CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）とは何か？

CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）は、クラウドセキュリティの潜在的な脅威や脆弱性の監視、検出、修復を簡素化するオールインワンのクラウドネイティブプラットフォームです。DevSecOpsを採用する組織が増え、組織はクラウドネイティブなアプリケーションセキュリティの確保、ビジネスクリティカルなワークロードの保護、運用の合理化の方法を模索しています。CNAPPは、複数のツールと機能を単一のソフトウェアソリューションに統合することで、複雑さを最小限に抑え、DevOpsとDevSecOpsチームの運用を容易にします。CNAPPは、開発から本番運用までのCI/CDアプリケーションのライフサイクル全体を通じて、エンドツーエンドのクラウドとアプリケーションセキュリティを実現します。

CNAPPが解決する問題

CNAPPは、最新のクラウドセキュリティ監視、ポスチャ管理、侵害防止、管理ツールに対する業界のニーズに対応します。CNAPPでは、可視性の向上、リスクの定量化、安全なソフトウェア開発、統合されたクラウドセキュリティソリューションを提供することで、これらを実現しています。

1. 可視性の向上とリスクの定量化

CNAPPは、複数のクラウドセキュリティ機能を単一ソリューションに統合し、クラウドインフラストラクチャ、ワークロード、アプリケーションにわたって可視性を高めます。可視性の向上により、クラウドとアプリケーションのリスクを状況に応じて評価できるようになります。CNAPPソリューションを使用することで、セキュリティチームがクラウド環境のリスクを定量化して対応できるようになります。

2. 複合クラウドセキュリティソリューション

CNAPPは、ツール間での情報交換を不要にするエンドツーエンドのクラウドセキュリティソリューションです。クラウドインフラストラクチャのプロビジョニング、ワークロードのスキャンと保護、権限管理、アプリケーションおよびデータのセキュリティを単一のソフトウェアに統合し、複数のツール管理に伴う人的エラーを減らし、クラウドセキュリティ問題の修復時間も短縮します。

3. 安全なソフトウェア開発

CNAPPによりスキャンが可能になり、設定ミスに迅速に対応できるようになります。継続的インテグレーションと継続的デリバリー (CI/CD) パラダイムを実装するソフトウェア開発チームが増えています。CNAPPをCI/CDアクティビティに簡単に統合して、IaC（コードとしてのインフラストラクチャ）設定などの変更をスキャンし、安全でないクラウド展開をブロックできます。

CNAPPの特徴と機能

CNAPPには、通常、クラウドインフラストラクチャとサービスのスキャンと保護に役立つ多くのツールがパッケージ化されています。また、DevOpsやDevSecOpsのパイプラインや運用に統合して、ソフトウェア開発のアクティビティのクラウドセキュリティを強化することもできます。

CNAPPソリューションの機能はベンダーによって異なりますが、CNAPPの最も一般的ないくつかの機能について説明します。

CSPM（クラウドセキュリティポスチャ管理）

CSPM（クラウドセキュリティポスチャ管理）は、クラウドリソースの流出や潜在的なセキュリティインシデントにつながる設定ミスを検出、防止、修復するために設計されたソフトウェアソリューションです。CSPMソリューションは、クラウドのリソースとアクティビティが業界の規制とコンプライアンスの義務に準拠していることも保証します。リソースが準拠していない場合、セキュリティチームはそれらに対処するためのアラートを受け取ります。CSPMは、可視性とアラートを提供するだけでなく、セキュリティギャップを解消し、標準的な基準と健全なセキュリティポスチャを維持するためのガイド付き修復や自動修復も提供します。CSPMは、セキュリティリスクの分析と監視だけでなく、脅威が発生した場合のインシデント対応にも使用できます。DevOps CI/CDパイプラインでCSPMスキャンを使用すれば、新しいIaC定義がクラウドIAM（アイデンティティおよびアクセス管理）ポリシーに準拠していることを確認することもできます。

IaC（コードとしてのインフラストラクチャ）スキャン

IaC（コードとしてのインフラストラクチャ）ツールを使用すると、設定ファイルまたは実際のコードを使用してクラウドアーキテクチャとサービスを定義できます。設定ファイル用の最も一般的なIaCツールとして、Terraform、Serverless Framework、AWS CloudFormationがあります。コードについては、Cloud Development Kit for Terraform (CDKTF) が最も一般的なツールの1つです。

IaCスキャンは、クラウドの設定ミスのリスクを最小限に抑えるための自動化の一形態です。これは、コードレビューと同様に、CI/CDパイプラインフェーズでスキャンプログラム自体が作成したクラウドインフラストラクチャの設定ファイルのコード品質を保証するための手段です。IaCスキャンは手動で起動することもできます。これは、新しいコードなどのセキュリティの検証に役立つIaCコードを開発する際に役立ちます。

IaCスキャンツールは、設定ファイル（TerraformのHCLファイルなど）をスキャンして、脆弱性や設定ミスを検出し、脆弱なネットワークの露出、コンプライアンス違反、リソースアクセスポリシーの最小特権の原則の違反などの問題を検出できます。

クラウドワークロード保護プラットフォーム（CWPP）

クラウドワークロード保護プラットフォーム (CWPP) ソリューションは、クラウドインフラストラクチャのワークロードをセキュリティ脅威から保護するのに役立ちます。CWPPは、VM、データベース（SQLとNoSQL）、API、コンテナ、Kubernetesなどのクラウドプロバイダーサービスからのさまざまなワークロードに対応します。CWPPは、サイバーセキュリティの脅威を防止して本番運用を円滑化するための修正を検出して提案します。

クラウドサービスネットワークセキュリティ (CSNS)

クラウドサービスネットワークセキュリティソフトウェアソリューションは、クラウドインフラストラクチャをリアルタイムで保護することに重点を置いています。これは、Webアプリケーションファイアウォール (WAF) やWebアプリケーション、API保護 (WAAP)、DDOS保護と負荷分散、TLS検査などの1つ以上のメカニズムによって実現されます。

KSPM（Kubernetesセキュリティポスチャ管理）

最新のクラウドインフラストラクチャでは、多くの場合、コンテナオーケストレーションにKubernetesを使用して、ソフトウェアの展開を自動化し、コンテナを管理しています。KSPM（Kubernetesセキュリティポスチャ管理）ツールは、DevOpsエンジニアがKubernetesアクティビティを管理する際に役立ちます。機能は次のとおりです。

• Kubernetes環境と設定をスキャンして、設定ミスとセキュリティの問題を検出して報告
• 環境、ワークロード、設定、クラスターなどを監視して、ユーザーエラーを最小限に抑制
• クラスターペネトレーションテスト
• ベンチマーク

CIEM（クラウドインフラストラクチャエンタイトルメント管理）

CIEM（クラウドインフラストラクチャエンタイトルメント管理）は、マルチクラウドのセットアップなど、クラウド環境全体の権限と権利の管理に役立ちます。通常、最小特権の原則を適用し、クラウドインフラストラクチャの設定をスキャンして、リソースへの不要なアクセスを見つけて報告します。また、読み取りアクセスのみが必要なユーザーまたはロールがリソースのすべてのアクションにアクセスできる問題など、その他の設定ミスも検出して報告できます。

ASPM（アプリケーションセキュリティポスチャ管理）

ASPM（アプリケーションセキュリティポスチャ管理）は、アプリケーションを安全かつ堅牢に保つための仕組みであり、本番環境に展開された後の状態に対応します。ASPMは、本番環境でのみ確認できる環境変数や設定などの重要なコンテキストを取り込みます。これにより、特定のコードの脆弱性や設定ミスが実際に悪用される可能性があるかどうかを判断できます。

DSPM（データセキュリティポスチャ管理）

DSPM（データセキュリティポスチャ管理）は、データの所在、保護状況、アクセス権を監視することで、すべてのデータを安全に保つという課題に対応します。DSPMには、クラウド全体にわたるデータ管理の支援、リスクの監視、セキュリティポリシーの適用、企業コンプライアンスの確保といった主要な機能があります。

CDR（クラウド検知・対応）

CDR（クラウド検知・対応）は、スケーラビリティ、データ主権、イノベーションといったクラウド環境特有の課題に対応するためのアプローチです。クラウド上の脅威を常時監視し、インシデントや不審なアクティビティに迅速に対応することで、その影響を最小限に抑えます。

ソフトウェア開発アクティビティとの統合

CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）は、本番運用だけでなく、CI/CDパイプラインフェーズでの信頼性とテストを向上させるために、ソフトウェア開発の範囲内でも使用する必要があります。CNAPPは、IaCスキャンとの関連で前述したように、クラウドインフラストラクチャの問題を検出して防止し、ASPM、KSPMまたはCSPMによって実行されたスキャンなどの別のタイプの静的分析を実行できます。

CNAPPの利点

CNAPPは、クラウドネイティブアプリケーションセキュリティを使用して、さまざまな形で組織を支援します。その利点の一部を紹介します。

• クラウドの設定ミスを減らすことで、サイバーセキュリティの脅威を防止する
• セキュリティ関連のタスクを自動化して、人的エラーを減らし、信頼性を高める
• リスクと正確な情報を組み合わせて、一意に可視化することで、脅威への迅速な対応と意思決定の促進を可能にする
• 複数のクラウドセキュリティツールの実行と保守を不要にすることで、複雑さとオーバーヘッドを低減する
• CI/CDパイプラインフェーズで設定ミスや潜在的な脅威を特定することで、開発者とDevOpsチームの生産性を高め、バグ修正やマージ/プルリクエストの数を削減する

CNAPPの利点

CNAPPは、クラウドネイティブアプリケーションセキュリティを使用して、さまざまな形で組織を支援します。利点の一部を紹介します。

• クラウドの設定ミスを減らすことで、サイバーセキュリティの脅威を防止する
• セキュリティ関連のタスクを自動化して、人的エラーを減らし、信頼性を高める
• リスクと正確な情報を組み合わせて、一意に可視化することで、脅威への迅速な対応と意思決定の促進を可能にする
• 複数のクラウドセキュリティツールの実行と保守を不要にすることで、複雑さとオーバーヘッドを低減する
• CI/CDパイプラインフェーズで設定ミスや潜在的な脅威を特定することで、開発者とDevOpsチームの生産性を高め、バグ修正やマージ/プルリクエストの数を削減する

クラウドストライクのアプローチ

CNAPPは、ワークロード、コンテナ、セキュリティポスチャ、コンプライアンスなど、アプリケーションのライフサイクル全体に対応する統合および自動化されたセキュリティソリューションを、DevOpsチームとDevSecOpsチームに提供する包括的なツールです。CNAPPでは、プライベート、パブリック、ハイブリッド、マルチクラウド環境の全体的な可視性とセキュリティを実現します。また、タスクを自動化し、設定とインフラストラクチャをスキャンすることで、脅威を防止し、脆弱性の発見時の生産性と対応時間を改善します。

クラウドストライクは、最近、Frost & Sullivanの「Frost Radar: Frost Radar: Cloud-Native Application Protection Platforms, 2022（Frost Radar：2022年度版クラウドネイティブアプリケーション保護プラットフォーム）」レポートで当該分野におけるリーダーとして認識され、「クラウドストライクは最も急成長しているクラウドセキュリティベンダーの1社であり」、「CNAPPビジネスは世界的に注目を集めている」と評価されました。