CNAPPとは?
~クラウドの設定ミスからあなたの組織を守る~
- お役立ち情報
2023年09月05日
- クラウドセキュリティー
- セキュリティー対策
「便利なクラウドをこの先も安心・安全に使いたい」
エンドユーザーとシステム管理者の双方がクラウドを安心して使える仕組みの1つとして、弊社ではCNAPP( Cloud Native Application Protection Platform)というクラウドセキュリティーに注目しています。本記事では、多くの皆さまにセキュリティーへ関心を持っていただけるよう、エンジニアではない筆者の言葉でCNAPPについて解説します。セキュリティーは難しくて敬遠したいものではなく、働く皆さま一人一人を守る身近なものと思っていただけたら嬉しく思います。
目次
1.CNAPPとは何か? 「クラウド運用で起きうる設定の不備に対応」
CNAPPは、クラウドネイティブアプリケーション保護プラットフォーム(Cloud Native Application Protection Platform)の略です。
そのCNAPPですが、3つ、もしくは4つの要素で説明されていることが多いです。CNAPPは、①CSPM(Cloud Security Posture Management)、②CWPP(Cloud Workload Protection Platform)、③CIEM(Cloud Infrastructure Entitlement Management)の3つに、④IaC(Infrastructure as Code)を加える場合があったり、なかったりします。なお、CNAPPの4つの要素に共通するのは、クラウドの運用中に起きうる設定の不備に対応した仕組みである点です。
2.CNAPPの要素
CNAPPの各要素について説明します。
(1)CSPM 「クラウドの設定ミスを発見」
CSPMは、クラウドセキュリティーポスチャー管理(Cloud Security Posture Management)の略です。セキュリティーポリシーやベストプラクティスから逸脱していないか、クラウドのセキュリティー設定を自動で監視し、侵入可能な状態の有無など、セキュリティー上のリスクを検出します。設定やアクセス権限の不備を特定し、最適なセキュリティー設定を適用できます。例えば、クラウド側のバージョンアップなどで、いつの間にかデフォルト設定に上書きされ、それがお客さまのセキュリティーポリシーに合致しない設定になっていた、などという課題に対応できます。
参考:1分で分かるかも?「CSPM」
(2)CWPP 「クラウドのワークロードを保護」
CWPPは、クラウドワークロード保護プラットフォーム(Cloud Workload Protection Platform)の略です。不正アクセスやマルウエアの攻撃などを検知して、クラウド上で実行されるワークロードをリアルタイムで防御し、アプリケーションを保護します。なお、エージェントをワークロードにデプロイするエージェント型のCWPPとエージェントレス型のCWPPが存在します。一般的に、エージェント型は詳細な制御をしたい場合に適していて、エージェントレス型は広範囲に迅速な導入を行いたい場合に適しています。
ワークロードは、直訳ではWork(仕事)とLoad(負荷)をつなげて、仕事量という意味です。そこから転じて、ある処理を実行するために割り当てられるリソースの集まりをワークロードと呼びます。つまり、ワークロードとは、クラウド上の仮想マシン、サーバー、アプリケーション、データなどのリソースを指します。クラウドは、システムの負荷や障害に応じたリソースの分散や増強、つまり自動スケーリングが得意ですが、ワークロードを適切に管理することで実現されます。
CWPPは、ワークロードの動作上分散配置されるリソースを保護できる点が重要ですね。物理サーバーや仮想マシンのように、同一基盤上にリソースが配置されるとは限りません。
(3)CIEM 「クラウドの権限を最小限に」
CIEMは、クラウドインフラストラクチャー権限管理(Cloud Infrastructure Entitlement Management)の略です。CIEMは、SIEM(シーム)と区別するため「キーム」と呼ばれています。CIEMは、マルチクラウド環境や複数クラウドサービスの利用が拡大する環境において、ゼロトラストの最小権限を実現します。クラウド利用が増えるほど、権限の数が膨大になり、不要な権限を付与し過ぎていないかチェックすることが大変になります。また、新しいクラウドを利用するたびに、その権限で何ができて何ができないか一つ一つ調べ続けるのも大変です。適切な表現ではないかもしれませんが、 “数の暴力”で運用が大変になると、人は意図せず不備を犯したり、不備を見抜けなかったりします。そのような場面を何度も見てきました。
権限の話をすると、IDaaSやIAM( Identity and Access Management )と何が違うのか分かりにくいと感じる方がいるかもしれません。2023年8月時点に、Googleで「CIEM vs IAM」を検索したら約117,000件がヒットしました。
筆者は、IDaaSは “- as a Service”から想起される通りクラウド上のID基盤、IAMはクラウドとオンプレミス両方のID基盤、と使い分けています。ただ、IDaaSはIAMに含まれ、機能もほぼ同じため、IDaaSとIAMを同じものと扱っても問題ないと思います。
IDaaSとIAMは、主に①ADやHRシステムなどとのID統合、②シングルサインオン、③多要素認証、④IDプロビジョニングを行ないます。つまり、①でIDを集め、②と③でそのIDにアクセス許可を与え、④でクラウド側のID追加/削除(無効化)を人事異動などで更新されるADなどのマスターデータのID追加/削除に連動して行います。
あくまでIDのライフサイクルを管理するのがIDaaS・IAMであり、権限が最小限かどうかのチェックは行いません。
権限が最小ではないという不備を見つけるCIEMは、IDaaS・IAMよりも、設定の不備を見つけるCSPMに思想が近いので、CNAPPの仲間ということですね。
(4)IaC 「クラウドをコードで管理」
IaCは、Infrastructure as Codeの略です。読んで字のごとく、インフラストラクチャーの設定をコードで管理します。コードで管理することにより、クラウド上のリソースやインフラストラクチャーのデプロイや設定作業を自動化し、手動での操作で発生しがちな不備を減らすことで運用効率を向上させます。また、世代管理やロールバックなどの変更管理が行えるようになります。
3.まとめ
今回、CNAPPを取り上げました。
最適な組み合わせから強いセキュリティーが生まれます。攻撃者はたった1つのピースの間違いを見逃しません。
佐藤 大介(さとう だいすけ)
ユニアデックス株式会社
マーケティング本部 戦略企画推進部 R&S推進室
関連情報
関連ソリューション
関連コラム
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。