関連資料

CNAPPとは何か

CNAPPは「Cloud Native Application Protection Platform」の略称です。日本語では「クラウド ネイティブ アプリケーション 保護プラットフォーム」と翻訳されます。読み方は「シーナップ」です。CNAPPは、2021年にアメリカのガートナー社が提唱しました。

Microsoft AzureやAWSをはじめとしたインフラストラクチャーや、クラウドネイティブアプリケーション（クラウド環境で利用することを前提に提供されているアプリケーション）の業務利用は、オンプレミスのクラウド移行や、働き方の多様性にマッチしています。そこで意識しなければならないのがセキュリティリスクです。

インフラとして利用できるクラウドサービスにはさまざまなものがありますが、利用するすべてのクラウドサービスに対してセキュリティ対策を施し管理するには、知識や工数、人的リソースが必要です。

CNAPPは、クラウド上でのアプリケーション開発を前提とする考え方であるクラウドネイティブなアプリケーションに関するセキュリティ全般を、ソリューションとして提供します。CNAPPという一つのセキュリティサービスではなく、複数のセキュリティ機能を統合して提供されている、いわばサービスの総称です。

CNAPPの必要性

クラウドサービスは多様なサービスを手軽に利用できて利便性も高いことから、企業での利用が急速に進みました。利用が増えたことで、クラウドサービスに蓄積される企業データも増えています。

クラウドサービスの利用以外にも、これまでオンプレミスで構築されていた企業のシステムもクラウドへ移行されたことから、企業の資産であるデータのほとんどがクラウド上に集中しているのです。そのような背景から、企業が利用するクラウドサービスへのサイバー攻撃が増加傾向にあります。

利便性の高いクラウドサービスを利用して業務が効率化されたり、多様化する働き方に対応できる反面、クラウドサービス利用の経験や知識の不足により、クラウドサービスの設定を誤ったまま利用しているケースも見られます。

サイバー攻撃の攻撃者は、クラウドサービス利用者の設定ミスなどの脆弱性を見逃さず、巧妙な手口を用いてクラウド上に集約される企業の重要なデータを盗み取ります。このような危機的な状況は世界中で起こっています。クラウドサービスを安全に活用する手段としてCNAPPが注目されているのです。

CNAPPは、企業がクラウドサービスを利用する際のセキュリティ強化への取り組みであり、脅威に対抗するための重要な手段となっています。

CNAPPを構成する主な機能

CNAPPは、複数の機能で構成されているセキュリティのプラットフォームです。ここでは、CNAPPを構成する主な機能についてみていきましょう。

CSPM

CSPMは「Cloud Security Posture Management」の略称です。クラウドのセキュリティ態勢管理を行います。クラウド基盤を保護する中でも、設定の保護を行う機能です。企業がクラウドサービスを使用する際に、利用時のセキュリティ設定の問題や、不適切な設定がないかを管理して、設定を保護します。

たとえば、Microsoft Azureを採用している場合、CSPMは、Azure上で利用する仮想マシンやデータベース、ストレージの設定、アクセス権限などの設定に不備がないことをチェックします。これにより、ヒューマンエラーによる設定ミスが起こりにくくなるのです。

CSPMが機能することで、セキュリティリスクを早期に発見でき、クラウド環境の安全性を守ることができます。

CWPP

CWPPは「Cloud Workload Protection Platform」の略称です。クラウドワークロードを監視したり保護したりします。クラウドワークロードを簡単に表現すると、クラウド環境で動いているサービスやアプリケーションのことです。

たとえば、Microsoft Azureの上で動作するサービスやアプリケーションのセキュリティを確保・監視します。

これにより、Azureで動作する仮想マシンやデータベース、コンテナなどのワークロードを不正アクセスから守ることができます。また、自社のセキュリティポリシーに基づいて動作しているかを確認することも可能です。

CWPPはクラウドサービスの「ワークロード」の安全を確保するためのサービスです。

CIEM

CIEMは「Cloud Infrastructure Entitlement Management」の略称です。クラウド上のインフラストラクチャーの権限を管理します。利用しているクラウドサービスのアカウント設定や、リソースへのアクセス権限を管理・監視する機能を備えるものです。

たとえば、特定ユーザーのアカウントに必要以上の権限が設定されていれば、それを早期に検知して適切な権限に調整します。多くの権限を持つアカウントが長期間放置されていれば、セキュリティリスクが高まるためです。

CIEMがコントロールすることで、アカウントとリソースの権限を効果的に管理できるため、最適化が可能になります。

IaC

IaCは「Infrastructure as Code」の略称で、クラウドインフラの設定をコードとして扱う機能です。インフラ構築の設定を手作業で行わず、コンピュータプログラムのコードとして管理します。

たとえば、仮想マシンやネットワークを構築する場合、IaCを利用すれば手動での設定が不要です。コードによってリソースの構成や設定を行うため、手動によるミスや設定の不整合もなくなり、効率的な運用を実現できます。一貫性を保ちながらリソースを繰り返しデプロイすることも可能です。

IaCを使うことで、これまで「手動でやっていたこと」を「プログラムで自動化できる」ため、クラウドの運用が簡単かつ効率的になります。

CNAPPを導入するメリットとデメリット

ここでは、CNAPPを導入するメリットとデメリットを見ていきましょう。

メリット

CNAPP導入のメリットは、利用しているクラウドサービスのセキュリティリスクについて、迅速な検知と対応ができる点です。

クラウドネイティブなアプリケーションや、AzureやAWSのようなインフラ環境では、さまざまなリソースやアクセス権限があります。CNAPPはこれらの状態をリアルタイムで監視して、設定ミスや不正なアクセスを自動的に検知できます。

仮に、ヒューマンエラーやセキュリティホールがあった場合には、そのリスクを大幅に低減することが可能です。リスクを検知したら優先度などのポリシーに基づいて対応できるため、効率的なセキュリティ対策が実現できます。

セキュリティ対策の自動化や効率化は、複雑化するクラウドの利用環境のセキュリティ管理におけるコスト削減や、安全な環境でのクラウド利用を可能にします。

デメリット

CNAPP製品は高度なセキュリティ機能を提供しますが、サービスによっては導入コストやランニングコストが高額になることがあります。CNAPPだけでクラウドに対するセキュリティが万全になるわけではありません。

CNAPP導入後は、専門的知識や経験を持つ従業員が定期的な運用や管理を行わなければならないため、運用負荷が増加する可能性も考えられます。自社に必要なセキュリティレベルに合わせた対策が必要です。また、セキュリティ対策全般にいえることですが、セキュリティが強化されることで利便性が失われることもあります。

CNAPPの導入は、人的リソースや運用負荷を考慮して管理の体制を整え、自社に合ったサービスを選ぶ必要があります。

CNAPPでリスクを低減してクラウドサービスを活用しよう！

CNAPPは、複雑化するクラウド環境のセキュリティを強化するためのプラットフォームです。CNAPPには複数のセキュリティを担う機能が統合されているので、さまざまな角度からセキュリティ対策が行えます。設定ミスや権限の監視などを自動的に検出してくれるため、ヒューマンエラーも減少するでしょう。

ただし、導入に際しては専門知識や経験が必要です。万が一インシデントが発生した場合は、甚大な被害があるだけでなく、事前対策の比でないレベルの費用がかかる場合もあるため、総合的な対策が欠かせません。

自社の環境にて、CNAPPに含まれるすべての機能は必要ないと判断できる場合は、CSPMを単体で導入することを検討してもよいでしょう。

クラウド環境のセキュリティ対策について、自社だけでは判断が難しいという場合には、専門業者に相談することも視野に入れてみてください。たとえば、東京エレクトロンデバイスの「Skyhigh CNAPP」では、セキュリティリスク調査・相談も可能です。導入支援についてはこちらをご覧ください。

関連資料