なぜ今、CNAPPの時代なのか #aqua #セキュリティ #CNAPP
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本ブログは「Aqua Security」社の技術ブログで2023年4月4日に公開された「 Why the time for CNAPP is now 」の日本語翻訳です。
なぜ今、CNAPPの時代なのか
CNAPP は、過去最大級のセキュリティカテゴリーとして、250億ドルから300億ドルの市場になると予測されています。その理由として、企業は、クラウドネイティブの手法を取り入れながら、アプリケーションをクラウドに移行し続けており、新たなセキュリティ対策が必要になっているからです。同時に、CISO は、より良いセキュリティと運用効率のためにツールを統合する必要に迫られています。
CNAPP は、企業がクラウドアプリケーションのライフサイクル全体にわたって点と点を結び、より効率的で効果的なセキュリティを構築するための機会です。しかし、CNAPP とは一体何なのか、なぜ今これほどまでに勢いを増しているのでしょうか。
ガートナー社は最近、クラウドネイティブアプリケーション保護プラットフォーム (CNAPP) を、開発から本番までのクラウドネイティブアプリケーションのセキュリティと保護を目的とした、緊密に統合されたセキュリティとコンプライアンス機能のセットと定義しました。
さらに、CNAPP は、コンテナセキュリティ、クラウドセキュリティポスチャ管理 (CSPM)、Kubernetes セキュリティポスチャ管理 (KSPM)、Infrastructure as Code (IaC)スキャン、ランタイムクラウドワークロード保護、ランタイム脆弱性/構成スキャンなど、これまでサイロ化していた多くの機能を統合していると述べました。
なぜCNAPPが盛り上がっているのでしょうか?
クラウドネイティブアプリケーションは複雑で、新たな攻撃面を持つという課題を抱えています。従来のセキュリティツールは、クラウドネイティブアーキテクチャ用に設計されていないため、限られた可視性と制御しか提供することができません。ニッチなツールは、システムを横断的に監視するために必要な統合機能がないため、あまり優れているとは言えません。無料のツールには、メンテナンスは言うまでもなく、統合のための高いコストがかかっています。しかし、何もしないことは、収益や業務が失われる可能性があるという高いリスクを伴います。 攻撃者は、これらのツールの課題と限界を認識しており、クラウドインフラ (ネットワーク、コンピュート、ストレージ、オーケストレーター、アイデンティティ、パーミッション) の誤設定、コード内の既知およびゼロデイ脆弱性、コードの開発およびデプロイに使用するツールを含むソフトウェアのサプライチェーンをターゲットにしています。
さらに、シフトレフトの動きが本格化し、DevOps チームは、脆弱性への対処、コードとしてのインフラへの修正プログラムの導入など、一般に DevSecOps と呼ばれるセキュリティ修復作業を担当することが増えているため、この範囲の拡大に対応するツールが必要です。
CNAPP は、セキュリティと開発者の体験を向上させながら、複雑さを軽減する方法を提供します。Aqua では、CNAPP について考える方法を単純化するために、しばしば逆から説明することがあります。CNAPP は、クラウドネイティブ環境におけるアプリケーションを保護するプラットフォームです。 クラウドネイティブアプリケーションとその基盤となるインフラストラクチャのリスクを特定、評価、優先順位付け、適応させるためのセキュリティソリューションのカテゴリです。クラウドセキュリティに対する従来のアプローチとは異なり、CNAPP の目標は、クラウドネイティブ環境に対して完全なエンドツーエンドのセキュリティを提供することです。
“エージェントレスワークロードスキャンは、一般的なアプローチであり、CNAPPのコア機能として期待されていますが、エージェントワークロードスキャンは最高の保護を提供します。”
CSPMとCWPPの融合機能
エージェントレスクラウドワークロードスキャンは、広範なクラウドセキュリティポスチャ管理 (CSPM) のための新しい技術で、インフラの誤設定に加えて、基本的なワークロードの可視性を提供します。この技術は、実行中のワークロードのブロックストレージボリュームのスナップショットを取得し、クラウドプロバイダーの API を介してスキャンすることで動作します。この方法は、クラウドワークロードに対する迅速で非リアルタイムの可視性、リスク状態管理を提供すると同時に、脆弱性、マルウェア、シークレットなどの一部のリスク (すべてではない) を検出することができます。
エージェントは従来、クラウドワークロードプロテクション (CWPP) ソリューションで使用され、実行中のワークロードを脅威や攻撃からリアルタイムで保護するための強力なコントロールを備えています。また、インシデントレスポンス (IR) チームに、フォレンジックや調査のためのインシデントに関する豊富なデータを提供します。エージェントは、データの収集、システムアクティビティの監視、セキュリティポリシーの適用、疑わしい実行ファイルの停止などのアクションを実行します。エージェントテクノロジーのユニークな技術により、エージェントレススキャンテクノロジーを回避するファイルレスマルウェアなどの高度な攻撃を検出することができます。
サイバー攻撃の高度化やマルチクラウド環境の複雑化に伴い、可視化だけでは十分とは言えません。クラウドで効果的な保護を実現するには、プラットフォームでエージェントレスとエージェントの両方をシームレスに組み合わせ、リスクの優先順位付けと低減、そして最も高度なタイプの攻撃を検知して阻止することが必要です。
“2025年までには、60% の企業がクラウドワークロード保護プラットフォーム (CWPP) とクラウドセキュリティポスチャ管理 (CSPM) の機能を単一のベンダーに統合すると予想されます。”
ガートナー社では、単一ベンダーのアプローチを推奨
ガートナー社は、クラウドネイティブセキュリティが、現在利用されている10以上のツール/ベンダーから、数年後にはより現実的な2~3社に統合されると予想しています。これはマクロ経済的な懸念の結果であるという意見もありますが、セキュリティフレームワークに単一ベンダーのアプローチを採用する主な利点は、3つの原則に依存していることが研究により示されています。第1に、コンテキストを通じてより良いセキュリティを提供すること、第2に、管理やトレーニングが必要なツールの数を減らすことで運用の効率化を図ること、そして最後に、コストの削減です。
ほとんどの組織では、仮想マシンのために何らかの形でランタイム CWPP を導入していますが、コンテナやサーバーレスコンピューティングの採用が進む中、従来の CWPP はクラウドネイティブアプリケーションのテクノロジースタック向けに作られていないため、有効ではありません。多くの場合、開発中のコンテナイメージ用のスキャンツールと、CSPM 用の別のソリューションを選択しています。さらに、多くの組織では、異なる(あるいは時には重複する)機能のために複数のベンダーが存在し、ユーザと知見のサイロ化が進んでいます。そのため、リスクに関する統一されたイメージを作成することが難しくなっています。CNAPP ベースのアプローチに移行し、統合されたプラットフォームの相乗効果により、拡張が困難な Best of Breed 戦略よりも多くのメリットを得ることができます。
CNAPP は、最新のクラウドネイティブアプリケーションの複数のレイヤーにまたがる危険性の高いリスクを特定し、理解する必要があります。統合プラットフォームの一部であれば、エージェントとエージェントレスからのデータを組み合わせて点と点を結び、より大きなコンテキストを提供することで、セキュリティ問題の優先順位をより高くすることができます。その結果、攻撃対象領域を効率的に減らすだけでなく、攻撃をリアルタイムで阻止することができます。
Aquaのアプローチ
Aqua のビジョンは、クラウドネイティブアプリケーションのライフサイクル全体をカバーするエンドツーエンドのセキュリティソリューションを、1つの包括的なプラットフォームで提供することです。真の CNAPP となるためには、シフトレフトスキャン、幅広い可視性、そして進行中の攻撃を検出して阻止できる強力なランタイムコントロールを含むソリューションが必要だと、私たちは常に考えています。Aqua は、業界初で唯一の統合型クラウドネイティブアプリケーション保護プラットフォームを提供します。Aqua Cloud Security Platform は、スキャンと可視化からランタイムワークロード保護まで、顧客の体験をサポートします。この単一プラットフォームのアプローチは、脅威を特定するためのより良いコンテキストと優先順位付けをユーザに提供するため、導入初日から顧客のクラウドネイティブ資産をリアルタイムに保護することができます。簡単に言えば、私たちは他の人が見ていないものを見て、他の人ができないものを止めるのです。
CNAPP 市場の詳細については、「Gartner Market Guide for Cloud-Native Application Protection Platforms」で、Aqua プラットフォームがクラウドネイティブ環境全体の可視化とリスク排除にどのように貢献できるかをご覧ください。