クラウドネイティブ時代が到来すると、クラウド セキュリティ テクノロジーはどこに向かうのでしょうか?

数年にわたる実装を経て、クラウドネイティブのコンセプトはエンタープライズ市場で広く認知され、エンタープライズのデジタル変革にとって不可欠な選択肢となりました。クラウドネイティブテクノロジーアーキテクチャに基づいて開発されたソフトウェア製品やツールも、企業の日常業務で徐々に使用され始めています。クラウドネイティブ時代が正式に到来し、CWPP、CSPM、CIEM、CNAPP に代表される主流のクラウド セキュリティ テクノロジーはどのように発展し、進化していくのでしょうか。

1. CWPP: クラウド ワークロード保護プラットフォーム

2010 年に、ガートナーは、仮想マシンとコンテナの早期導入に対する保護を提供することを目的とした「クラウド ワークロード保護プラットフォーム」(CWPP) の概念を正式に提案しました。ガートナーの定義によると、CWPP は「オンプレミス、物理マシンと仮想マシン (VM)、複数のパブリック クラウドの Infrastructure as a Service (IaaS) 環境にまたがる最新のハイブリッド データ センター アーキテクチャにおけるサーバー ワークロード保護の固有の要件に対応する、ワークロード中心のセキュリティ ソリューション」です。 CWPP の展開では、コンテナベースのアプリケーション アーキテクチャもサポートされます。

CWPP テクノロジーの目的は、パブリック クラウド内のサーバー ワークロードを保護することです。 CWPP ソリューションは、組織のクラウドベースの展開とオンプレミス インフラストラクチャ全体に存在するワークロードを検出し、クラウド リソースの可視性を拡張する集中型ソリューションを提供し、クラウド ワークロードを保護します。

CWPP の主な特徴:

• クラウドとオンプレミスのワークロードの保護: CWPP は、組織のクラウドベースの展開とオンプレミスのインフラストラクチャに存在するワークロードを検出し、クラウド リソースと安全なワークロードの可視性を提供します。
• きめ細かな可視性: CWPP は、脆弱性、機密情報、マルウェア スキャン、資産バージョンなどの詳細な情報を収集するのに非常に優れており、ワークロードを拡張するときに役立ちます。
• ランタイム保護: CWPP は、ランタイムを保護するために必要なファイル整合性監視 (FIM)、マルウェア スキャン、ログ検査、アプリケーション制御、および権限リスト機能も提供できます。
• アイデンティティベースの分離: CWPP は、アプリケーション/ワークロード アイデンティティに基づいてポリシーを適用するテクノロジを提供できます。
• ワークロード コンプライアンス: CWPP は、検出されたリスクを選択したコンプライアンス フレームワークに分類し、容易かつ継続的なレポート作成と監査を可能にします。

CWPP が直面している課題:

• 個別のエージェントのメンテナンスが必要: CWPP では、保護対象の資産ごとに個別のエージェントのインストールとメンテナンスが必要であり、これにより、展開時間が遅くなり、継続的なメンテナンス コストが増加し、資産のパフォーマンスにも影響が出る可能性があります。
• クラウド コントロール プレーンに関する洞察なし: CWPP はワークロードのみをカバーし、コントロール プレーンに関する洞察は提供しません。これを行うには、ユーザーは CSPM ソリューションを使用する必要があります。
• アラートの優先順位付けが困難: CWPP には、セキュリティ問題の全体的な影響を理解するために必要な可視性とコンテキスト情報が欠けています。クラウド インフラストラクチャの可視性がなければ、CWPP だけではクラウド資産全体を把握できず、環境コンテキストに基づいてアラートに優先順位を付けることができません。
• 資産のカバー範囲が不十分: あらゆる場所にエージェントを展開できる可能性は低く、展開できたとしてもすべてのオペレーティング システムと互換性がある可能性は低く、エージェントのメンテナンス コストも高いため、CWPP には必然的に盲点があります。 Orca Security の調査によると、平均的なクラウド ホスト セキュリティ ソリューションは資産の 50% 未満しかカバーしていません。さらに、エージェントベースの CWPP では、停止、一時停止、またはアイドル状態のマシンを認識できないため、攻撃に対して脆弱になります。
• 横方向の移動リスク検出の欠如: 攻撃者は多くの場合、クラウド環境で最初の足がかりを得てから、実際のターゲットまで横方向に移動しようとします。 CWPP だけでは、どのキーが攻撃者に他の資産へのアクセスを提供する可能性があるかを特定できず、重大な攻撃ベクトルが公開されることになります。

全体として、CWPP テクノロジーはパブリック クラウド ワークロードのセキュリティを確保できますが、すべてのクラウド セキュリティ要件をカバーしているわけではありません。 CWPP ソリューションは、ワークロード内で何が起こっているかについての詳細な可視性を提供しますが、ワークロード間の接続とそれらが存在するインフラストラクチャの構成に関するコンテキスト情報と可視性が欠けています。

2. CSPM: クラウド セキュリティ プラットフォーム管理

2014 年頃、AWS、Microsoft Azure、Google Cloud などのパブリック クラウド サービスが普及した際、ガートナーはクラウド セキュリティ管理の新しい定義「クラウド セキュリティ プラットフォーム管理 (CSPM)」を作成し、企業組織がクラウド サービスの正しい構成を維持し、パブリック クラウド上でのビジネスのコンプライアンスを確保できるように支援しました。 CSPM ソリューションの重要な目標は、クラウド インフラストラクチャを継続的に監視して、セキュリティ ポリシーの適用におけるギャップを特定することです。

CSPM は、組織にクラウド インフラストラクチャ全体の一元的な可視性とリスク評価を提供します。クラウド インフラストラクチャ全体のリスクを自動的に識別し、場合によっては修正することができます。クラウド インフラストラクチャの監視は、セキュリティ ポリシーやベスト プラクティス違反に関する一連のアラートを返す定期的なクエリを通じて実行できます。

CSPM ソリューションはクラウド環境をカバーし、クラウド環境をセキュリティ リスクや運用の非効率性にさらす可能性のある誤った構成について従業員に警告します。 CSPM は、組織がコストを節約し、重要なセキュリティ リスクを特定し、そのようにチームをトレーニングするのにも役立ちます。

CSPMの主な機能:

• セキュリティ ポリシーの適用: CSPM は、構成ミスの問題とコンプライアンス リスクを監視し、クラウド環境でセキュリティ ポリシーを適用します。
• マルチクラウド構成管理: CSPM は、クラウド構成の可視性を通じて複数のクラウド サービスの集中管理を可能にします。
• クラウド コントロール プレーンの監査: CSPM は API 経由で接続し、マルチクラウド環境全体のコントロール プレーン構成全体に即座にアクセスして監査できます。
• クラウド インフラストラクチャのコンプライアンス レポートを提供します。CSPM はクラウド環境を継続的にレビューし、正しい構成と誤って構成された構成の検出結果をコンプライアンス フレームワークにグループ化して、組織がクラウド インフラストラクチャの適切な管理を監査できるようにします。
• サードパーティの脅威インテリジェンスとの統合: ほとんどの CSPM はネイティブのクラウド サービス プロバイダーの脅威ツールと統合できるため、組織はリスクや構成ミスのリスクをさらに特定して優先順位を付けるのに役立ちます。

CSPM が直面している課題:

• ワークロードに対する詳細な可視性がない: CSPM ソリューションでは、ワークロードに対する詳細な可視性は提供されません。たとえば、脆弱な Web サーバーや感染したワークロードがある場合、アラートは提供されません。これを行うには、ユーザーは CWPP または CNAPP ソリューションも必要とします。
• 横方向の移動リスク検出の欠如: 攻撃者は多くの場合、クラウド環境で最初の足がかりを得てから、実際のターゲットまで横方向に移動しようとします。 CSPM は、どのキーが攻撃者に他の資産へのアクセスを提供する可能性があるかを特定できないため、重要な攻撃ベクトルが公開されたり、特定できなかったりする可能性があります。

全体として、CSPM ソリューションは、パブリック クラウド サービスとマルチクラウド インフラストラクチャが適切に構成されることを保証します。 CSPM ソリューションは、監査用のクラウド ガバナンスおよびクラウド コンプライアンス サービスを提供するのに適していますが、クラウド インフラストラクチャ外部のリスクと脅威に対する詳細な可視性が欠けており、カバー範囲にギャップが残ります。

3. CIEM: クラウド インフラストラクチャ認証管理

CIEM (正式名称は Cloud Infrastructure Entitlements Management) は、クラウド アカウントの動作の異常を効果的に監視および特定できます。企業の IT チームとセキュリティ チームは、CIEM ソリューションを使用して、パブリック クラウドとマルチクラウド環境で ID とアクセス権限を管理できます。 CIEM ソリューションは、クラウド インフラストラクチャとサービスに「最小権限」の原則を適用し、組織が権限に関する混乱によって生じるデータ侵害のリスクを軽減するのに役立ちます。

企業のクラウド環境では、従業員、ビジネス システム、エンドポイント デバイスに膨大な数のアクセス権限を付与する必要がありますが、その多くには未使用の権限、期限切れのアカウント、デフォルト権限や誤って構成された権限などが含まれる可能性があります。これらの権限を未チェックのままにしておくと、攻撃者がクラウド展開に侵入するための容易な経路になる可能性があります。 CIEM ソリューションを使用すると、組織のセキュリティ チームは、どのユーザー (ビジネス担当者およびアプリケーション システム) がどのリソースにアクセスできるかなどを管理できます。

CIEM の主な機能:

• ID およびアクセス管理 (IAM): CIEM は、クラウド リソースに対する過剰な権限を持つ特権 ID を管理し、クラウド環境で最小限の権限を適用できます。
• マルチクラウドのアクセス権限を監査: CIEM は、複数のクラウド サービス プロバイダーにわたるすべてのアクセス権限を継続的に監視および確認します。
• IDP (アイデンティティ プロバイダー) ソリューションとの統合: CIEM はアイデンティティ プロバイダーと緊密に連携して、システムとクラウド サービスから管理されたデジタル ID を持つすべてのユーザーまでの範囲を拡張できます。
• 承認リスクとコンプライアンスのレポート: CIEM は、リスクのあるクラウド承認やコンプライアンス違反のクラウド承認を可視化し、組織のクラウド インフラストラクチャ全体で ID が実行できるタスクとアクセスできるリソースを決定します。
• 承認の推奨事項を提供する: CIEM は、クラウド ID 環境全体を理解し、アクセスを削減して最小権限を実現するためのポリシーと修復に関するベスト プラクティスの推奨事項を提供する機能も備えています。
• 最小権限分析: CIEM は、最小権限のアクセス許可を有効にするだけでなく、アクセス許可が過剰に管理されないようにもします。

CIEM が直面している課題:

• 不完全な IAM: CIEM は、ディスク上の SSH キーや AWS キーなどの「代替」 IAM メカニズムや横方向の移動リスクを識別できません。
• 完全なコンテキストと可視性におけるギャップ: CIEM ソリューションは主にクラウドの「新しい境界」、つまり ID アクセス管理の保護に重点を置いているため、CSPM によって提供されるコントロール プレーンと実際のワークロードで実行されているものに対する可視性が一般的に欠如しています。

一般に、CIEM ソリューションは、主に IAM、承認リスク、コンプライアンスに重点を置いた機能であるため、アイデンティティおよびアクセス管理 (IAM) がクラウド インフラストラクチャおよびサービスへの最小権限アクセスの原則に従うことを保証できます。しかし、IAM は「クラウド コンピューティングの新たな領域」と考えられているものの、IAM および CIEM ソリューションには、クラウド インフラストラクチャとワークロードに対する包括的なセキュリティ カバレッジがまだ欠けています。

4. CNAPP: クラウドネイティブアプリケーション保護プラットフォーム

CNAPP は、ガートナーが提案した新しいクラウド セキュリティ技術コンセプトであり、「Cloud-Native Application Protection Platform」の略です。 CNAPP は、革新的なクラウド セキュリティ テクノロジーとして、複数のセキュリティ機能をネイティブな方法で統合クラウド セキュリティ プラットフォームに統合するため、幅広い注目を集めています。

CNAPP は、システム コードからビジネス開発まで、アプリケーション開発ライフサイクル全体を保護できます。将来的には、クラウド セキュリティ状態管理 (CSPM)、クラウド ワークロード保護プラットフォーム (CWPP)、クラウド インフラストラクチャ認証管理 (CIEM) などのクラウド セキュリティ技術などの従来の保護モードに大きく取って代わることになります。

適切な CNAPP ソリューションは、サイロ化されたビューではなく、クラウド資産に対する包括的なカバレッジと可視性を提供し、クラウドの誤った構成、安全でないワークロード、不適切な ID アクセスなど、テクノロジー スタック全体のリスクを検出できます。

さらに、CNAPP には、開発ライフサイクルの早い段階でリスクを特定するための「シフトレフト」機能も含まれています。一部の CNAPP は、脆弱性、コンテキスト、相関関係を組み合わせることで、クラウド攻撃パス分析を実行し、一見無関係に見える「重大度の低い」リスクがどのように組み合わさって危険な攻撃ベクトルを生み出すかを特定できます。

CNAPPの主な機能:

• 誤った構成のリスクを管理する: クラウド ネイティブ アプリケーションの構成ミスやセキュリティ管理ミスの可能性を減らします。
• セキュリティ投資を統合する: ツールとベンダーの数を削減します。
• ガバナンスとコンプライアンスを簡素化: 安全でコンプライアンスに準拠したクラウドネイティブ アプリケーションの作成に関連する複雑さとコストを削減します。
• 重要なアラートを優先する: セキュリティ担当者が関係性 (セキュリティの脆弱性、構成ミス、権限、公開された秘密) に基づいて攻撃パスを把握できるようにします。
• DevSecOps の可視性を向上: 開発と運用の可視性と洞察をリスク分析に双方向でリンクすることで、企業全体のセキュリティ体制を向上させます。

CNAPPが直面している課題:

• 重複する機能: 組織には、削除できない従来のクラウド セキュリティ システムが存在している場合があります。セキュリティ リーダーは、時間の経過とともに、クラウド戦略を更新し、契約の期限が切れるたびに冗長なテクノロジーを削除することで、これらの障壁を排除できます。

全体的に、CNAPP は多くの点で優れており、主な利点はクラウドの可視性が向上することです。ガートナーは、「クラウド ネイティブ アプリケーション保護プラットフォーム イノベーション インサイト レポート」で、「CNAPP アプローチの最大の利点は、クラウド ネイティブ アプリケーションのリスクをより適切に理解し、制御できることです」と指摘しています。

クラウドネイティブ セキュリティの進化により、組織はセキュリティとコンプライアンスを犠牲にすることなく成長を加速し、収益を生み出す新たな機会が生まれました。複数のポイント ソリューションを導入、分析、相関させる代わりに、集中型の CNAPP ソリューションでのみ可能なリスクと攻撃パスに関する詳細な洞察を得ることで時間を節約します。

参考リンク: https://cloudsecurityalliance.org/blog/2022/05/20/know-your-cloud-security-acronyms-cwpp-cspm-ciem-and-cnapp/