Gartner が提唱する Cloud Native APP Protection:クラウド・セキュリティの構成要素が変化していく

Cloud Native Application Protection Platform (CNAPP): An Evolving Approach to Cloud Security

2022/01/19 SecurityBoulevard — CISO と CIO は、開発と運用のライフサイクル全体にわたって、数多くのクラウド・セキュリティの課題に取り組んでいる。IDC Survey Report: State of Cloud Security 2021 によると、98% の企業が過去18カ月間に、何らかのクラウド関連のセキュリティ侵害を経験している。今日、それぞれの企業が、特定のリスクに対応する様々なツールを導入することで、これらのギャップを解消しようとしている。

ツールの中には、開発者や DevSecOps に焦点を当てた「シフトレフト」と呼ばれるセキュリティ・アプローチを取るものもあれば、インフラやコンフィグレーションなどのランタイムの側面を扱うものもある。さらに、アクセス管理を扱う第3のグループなどもある。

このように、それぞれのツールを分散させるアプローチは、必要以上に時間を消費し、セキュリティと開発の間に摩擦を生じ、オーバーヘッドも大きくなり、チームはサイロ内で作業することになる。さらに、つなぎ合わされたツール間の設定ミスにより、そこから脆弱性が生み出され、攻撃対象を増やすことになりかねない。したがって、現在のツールの限界を前提とするなら、クラウド・ネイティブ・セキュリティの導入を、企業は成功させることができない。

ベンダーたちは、このギャップを認識し、コントロールとデータプレーンの両方のリスクに対応する、ハイブリッド・ソリューションを提供することで、市場のニーズに応えようとしている。アプリケーションやサービスに対して複数のセキュリティ機能を備えた、単一の統合ツールを使用することで、企業はリスク/オーバーヘッド/運用コストを削減できる。

Gartner は、このようなライフサイクル・アプローチの傾向とニーズを把握し、それを定義するために新たなカテゴリー CNAPP を設けた。

CNAPP とは?

Cloud Native Application Protection Platform (CNAPP) は、複数のセキュリティおよびコンプライアンス機能を、1つに統合しているクラウド・セキュリティ・プラットフォームである。Gartner の造語である CNAPP は、クラウド・ネイティブ・アプリケーションの開発から運用までを保護する、新しいタイプのクラウド・セキュリティ・プラットフォームであり、ツールのサイロ化に起因する摩擦を減らし、リスクを軽減する。

CNAPP のコンポーネントと機能

CNAPP は、クラウド・ネイティブ・アプリケーションの開発からプロダクション環境にいたるまでの、セキュリティを確保するために設計されたツールと機能の統合である。ここでは、CNAPP を構成要素に分けて説明する。

  • Cloud Security Posture Management (CSPM) – パブリック・クラウド・サービスのコンフィグレーションやセキュリティ設定のリスクを自動的に監視し、セキュリティ基準やポリシーにマッピングする技術 Read more here
  • Cloud Workload Protection Platforms (CWPP) – コンテナ/サーバーレス/仮想マシン/サーバーなどの、ワークロードのセキュリティを確保するためのテクノロジー
  • Cloud Identity Entitlement Management (CIEM) – クラウド・アイデンティティの監視とポリシーの推奨を通じて、クラウドでのアクセス管理と最小特権の実施を行うためのテクノロジー Read more here
  • Kubernetes Security Posture Management (KSPM) – Kubernetesのセキュリティとコンプライアンスの問題を解決する技術(例:CSPM for Kubernetes)
  • Development artifact scanning  – SAST/DAST/API/ソフトウェア・コンフィグレーションの分析、露出度のスキャンなど、開発成果物の弱点の評価
  • IaC scanning – コンフィグレーション・ファイルの脆弱性の評価
  • Network Configuration and Security Policy – アクセスを統制するためのセキュリティポリシー管理
  • Addition Runtime Protection Tools – Webアプリケーションと API の保護/アプリケーションの監視/ネットワーク・セグメンテーション/露出度スキャンのツール

    これらの、すべての機能をつなぎ合わせたものが、CNAPP ではないことに注意する必要がある。CNAPP は、クラウドとワークロードのユーザー行動データを組み合わせることで、検知率を向上させ、誤検知を減らす、高度な洞察力を提供する。これらの洞察は、たとえば、ミスコンフィグレーションの状況と、ワークロード警告や過剰資格を関連付けることで生成できる。

セキュリティ・チーム/DevOps/DevSecOps にとっての CNAPP の 10 のメリット

CNAPP は、以下を保証するようにデザインされている。

  1. ワークロード内容とインフラ全体の可視性を向上させ、リスクを特定して優先順位をつける。
  2. 開発から本番まで、セキュリティの一貫性とコンテキストを提供する、ライフサイクル・アプローチを用いたリスクの識別と修正の適用。
  3. コンテナ/Kubernetes クラスターなどのコンポーネントにおける、ミスコンフィグレーションの低減と管理の効率化。
  4. ツールやベンダーを管理する際の、オーバーヘッドや複雑さを最小限に抑制。
  5. スキャン機能の統合を、SDLC や開発者ツールに対してシームレスに行う。
  6. セキュリティをシフトレフトし、ランタイム保護への依存度を下げる。
  7. 攻撃経路分析の洞察力とガバナンスの向上 (権限や設定を含む) 。
  8. 開発と運用の間での双方向のセキュリティ・フィードバック。
  9. クラウド・ネイティブなセキュリティ (オンプレミスのセキュリティをクラウドに適合させるのでは無い) 。
  10. インフラとアプリケーションのセキュリティ。

CNAPP を始めるには?

誇大広告や期待にもかかわらず、CNAPP の現状はというと、ベンダーが実際に提供しているツールというよりも、まだ仮説的なカテゴリーである。このカテゴリーは、まだ生まれたばかりであり、一部のベンダーが約束しているにもかかわらず、すべての統合された機能を提供するツールは、まだ実現されていない。

しかし、クラウド・セキュリティのリスクは仮説の域を出ないため、CNAPP に対応できるように組織やツールを構築し、行動を起こすことが推奨される。これには、クラウド・セキュリティ・プランの作成や、CNAPP の強力な基盤となる機能を持つベンダーを調査し、その製品を評価することが含まれる。さらに、アーティファクト/コンテナ/Kubernetes を継続的にスキャンし、脆弱性やマルウェアを特定することも継続してほしい。CNAPP は新興市場であり、これらの機能を提供するベンダーが、近々に増えることを期待している。Gartner が指摘しているように、十分に統合されたソリューションに焦点を当て、時間を浪費せずにリスクに優先順位を適用し、クラウド・コンフィグレーションに対して認識を高めるべきだ。

Gartner の CNAPP ですが、文中のリンクをたどってみたら、2021年8月25日の日付がついていました。クラウド・ネイティブ・アプリケーションが、どれくらい存在するのかが分かりませんが、このブログが始まった昨年の4月以降だけでも、ミスコンフィグレーションの問題がいくつか指摘されていました。その中でも、2022年8月の「Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす」や、2022年 1月の「SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に」は印象に残っています。その意味でも、CNAPP のコンポーネントとして、Cloud Security Posture Management (CSPM) が先頭にあることは、妥当なのかもしれません。

%d bloggers like this: