企業はどのようにしてクラウド ワークロードをシームレスに保護できるでしょうか?

企業は、クラウド環境を保護するために、クラウド ID の保護、クラウド セキュリティ体制の強化、強力なクラウド アクセス制御の構成などの対策をすでに講じている可能性があります。しかし、これに加えて、クラウド ワークロード保護プラットフォーム (CWPP) がもう 1 つ必要です。

クラウド ワークロード保護プラットフォームは、クラウド環境の基盤となるインフラストラクチャ、ユーザー ID、構成とは異なる、企業のクラウド上で実行されるワークロードを保護します。

この記事では、CWPP がクラウド セキュリティ戦略において重要な要素である理由を検証し、CWPP の仕組みを説明し、CWPP を使用して保護できるワークロードの例を示し、CWPP のコンテキストにおける自動化の重要性について説明します。

1. クラウド ワークロード保護とは何ですか?

クラウド ワークロード保護は、クラウドに展開されたワークロードを保護する方法です。つまり、クラウド ワークロード保護は、インフラストラクチャや構成レベルではなく、クラウド環境のワークロード レベルで存在するリスクを軽減します。

問題となるワークロードは、企業がクラウドでホストするソフトウェア、データ、またはこれらの組み合わせである可能性があります。たとえば、クラウド ワークロード保護は、クラウドベースの VM インスタンスで実行されているオペレーティング システムやアプリケーションに適用したり、オブジェクト ストレージ バケット内のデータを保護したりできます。

2. CWPP とは何ですか?

クラウド ワークロード保護を提供するツールは、クラウド ワークロード保護プラットフォーム (CWPP) と呼ばれることがよくあります。他のほとんどの種類のクラウド セキュリティ プラクティスではワークロードのリスクに対処できないため、クラウド ワークロードを保護することが重要です。

クラウド セキュリティ ポスチャ管理 (CSPM) は、機密データへのパブリック アクセスを提供する IAM ポリシーなど、セキュリティ問題を引き起こす可能性のあるクラウド インフラストラクチャ構成の要素をエンタープライズ マネージャーに警告します。しかし、CSPM では、データがアプリケーションを移動する際に暗号化が行われないなど、ワークロード内の構成リスクはカバーされません。

同様に、企業はクラウドのメトリックとログを追跡して、潜在的なセキュリティの脅威を特定できます。しかし、このデータは主にクラウド IaaS プロバイダーから取得され、個々のアプリケーションから取得されるものではないため、企業がクラウドに展開するアプリケーションやデータに固有のセキュリティ リスクについてはほとんど明らかになりません。

CWPP ソリューションは、企業が基盤となるクラウド環境だけでなく、クラウド上で実際に実行されているコードとデータを保護できるようにすることで、これらのギャップを埋めます。

特に、クラウド ワークロード保護プラットフォームは、企業が複数のクラウドにわたるワークロードを保護するのに役立ちます。 CWPP は、ワークロードをホストするクラウドではなくワークロードに重点を置いているため、企業は Cloud Workload Protection を使用して、クラウド間で移動している場合でも、あらゆる種類のクラウドベースのワークロードのセキュリティ リスクを特定できます。

3. CWPPの活用例

クラウド ワークロード保護をさらに理解するには、次の領域にどのように適用されるかを検討してください。

（１）コンテナ

コンテナを使用してクラウド ワークロードを展開する場合は、固有のセキュリティ上の課題に対処する必要があります。たとえば、コンテナが特権モードで実行できないようにする必要があります。コンテナ イメージもマルウェアのスキャンを実行する必要があります。

コンテナのクラウド ワークロード保護により、企業がクラウド環境に適用する他のセキュリティ プロセスとは独立して、コンテナ化されたワークロードを保護するために必要な特定のプロセスが企業に確保されます。

（２）Kubernetesのセキュリティ

Kubernetes には、ワークロード レベルでのみ対処できるさまざまな固有のセキュリティ上の課題もあります。たとえば、企業は Kubernetes RBAC ポリシーとセキュリティ コンテキストが正しく構成されていることを確認する必要があります。 Kubernetes 監査ログを使用して、Kubernetes 環境で発生する潜在的なセキュリティ リスクを監視する必要もあります。

（３）仮想マシンのセキュリティ

クラウド VM サービスが正しく構成されている場合でも、VM にセキュリティの問題が潜んでいる可能性があります。企業が使用するイメージには、マルウェアが含まれていたり、セキュリティ体制が弱くなるような構成 (カーネル強化フレームワークが欠落しているなど) が含まれていたりする可能性があります。クラウド ワークロード保護は、管理者にこれらのリスクを警告します。

（4）脆弱性スキャン

脆弱性は、アプリケーション内、オペレーティング システム内、コンテナ イメージ内など、クラウド環境のどこにでも発生する可能性があります。

Cloud Workload Protection を使用すると、企業はワークロードのすべてのコンポーネントとレイヤーをスキャンして脆弱性を検出できます。実行中のワークロードやホストしているクラウドに関係なく、ワークロード レベルでの脆弱性の検出と管理をワンストップで行うことができると考えてください。

（５）サーバーレスセキュリティ

サーバーレス関数は、基盤となるサーバー環境からアプリケーションを抽象化し、潜在的な攻撃対象領域を減らします。ただし、これらの機能自体に脆弱性が残っている可能性があります。リスクを増大させるような構成にすることもできます。 Cloud Workload Protection は、サーバーレス関数内のこのような問題を自動的に検出します。

（6）アプリケーションセキュリティ

クラウドベースのアプリケーションにはさまざまな形式がありますが、マルウェア、脆弱なソフトウェア コンポーネント、暗号化などのセキュリティ制御の欠如など、セキュリティ リスクが常に潜んでいます。 Cloud Workload Protection は、アプリケーションをスキャンしてこのようなリスクを検出することで、クラウド環境全体でアプリケーションのセキュリティを確保します。

4. クラウドワークロード保護プラットフォームを選択する

クラウド ワークロード保護をクラウド セキュリティ戦略に統合する場合は、次のソリューションを実装するように努める必要があります。

• 企業はワークロード レベルのセキュリティ リスクを手動で管理できないため、完全に自動化されています。また、企業はあらゆるクラウド上のあらゆるワークロードを保護するために展開できるようになります。
• このソリューションでは、サイバーセキュリティの専門家だけでなく、企業のあらゆるメンバーが、ワークロードが満たす必要のあるセキュリティ ルールを定義できる必要があります。さらに、クラウド ワークロードを自動的にスキャンして、これらのルールからの逸脱を検出します。

その結果、クラウド環境の構成やそこで実行されているものに関係なく、クラウド ワークロードを完全に安全かつ自動的に保護できるようになります。