立案・実施することができます。
5.KSPM(コンテナ保護)
KSPMとは、Kubernetes Security Posture Management(クバネティス セキュリティ ポスチャー マネジメント)の略称です。Kubernetes(クバネティス)のセキュリティ態勢管理などと訳されます。これは、Kubernetes環境(コンテナ技術により仮想化された環境)におけるセキュリティの態勢を管理・保護する機能です。CWPPの一部としてKSPMは位置づけられますが、コンテナ技術特有の保護プロセスが必要なため、KSPMとして別立てで定義されています。
6.IaC(リリース管理)
IaCとは、Infrastructure as Code(インフラストラクチャー アズ コード)の略称です。インフラストラクチャーの設定をコードで管理することをいいます。インフラストラクチャーの設定をコードで管理することにより、クラウド上のリソースやインフラストラクチャーのデプロイや設定作業を自動化できます。これにより、手動操作で起こしがちな不備を軽減し、運用効率を向上させます。
IaCは、DevSecOpsと、継続的インテグレーション(CI)/継続的デリバリー (CD) の実装において重要な役割を担っています。
7.SSPM(SaaS保護)
SSPMとは、SaaS Security Posture Management(サーズ セキュリティ ポスチャー マネジメント)の略称です。SaaSセキュリティ体制管理などと訳されます。これは、SaaSアプリケーションの設定の不備などにより発生するリスクのあるインシデントを防ぐためのセキュリティソリューションです。たとえば、クラウドストレージサービスにおいて利用者が意図しない共有や公開を行ってしまう可能性もあります。そのような操作を行わせないために、権限や公開を適切に保つ手助けをSSPMで実施します。
CNAPPとは位置づけが異なりますが、SaaSのみを利用していて、そのセキュリティ対策が必要だという場合には、CNAPPよりも、このSSPMによるSaaS保護に対応することが重要となります。
CNAPPのメリット・デメリット
CNAPPのメリット・デメリットについてを解説します。
CNAPPのメリット
CNAPPを導入することのメリットは、クラウド環境下でのセキュリティリスクを検知できるという点にあります。
設定のミスや漏れなど人為的なミスを検知したり、また、セキュリティ規定に準拠しているかの自動チェックを行ったりすることが可能です。さらにセキュリティリスクを分類することで、緊急度に応じて対処の優先度を提示することが可能です。それら対策を実施後、リスクの改善度合いをチェックすることも可能になります。
上記のように検知、処置、チェックを繰り返すことでクラウドセキュリティレベル向上のサイクルを回すことができます。また、検知したリスクに対し、あるべき設定に自動修正することで脆弱な状態から回復させる機能をもった製品もあります。
CNAPPのデメリット
CNAPP製品はクラウド環境を守る様々な機能が用意されているため、導入コストも運用コストも高額になる点が最大のデメリットです。環境によっては守るべき資産の総額を遥かに超える維持コストを払わねばなりません。
また、導入すれば安心という製品はなく、日々のセキュリティ対策・運用のツールとして活用頂く必要があり、導入する側にとっては一定の運用負担が課題となります。
そのため、CNAPPの導入にあたっては、何が守るべき資産で、インシデントによりこれらの資産がどの程度損害を被るのか事前に把握することが必要です。それらを把握した上で、CNAPP製品でどの様に保護していくのかを計画し、最適なCNAPPを選定する必要があります。
CNAPPを導入するためのポイント
いざCNAPPを導入しようということになった場合には、どの製品を選ぶべきかが重要ポイントになります。もちろん、そもそもCNAPPを導入すべきかどうかを判断することも重要です。以下に、いくつかのポイントをまとめます。
守りたい資産を見極めよう!CNAPPは本当に必要?
CNAPPは、CSPMやCIEM、CWPPといったいくつかのセキュリティツールを統合的に集約したパッケージです。つまり、CSPMやCIEMを個別に導入することも可能です。なぜこれらを集約したCNAPPを必要とするのでしょうか?
クラウドコンピューティングの環境によっては、「ユーザーアカウントのみを適切に保護すればよい」場合もあれば、「クラウドコンピューティングの設定のみを適切に保護すればよい」場合もあります。強化すべきセキュリティ対策が明確で、それ以外の部分に問題がなければ、CIEMやCSPMのような単機能のセキュリティ対策ツールだけを導入すれば十分な場合もあります。
しかし、クラウドサービスやクラウドネイティブなアプリケーションなどを多用しているような場合で、かつクラウド上の資産に万が一のインシデントが発生した場合の被害が甚大になるリスクがあるなら、総合的な対策となるCNAPPの導入を積極的に検討すべきだといえるでしょう。
また、CSPMやCIEMなど各ツールで収集・検知した情報を統合し、クラウド資産のリスクを総合的に判定することができるのもCNAPPの強みです。これにより単一製品では発見できないリスクを炙り出すことが可能です。
製品ごとの得意・不得意をチェックする
CNAPP製品にはさまざまなものがあります。それぞれCNAPP製品は、その成り立ちにより製品に特徴があります。たとえばCSPM製品からスタートし、CIEM、CWPP機能を実装してCNAPP製品へと成長した製品はベースのCSPM機能が非常に強いなどの特徴を持っています。このようにメーカによりCIEMに強い、CWPPが弱いなど機能にも得意・不得意が発生する場合があります。機能名称が同じだからといっても検出や対処の能力が同じというわけではありません。
そのため、CNAPPの導入にあたっては、必ずいくつかの製品を比べるなどして、自社に有用なCNAPP製品を見極める必要があります。
ある製造業では、クラウド基盤の設定の保護を目的にCSPM製品を導入していたにもかかわらず、設定の脆弱性を検知できずに情報漏洩が発生してしまったというケースがありました。このインシデントをきっかけに導入製品を見直したところ、別メーカのCSPM製品では、その脆弱性を検知できたとのことです。
このように、CSPMやCIEMなどの単一機能の製品だけで見ても、性能の違いは発生します。まして複合的なプラットフォームであるCNAPPの場合、個々の機能の優劣に加えて、プラットフォーム総体としての得意・不得意がある可能性もあります。導入前にその製品の強み・弱みを見極めるためにもメーカ提供の評価環境などを活用し、検知能力を確認することが大切です。
エージェントレス型・エージェント型に惑わされない
CNAPPには、大きく分けて、エージェントレス型とエージェント型の2種類があります。必要なエージェント(アプリケーション)を監視対象にインストールする必要があるエージェント型に対して、エージェントレス型の場合は、API連携などによって監視を実行できるので、エージェント(アプリケーション)をインストールする必要がありません。
ここ最近の傾向としては、エージェント型が増えつつあります。背景として、エージェントをインストールしていないと、ユーザー側の挙動について検知できない部分が発生してしまうため、網羅的な監視ができずエージェントレス型では検知精度が低く、エージェント型は検知精度が高くなるというのがエージェント型の製品をもつベンダーの主張です。
一方でエージェントレス型は、エージェント型に比べて初期導入や更新作業が簡便で、かつ監視対象のリソースに負荷がかからないといったメリットもあり、両陣営がしのぎを削っている状況です。
しかし、CNAPP製品を選ぶ上でより重要なのは、本来的な脆弱性などの検知能力です。エージェント型か、エージェントレス型かという議論の前に、フラットな目線で、本来の性能を確認・検討することが、失敗しないCNAPP選びには重要なポイントとなります。
CNAPP製品はさまざまなものがあり、導入する製品をどう選ぶべきか、そもそもCNAPPの導入が必要なのかどうか、判断に迷うことも多いかもしれません。もし、CNAPPに関してお迷いのことがあれば、まずは丸紅情報システムズにご相談ください。
