目次
Cloud Security

クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)とは?

目次

クラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)は、異種のセキュリティ機能を単一のユーザー インターフェイスに統合して一元化します。CNAPP(Gartnerによって指定されたカテゴリで、パロアルトネットワークスではクラウド ネイティブ セキュリティ プラットフォーム(CNSP)と呼ばれている)は、クラウド セキュリティ体制管理(CSPM)、クラウド ワークロード保護プラットフォーム(CWPP)、クラウド インフラストラクチャ権限管理(CIEM)、およびCI/CDセキュリティの機能を、統合されたエンドツーエンドのソリューションに組み込み、アプリケーションのライフサイクル全体でクラウド ネイティブ アプリケーションを保護します。

このアプローチでは、複数のサイロにわたり可視性が確保され、セキュリティ、クラウド インフラストラクチャ、およびDevOpsの各チームは、フルスタックのセキュリティを実現できます。CNAPPでは、単一プラットフォームにより、実行時にアプリケーションを保護できるだけでなく、セキュリティを開発ワークフローに統合して、アプリケーションのライフサイクルの早い段階で欠陥を特定して修正することもできます。

 

コードからクラウドまでの保護: CNAPPのようなプラットフォームが必要な理由

問題となる場合が多いのは、クラウド ネイティブ セキュリティに対するレスポンスが事前ではなく事後に行われる点、つまり、クラウド セキュリティ全体ではなく、単発の問題として扱われている点です。問題が生じるたびに個別のソリューションやツールを使用し、パッチワークのように対応するため、以下の問題がさらに発生します。

  • 個々のソリューションにより作業が増加します。増え続けるツールを管理することで、最終的に管理自体がワークストリームとなります。また、追加の作業を行わなければ、ほとんどのソリューションが連携しないため、チームの可視性と対策が制限されます。

  • 一貫した対策を適用できません。セキュリティ ツールの多くは、アプリケーションのライフサイクルの各ポイントでチェックできますが、開発、導入、ランタイムにわたって一貫した制御が行われない場合、セキュリティ チームとリスク チームは、多様な脆弱性や設定ミスを比較する作業から抜け出せなくなります。

  • 分離により盲点が生じます。ほとんどのクラウド セキュリティ チームは、クラウド サービス、ワークロードとアプリケーション、ネットワーク、データ、および権限にわたり、脅威を分析できる能力が求められます。単一のツールがなければ、ソリューション間のギャップに盲点が生じます

以上のことから、CNAPPには明らかに多くのメリットがあります。

 

分散した問題には統合されたソリューションが必要

包括的で統合されたセキュリティ プラットフォームを推奨するのは、クラウド セキュリティの場合、複数のチームが機能分野の枠を越えて、細かく重複する責務を複雑に組み合わせて進める必要があるためです。

インフラストラクチャ

チームは、責任共有モデルにおける自身の責任の範囲を理解する必要があります。データによると、CSPが提供する対策とアラートを過大評価する傾向があることがわかっています。さらに、CSPMではネットワーキング、ストレージ、コンピュート インスタンスのニーズが重複しますが、こうした環境では、CIEM由来のアクセスと権限の制御も必要になります。

ワークロードとアプリケーション

同様に、該当のインフラストラクチャのワークロードとアプリケーションには、脆弱性管理、コンプライアンス モニタリング、ポリシーの適用、ランタイム保護が必要です。これらは従来、セキュリティ チームやDevOpsチームによる対策が想定される領域です。ただし、こうしたツールはCI/CDパイプラインからのデータと統合し、WebアプリケーションやAPIのランタイムに拡張する必要があります。

ネットワーク

アプリケーションには、信頼性が高く安全に接続するネットワークが必要です。ネットワーク通信を保護するには、他のワークロードにアクセスするワークロードの最小権限アクセスとインラインの脅威防御が必要です。

アイデンティティと権限

すべての分野で基本となるのが、クラウド インフラストラクチャとサービスに対する権限です。この権限で分散アクセスの必要性とリスク管理のバランスを取り、過剰な権限や古い権限で他の作業が無駄にならないようにします。

 

コーディングと開発

開発者とDevOpsチームは高品質のコードを作成する責任があります。高品質のコードとは、ほとんどの場合、安全なコードを指しますが、DevOpsで安全なコードを作成する場合に必要な見識を得られるかはセキュリティ チーム次第です。セキュリティのガードレールをできるだけ早期に導入するには、アプリケーションのライフサイクル全体で適用可能なツールが必要です。

各チームは、対策が一貫して実施されるように緊密に連携する必要があります。CNAPPは、各チームを隔てているサイロを取り払うことができる統合ツールです。

 

現状に至った経緯は?

クラウド ネイティブ アプリケーション開発は、前提事項をある程度事実として捉えることができるまで成熟しています。クラウド環境は本来多様であり、共通点がなく、分散していることが早くから認識されていました。専門家はこの動的で複雑な環境の管理に加え、一貫性と均一性が求められるようになりました。こうした環境でのリスク管理は、特定の要件に適した大量のポイント製品を調整する場合、さらに難しくなります。

クラウド ネイティブ アプリケーションとインフラストラクチャにセキュリティ対策を施すには、迅速な対応と一体化が求められます。開発の初期段階から先を見越して脅威に対処し、開発ライフサイクル全体を通じてランタイム環境に至るまで、セキュリティ対策を継続して実施できるようにする必要があります。迅速に対処するには、アプリケーション開発ライフサイクル全体を対象に重要なセキュリティ情報を適切なタイミングで提供できる、クラウド ネイティブ環境に特化した新しいツールが必要です。

弊社では、Prisma CloudがGartnerのCNAPPカテゴリに対応していると強く確信しています。無料レポートをダウンロードして、推奨事項の全項目をご確認ください。

動画: Prisma Cloudでクラウド ネイティブ環境を保護

 

クラウド ネイティブ アプリケーション保護プラットフォームのFAQ

マイクロサービス セキュリティでは、アプリケーションを構成する個々の疎結合サービスにセキュリティ対策を実施します。各マイクロサービスでは、サービス間通信を保護して不正アクセスを防止するために、独自の認証、認可、暗号化メカニズムが必要です。セキュリティ チームでは、サービス メッシュとポリシーを適用してトラフィックを管理し、すべてのマイクロサービスに一貫したセキュリティ対策を実施することで、コンテナ化環境でのアタックサーフェスを緩和します。
クラウド セキュリティ体制管理(CSPM)は、クラウド インフラストラクチャ全体のリスクの特定と修復を自動化します。CSPMツールは、設定ミスを継続的にスキャンし、セキュリティ ポリシーを適用して、業界標準のコンプライアンスを確保します。クラウド資産とその設定を可視化することで、動的なクラウド環境で強固なセキュリティ体制を維持できます。
クラウドネイティブ アプリケーション保護プラットフォーム(CNAPP)は、クラウドネイティブ アプリケーションに包括的なセキュリティ対策を実施する統合スイートです。CNAPPは、CSPM、CWPP、アプリケーション セキュリティなどの機能を組み合わせて、ソフトウェアのライフサイクル全体でクラウド環境を保護します。コードからランタイムまでのリスクに対処し、脅威検出、脆弱性管理、コンプライアンス モニタリングを行います。
クラウド アクセス セキュリティブローカー(CASB)は、ユーザーとクラウド サービス プロバイダを仲介し、セキュリティ ポリシーを適用します。CASBは、複数のクラウド サービスでのクラウド アプリケーションの使用状況、データ保護、脅威防御、コンプライアンスを可視化します。可視化することで、オンプレミスのインフラストラクチャからクラウドに至るまでセキュリティの制御を拡張できます。
クラウド ワークロード保護プラットフォーム(CWPP)は、パブリック、プライベート、ハイブリッドの各クラウド環境の仮想マシン、コンテナ、サーバレス機能でワークロードを保護します。CWPPソリューションでは、ランタイム保護、システム整合性モニタリング、ネットワーク制御、脆弱性管理を行い、ワークロードを脅威から守り、コンプライアンスを確保します。
DSPM(データ セキュリティ体制管理)のツールや手法は、クラウド環境でデータに対するリスクを特定して緩和するように設計されています。データ ストアの検出、機密データの分類、データ保護ポリシーの評価と適用を自動化します。DSPMソリューションは、データ アクセス パターンを可視化し、異常を検出して、データ保護規制のコンプライアンスを確保します。
AI-SPM(人工知能によるセキュリティ体制管理)は、機械学習アルゴリズムを活用して、セキュリティ リスクの特定と修復を強化します。AI-SPMツールは膨大なデータセットを分析することで、異常な動作を検出して、隠れた脅威を発見し、潜在的な脆弱性を予測します。これらのツールは時間をかけて適応し、パターンから学習してセキュリティ対策やレスポンス戦略を改善します。
アプリケーション保護には、アプリケーションのライフサイクルのどの段階でも脅威からアプリケーションを守るように設計されたセキュリティ対策があります。例えば、開発時のアプリケーション用ファイアウォールの組み込み、データの暗号化、定期的なセキュリティ評価の実施、脆弱性への対処などがあります。保護戦略により、アプリケーションの整合性と、アプリケーションが処理するデータの機密性が確保されます。
継続的な監視では、ITシステムの完全性とセキュリティを確保するために、セキュリティ管理、脆弱性、脅威インテリジェンスを継続的に精査します。セキュリティ インシデントに関するアラートをリアルタイムで提供する自動化ツールなどがあり、潜在的な脅威に対するレスポンスが高速に行われます。動的なクラウド環境で状況認識を維持してセキュリティ体制を管理するには、継続的な監視が不可欠です。
脅威インテリジェンスでは、新たに出現した脅威アクターや既存の脅威アクターに関する情報を収集して分析し、セキュリティの意思決定に役立つ情報を提供します。各種ソースのデータを活用することで、潜在的なセキュリティ脅威が業務に影響を与える前に、脅威の予測、特定、緩和が可能です。
ランタイム保護は、実行時のアプリケーションを保護し、リアルタイムで攻撃を能動的に監視して緩和します。動作分析、メモリ保護、プロセス モニタリングなどの手段を使用し、悪意のあるアクティビティを検出してブロックするため、アプリケーションが動作中に侵害されないようにします。
コンプライアンスの自動化では、テクノロジを使用して、規制やポリシー要件の実施を簡素化します。自動化ツールは、コンプライアンス ベンチマークに照らし合わせてシステムを評価し、逸脱を報告します。また、問題を修復してコンプライアンスを維持します。手作業やミスを減らし、強固なガバナンス フレームワークに対応します。
脆弱性管理は、サイバー セキュリティのリスクを管理する予防的なアプローチです。ソフトウェアの脆弱性の特定、分類、優先順位付け、修復などが行われます。継続的な改善に重点を置く脆弱性管理ツールは、環境をスキャンして弱点を検出し、パッチなどの修復措置を使用して潜在的な脅威を緩和します。
サーバレス機能のセキュリティは、開発者が個々の機能を導入するサーバレス コンピューティング アーキテクチャの保護に重点を置いており、基盤となるサーバの管理は必要ありません。セキュリティ対策には、機能レベルの権限制御、イベント主導のセキュリティ モニタリング、脅威に対する実行環境の保護などがあります。インフラストラクチャはクラウド プロバイダで管理されます。セキュリティ戦略は、主にコードの脆弱性を対象に実施されるため、データが安全に処理されて送信されます。
APIセキュリティは、アプリケーションの機能を公開するインターフェイスを悪用や攻撃から守ります。安全なAPIでデータ交換を保護するには、強固な認証、アクセス制御、暗号化、アクティビティのモニタリングが必要です。戦略として、認証にOAuthを使用し、不正使用の防止にレート制限を実施します。また、APIゲートウェイを使用してトラフィックのフィルタリングと脅威検出を行い、脅威に対してAPIを回復力のある状態に保ちます。

関連コンテンツ

最新ニュース、イベント情報、脅威アラートを配信