CNAPPとは？
～クラウドの設定ミスからあなたの組織を守る～

エンドユーザーとシステム管理者の双方がクラウドを安心して使える仕組みの1つとして、弊社ではCNAPP（ Cloud Native Application Protection Platform）というクラウドセキュリティーに注目しています。本記事では、多くの皆さまにセキュリティーへ関心を持っていただけるよう、エンジニアではない筆者の言葉でCNAPPについて解説します。セキュリティーは難しくて敬遠したいものではなく、働く皆さま一人一人を守る身近なものと思っていただけたら嬉しく思います。

CNAPPは、クラウドネイティブアプリケーション保護プラットフォーム（Cloud Native Application Protection Platform）の略です。 

そのCNAPPですが、3つ、もしくは4つの要素で説明されていることが多いです。CNAPPは、①CSPM（Cloud Security Posture Management）、②CWPP（Cloud Workload Protection Platform）、③CIEM（Cloud Infrastructure Entitlement Management）の3つに、④IaC（Infrastructure as Code）を加える場合があったり、なかったりします。なお、CNAPPの4つの要素に共通するのは、クラウドの運用中に起きうる設定の不備に対応した仕組みである点です。

CNAPPの各要素について説明します。

CSPMは、クラウドセキュリティーポスチャー管理（Cloud Security Posture Management）の略です。セキュリティーポリシーやベストプラクティスから逸脱していないか、クラウドのセキュリティー設定を自動で監視し、侵入可能な状態の有無など、セキュリティー上のリスクを検出します。設定やアクセス権限の不備を特定し、最適なセキュリティー設定を適用できます。例えば、クラウド側のバージョンアップなどで、いつの間にかデフォルト設定に上書きされ、それがお客さまのセキュリティーポリシーに合致しない設定になっていた、などという課題に対応できます。

参考：1分で分かるかも？「CSPM」

CWPPは、クラウドワークロード保護プラットフォーム（Cloud Workload Protection Platform）の略です。不正アクセスやマルウエアの攻撃などを検知して、クラウド上で実行されるワークロードをリアルタイムで防御し、アプリケーションを保護します。なお、エージェントをワークロードにデプロイするエージェント型のCWPPとエージェントレス型のCWPPが存在します。一般的に、エージェント型は詳細な制御をしたい場合に適していて、エージェントレス型は広範囲に迅速な導入を行いたい場合に適しています。

CWPPは、ワークロードの動作上分散配置されるリソースを保護できる点が重要ですね。物理サーバーや仮想マシンのように、同一基盤上にリソースが配置されるとは限りません。 

CIEMは、クラウドインフラストラクチャー権限管理（Cloud Infrastructure Entitlement Management）の略です。CIEMは、SIEM（シーム）と区別するため「キーム」と呼ばれています。CIEMは、マルチクラウド環境や複数クラウドサービスの利用が拡大する環境において、ゼロトラストの最小権限を実現します。クラウド利用が増えるほど、権限の数が膨大になり、不要な権限を付与し過ぎていないかチェックすることが大変になります。また、新しいクラウドを利用するたびに、その権限で何ができて何ができないか一つ一つ調べ続けるのも大変です。適切な表現ではないかもしれませんが、 “数の暴力”で運用が大変になると、人は意図せず不備を犯したり、不備を見抜けなかったりします。そのような場面を何度も見てきました。

権限が最小ではないという不備を見つけるCIEMは、IDaaS・IAMよりも、設定の不備を見つけるCSPMに思想が近いので、CNAPPの仲間ということですね。

IaCは、Infrastructure as Codeの略です。読んで字のごとく、インフラストラクチャーの設定をコードで管理します。コードで管理することにより、クラウド上のリソースやインフラストラクチャーのデプロイや設定作業を自動化し、手動での操作で発生しがちな不備を減らすことで運用効率を向上させます。また、世代管理やロールバックなどの変更管理が行えるようになります。

今回、CNAPPを取り上げました。

最適な組み合わせから強いセキュリティーが生まれます。攻撃者はたった1つのピースの間違いを見逃しません。