2021 年に Gartner がクラウドネイティブ アプリケーション保護プラットフォームを創設して以来、この分野は堅調に成長してきました。
Zion の市場調査レポートによると、2030 年までに、市場規模は 59 億ドル (2021 年) から 231 億ドルに成長すると予想されています。これは、企業が開発から実稼働に至るまでクラウドネイティブ アプリケーションの安全性と保護に懸念を抱いていることを意味します。
クラウド環境がどれほど高度に自動化または動的であっても、CNAPP はセキュリティ セットとコンプライアンス機能を統合し、サイバー攻撃のない安全な設計に統合します。
企業は DevOps と DevSecOps を採用していますが、CI/CD アプリケーションのライフサイクルを通じて複雑さを軽減するソフトウェアは、開発を安全にし、可視性を強化し、リスクを定量化する必要があります。多くの組織にとって、これは事後対応型状態からプロアクティブ型状態へのはしごを 1 段階上げることになります。
クラウド テクノロジーは多くのビジネスにおいて重要な役割を果たしており、アプリケーションのワークロードにおけるデータ フローに革命をもたらします。その結果、動的インフラストラクチャと互換性のあるセキュリティ ソリューションを使用して、脅威の状況 (進化に応じて) に対処する新しいアプローチが必要になります。そこで CNAPP が登場します。
クラウド ネイティブ アプリケーション保護プラットフォーム、その概要、その利点、そしてなぜそれがあなたの会社にとって良い投資であると考える必要があるのかについて詳しく掘り下げていきます。それでは、始めましょう。
CNAPPとは何ですか?
CNAPP は、セキュリティとコンプライアンスの側面を取り囲むプラットフォームと、クラウド セキュリティの脅威を防止、検出、および対処する方法について説明します。簡単に言えば、従来は 1 つのユーザー インターフェイスにまとめられていた多くのクラウド セキュリティ ソリューションを統合し、企業がクラウド アプリケーションのフットプリント全体を保護する方法を容易にします。 CNAPP が存在する理由を理解するために、この用語をクラウドネイティブとアプリケーション保護に分解してみましょう。
クラウド テクノロジーへの移行により、新たな合理化されたビジネス時代が始まります。しかし、動的な環境の台頭により、予測できないインタラクションも同様に増加しています。従来ベースのセキュリティ アプローチでは、コンテナ化された環境やサーバーレス環境などの新しいテクノロジーに追いつくことができません。
アプリケーションのセキュリティに関して言えば、クラウド セキュリティ ツールは、IT チームがインフラストラクチャの安全レベルを理解できるようにすることに重点を置いています。しかし、それだけで十分でしょうか?明らかに違います。まず、クラウドでは、許可権限の過剰な付与からインターネットへの公開に至るまで、アプリケーションをリスクにさらす方法は数多くあります。
第 2 に、個々のソリューションは狭いセキュリティ問題に焦点を当てており、クラウド ソリューションと統合して信号をシームレスに関連付けることができない可能性があります。この場合、多くの企業が懸念の低いアラートを優先していることが障害となります。
なぜ CNAPP が必要なのでしょうか?
Gartner は、同社のイノベーションであるクラウドネイティブ アプリケーション保護プラットフォームに関する洞察をレポートで発表しました。しかし、CNAPP は単なる誇大広告のセキュリティ ツールではありません。このようなソフトウェアは、複数の独立したツールを、最新のエンタープライズ クラウド ワークロード向けに設計された単一の総合的なセキュリティ構造に置き換えることを目的としています。ツールとセキュリティを統合する必要性を先頭に、CNAPP はコンプライアンスとセキュリティを連続体のように扱います。これは、DevOps と「シフトレフト」セキュリティの論理的進化です。
複数の独立したソリューションは CNAPP と同じ目的を果たすことができますが、可視性のギャップや統合の複雑さに直面することがよくあります。その結果、DevOps チームの作業量が増加し、組織のワークロード全体の可観測性が低下します。
CNAPP を使用すると、次のような利点があります。
- クラウド ネイティブ セキュリティ– 従来のセキュリティ アプローチは、明確に定義されたネットワーク パラメーターに適合しており、クラウド ネイティブ アプリケーションには最適には機能しません。 CNAPP は、ワークロードがオンプレミス、プライベート、パブリック クラウドのいずれであっても、CI/CD パイプライン保護を統合することにより、コンテナーとサーバーレス セキュリティを取り囲むように構築されています。
- 可視性の向上– 前述したように、多くのセキュリティ スキャンおよび可観測性ツールが存在します。 CNAPP は、クラウド インフラストラクチャ全体にわたってエンドツーエンドの可視性を提供しながら、情報をコンテキスト化できるため、際立っています。良い使用例は、クラウド システムを詳細なレベルまたは ID で表示し、技術スタックに関する洞察を収集する必要がある場合です。 CNAPP は、企業内で最も差し迫ったリスクを優先します。
- しっかりとした制御– シークレット、クラウド ワークフロー、Kubernetes クラスター、またはコンテナーの構成を誤ると、エンタープライズ アプリケーションにリスクが生じます。 CNAPP を利用すると、セキュリティとコンプライアンスの構成をアクティブにスキャン、検出し、迅速に修正措置を講じることができます。
さらに、CNAPP はセキュリティ タスクを自動化して人的エラーを排除し、信頼性を向上させます。 DevOps の効率と生産性も向上しました。 1 つは、構成ミスの自動識別です。次に、複雑な複数のセキュリティ ツールを維持する必要がありません。
CNAPP の主要コンポーネント
市場にはそれぞれ独自の際立った機能を持つ CNAPP が溢れていますが、クラウド インフラストラクチャとアプリケーションに堅牢な保護を提供するために、すべての CNAPP にまたがるいくつかのコア機能があります。どのソリューションを選択する場合でも、次の機能を統合する必要があります。
クラウドセキュリティ体制管理 (CSPM)
CSPM は視覚化とセキュリティ評価に関するものです。これは、クラウド リソースを構成し、それらを継続的に監視するためのゲートウェイです。クラウド環境とハイブリッド環境が構成ルールに一致していることを証明することで、構成ミスのあるインスタンスを特定し、セキュリティ チームに警告します。システムは、組み込みのカスタム標準とフレームワークを通じて準拠し、非準拠の側面を修正します。
CSPM は、セキュリティ リスクの分析に加えて、脅威が成功した場合のインシデント対応にも適しています。さらに、CSPM は、サービスとしてのインフラストラクチャ (IaaS)、サービスとしてのソフトウェア (SaaS)、およびサービスとしてのプラットフォーム (PaaS) アーキテクチャ全体でインベントリ資産を分類するのに役立ちます。
これにより、データ侵害につながる可能性のあるセキュリティ上の脅威の検出と修復が自動化されます。手短に言えば、CSPM は、構成ミスが開発モードを超えて運用環境に移行しないことを承認しています。
クラウド ワークロード保護プラットフォーム (CWPP)
CWPP は、プライベート、パブリック、ハイブリッド クラウド全体に展開されたワークロードを保護します。 CWPP を通じて、DevOps チームはシフトレフトのセキュリティ アプローチを使用できます。その結果、チームはセキュリティ ソリューションとベスト プラクティスを早期に、アプリケーション開発ライフ サイクル全体を通じて継続的に統合します。
このドメインのソリューションは、エージェントに依存せずに、仮想マシン (VM)、コンテナー、Kubernetes、データベース (SQL および NoSQL)、アプリケーション プログラム インターフェイス (API)、およびサーバーレス インフラストラクチャにわたるリスクを表示し、軽減するのに役立ちます。
さらに、CWPP はワークロードをスキャンし、セキュリティを検出し、脆弱性に対処する方法を示します。このようにして、チームはランタイム機能全体での迅速な調査、ネットワークのセグメンテーション、ワークフロー (CI/CD パイプライン内) 上のマルウェアの検出、エージェントレスの可視性によるデータの充実を実現できます。
クラウド インフラストラクチャ エンタイトルメント管理 (CIEM)
CIEM は、クラウド環境でのアクセス許可を管理し、アクセスと資格を最適化します。ここでの理想的な目標は、アクセス許可の悪意のある、または偶発的な悪用を防ぐことです。
最小特権の原則を採用し、インフラストラクチャ構成をスキャンすることにより、CIEM はリソースへの不必要なアクセスをチェックし、レポートします。システムは権限の原則を分析し、クラウド資産を侵害する資格情報と秘密キーの潜在的な漏洩を検出します。
CIEM の良い使用例は、意図した権限が読み取り専用であるにもかかわらず、リソース アクションへのすべてのアクセス権を持つユーザーを識別する必要がある場合です。実際に使用するには、ジャストインタイム アクセスを操作して、使用後に一時的な権限を取り消す必要がある場合を考えてみましょう。 ID 権限とユーザー アクティビティを継続的に監視することで、パブリック クラウド ワークフローにおける潜在的なデータ侵害のリスクを軽減できるのです。
データセキュリティ体制管理 (DSPM)
DSPM はクラウド環境内の機密データを保護します。データ ボリューム、バケット、オペレーティング システム環境、非オペレーティング システム環境、ホストされ管理されているデータベースのいずれを使用している場合でも、機密データを探し、そのディレクトリを可視化します。
DSPM は、機密データとその基盤となるクラウド アーキテクチャと対話することで、誰がアクセスできるか、どのように使用されるか、およびそのリスク要因を監視します。これには、データ セキュリティ状態の評価、システムの脆弱性の特定、リスクに対抗するためのセキュリティ制御の開始、全体的な態勢を更新して効果的であることを確認するための定期的な監視が含まれます。
DSPM をクラウド ソリューションに統合すると、潜在的な攻撃パスが明らかになり、侵害の防止を優先できるようになります。
クラウドの検出と対応 (CDR)
CNAPP のクラウド検出と対応 (CDR) は、クラウド環境を継続的に監視することで、高度な脅威を検出し、調査し、インシデント対応を提供します。クラウド ワークロード保護プラットフォームやクラウド セキュリティ体制管理ツールなどの他の技術を活用することで、クラウド資産、構成、アクティビティの概要を取得します。
クラウド ログ、ネットワーク トラフィック、ユーザーの行動を監視および分析し、侵害の兆候 (IoC)、不審なアクティビティ、および異常を示して侵害を特定します。
データ侵害や攻撃が発生した場合、CDR は自動化された、または段階的なアプローチを通じて迅速なインシデント対応を開始し、インシデントに対応します。セキュリティ脅威の封じ込め、修復、調査を推進することで、企業はリスクを最小限に抑えることができます。
CNAPP に統合されると、CDR には脆弱性管理、プロアクティブなクラウド セキュリティ制御、ベスト コーディング プラクティス、継続的な監視、および対応機能が含まれます。これにより、開発モードから本番環境に至るライフサイクル全体にわたってクラウド アプリケーションが確実に保護され、強固なセキュリティ体制が維持されます。
クラウド サービス ネットワーク セキュリティ (CSNS)
CSNS ソリューションは、クラウド インフラストラクチャのリアルタイム保護を提供することで CWPP を強化します。 CNAPP の一部として正確には特定されていませんが、クラウド ネイティブ ワークロードの動的パラメーターを対象としています。
きめ細かいセグメンテーションを実施することにより、CSNS には、ロード バランサー、次世代ファイアウォール (NGFW)、DDOS 保護、Web アプリケーションと API 保護 (WAAP)、SSL/TLS 検査などの多くのツールが含まれます。
ボーナス: マルチパイプライン DevOps セキュリティとコードとしてのインフラストラクチャ スキャン
クラウドネイティブ アプリケーション エコシステムは、Kubernetes、Docker ファイル、CloudFormation のテンプレート、Terraform プランなど、アプリケーションの実行に必要なものすべてを自動化します。これらのリソースは連携してアプリケーションの実行を維持するため、保護する必要があります。
DevOps セキュリティ管理により、開発者と情報技術チームは中央コンソールから CI/CD パイプライン全体のセキュリティ操作を処理できるようになります。これにより、構成ミスを最小限に抑え、本番環境に出荷される新しいコード ベースをスキャンすることで拠点を提供します。
DevOps にコードとしてのインフラストラクチャ (IaC) が実装されている場合、実際のコードと構成ファイルを使用してクラウド アーキテクチャを構築できます。 IaC スキャンの目的は、クラウド ワークフロー内のセキュリティ上の欠陥が本番環境に導入される前に検出することです。
コード レビューと同様に動作し、CI/CD パイプライン フェーズでプログラムをスキャンし、新しいコード ベースのセキュリティを検証することで、一貫したコード品質を保証します。 IaC スキャンを使用すると、構成ファイル (Terraform HCL ファイルなど) に脆弱性がないことを確認できます。
さらに、このツールを使用すると、影響を受けやすいネットワーク露出のコンプライアンス違反を検出し、リソース アクセサリを管理する際の最小特権の原則を承認できます。
CNAPP はどのように機能しますか?
CNAPP は 4 つの主要な役割で動作します。概要は次のとおりです。
#1.クラウド環境の完全な可視化
CNAPP は、Azure、AWS、Google Cloud、またはその他のソリューション上のクラウド ワークロード全体の可視性を提供します。リソースのコンテキストでは、CNAPP は、コンテナー、データベース、仮想マシン、サーバーレス機能、マネージド サービス、その他のクラウド サービスを含むすべての環境全体を監視します。
リスク要因を評価する際、CNAPP はマルウェア、アイデンティティ、脆弱性に関する一貫した可視性を利用して、明確なセキュリティ状態を提供します。最後に、CNAPP はリソース、ワークロード、クラウド サービス プロバイダーの API をスキャンすることで死角を取り除き、メンテナンスと構成をスムーズに行います。
#2.統合された独立したセキュリティ ソリューション
CNAPP は、1 つのプラットフォームを使用してプロセスを統合し、すべての環境にわたる一貫した制御を提供します。これは、結合された独立したモジュールを使用するのとは異なり、すべてが完全に統合されていることを意味します。すべての主要な CNAPP コンポーネント (前のセクションで説明したもの) は、リスク評価エンジンに統合されています。
防御戦略については、包括的な CNAPP が防止対策、監視サービス、検出ソリューションをカバーし、セキュリティ全体に対する効率的なアプローチを提供します。
さらに、CNAPP ソリューションには、統合されたバックエンドで実行される単一のフロントエンド コンソールがあるため、複数のコンソール間で切り替える必要がありません。
#3.状況に応じたリスクの優先順位付け
CNAPP は、アーキテクチャ内の脅威を特定すると、その脅威に関するコンテキストを提供します。これは、攻撃経路を見つけて、リスクに関連する重要性を過小評価することを意味します。
CNAPP では、セキュリティ グラフを使用して、クラウド環境内の要素間の関係を理解できます。 CNAPP は、脅威の重大度を評価する際にリスクに優先順位を付け、気を散らすことに時間を浪費するのではなく、脅威の修復に集中できるようにします。
#4.開発チームとセキュリティ チームの橋渡し
CNAPP は、開発に統合された場合、ソフトウェア開発ライフサイクル全体を通じてセキュリティ チェックを提供します。開発者は CNAPP の洞察を使用して、外部監査による追加のガイダンスや支援を必要とせずに、コンテキストに基づいてセキュリティ ギャップに優先順位を付けて対処します。これにより、開発者は安全なデジタル製品をより迅速に出荷できるようになります。
未来は明るい
クラウド セキュリティの複雑さにもかかわらず、クラウド ネイティブ アプリケーション保護プラットフォームはそれを簡素化し、DevOps チームのワークフローを合理化する新しいアプローチでそれに取り組みます。開発チームは、動的なクラウド環境におけるセキュリティ リスクと潜在的な脅威を明らかにすることで、安全な製品を出荷できます。
この分野は成長と進化を続けており、信頼できるソリューションを探しているかもしれないので、注目されているすべてのセキュリティ コンポーネントを組み合わせた包括的なプラットフォームの使用を検討してください。
選択するサービスは、動的で拡張性が高く、Google Cloud、Amazon Web Services、Azure Cloud サービスなどの一般的なクラウド サービスのすべてのワークロードにわたるエンドツーエンドのセキュリティを提供する必要があります。
新しいテクノロジーが台頭し、さまざまな分野で進化するにつれて新たな脅威を特定する際には、業界をリードするグローバルな洞察に基づいて選択を行うようにしてください。
次に、クラウド セキュリティを向上させるための最適な CNAPP プラットフォームを確認してください。