CNAPPとは?CNAPPの機能とクラウドネイティブアプリへの導入メリット
CNAPPとは、クラウド環境の脆弱性の検出や対処を目的とした、オールインワンのプラットフォームのことです。CNAPPの導入により、サイロ化したセキュリティ対策ソリューションが統合されるため、クラウド上の情報を効率よく一元管理できるようになります。
昨今ではクラウドサービスの普及により、企業の情報がクラウドに集約されるようになったことから、サイバー攻撃への対策が重要視されています。そのような中で、CNAPPソリューションはセキュリティ対策の有効な手段として注目を集めています。
本記事では、CNAPPの概要や仕組み、構成要素を解説します。CNAPPの注目理由や導入のメリットもわかりやすくまとめました。パブリッククラウドのセキュリティ対策を調べる中で、CNAPPをはじめて聞いて基本から知りたい方は、ぜひ参考にしてください。
CNAPPとは
ここではCANPPの概要と仕組みを解説します。
CNAPPの概要
CNAPPは「Cloud Native Application Protection Platform」の略で、「シーナップ」と読みます。新しいクラウドセキュリティの概念・カテゴリーとして、2021年8月にアメリカのガートナー社によって提唱された造語であり、その特徴は、多種多様なクラウドセキュリティの機能がまとめられていることです。
CNAPPの仕組み
CNAPPの仕組みを解説します。
セキュリティ対策に、CWPPやCSPM、CIEMなどを用いても、サイロ化し連携できないことがあります。
CNAPPでは、これら複数の構成要素(コンポーネント)を統合することで、クラウドネイティブアプリケーションのセキュリティを強化します。また、CNAPPによりセキュリティツールの複雑さが軽減されるため、クラウドインフラストラクチャ全体のリスクの可視性が高まります。なお、上に挙げたCWPP、CSPM、CIEMは後述します。
CNAPPの具体的な仕組みは以下の通りです。
- アプリケーションのクラウド環境にデプロイされた全ワークロードを検出
- 自動的に評価を実行
- ネットワーク監視・問題検出
- 組織の情報セキュリティポリシーに沿ったセキュリティポリシーを適用
CNAPPが注目を集める理由
CNAPPが注目を集める大きな理由は、クラウドサービスの普及と利用方法の多様化です。これまでのオンプレミス環境から、SaaSやPaaS、IaaSなどのさまざまなクラウドサービスが多く活用されるようになりました。
クラウド環境への移行が進む中で、各企業が有するヒト・モノ・カネの情報資産がクラウドに集約されるようになっています。
クラウド側の情報価値が高まった結果、サイバー攻撃からの脅威に晒されやすくなりました。クラウドサービスは、社内にサーバを設置するオンプレミスとは異なり、重要な情報を企業の外部で保管しなければなりません。そのためクラウドネイティブに対応したセキュリティ対策が求められるようになっています。
また、クラウドサービスは誰でも手軽に始めやすい分、知識不足の利用者や、不慣れな担当者による誤操作や情報漏えいも起こりやすくなっています。具体例として挙げられるのが、管理者権限や公開設定の権限のあるIDの設定ミスです。
人為的脆弱性も、サイバー攻撃が増えている要因の1つです。このような背景から、クラウドサービスのセキュリティ対策を盤石にするCNAPPが注目を集めているのです。
既存のCNAPPの多くは、3大クラウドプロバイダーである、アマゾンウェブサービス(AWS)、Microsoft Azure、Google Cloud Platform(GCP)をサポートしています。CNAPPのソリューションを選定する際は、自社インフラのサポートが可能なものを選びましょう。
CNAPPの導入メリット4つ
CNAPPの導入メリットを4つ紹介します。
- リスクの可視化によるクラウドセキュリティ強化
- タスクの自動化によるヒューマンエラー削減
- 設定ミス削減によるセキュアなソフトウェア開発
- セキュリティ一元管理による運用効率化
それぞれ詳しく解説していきます。
1. リスクの可視化によるクラウドセキュリティ強化
リスクの可視化により、クラウドセキュリティを強化できます。
先に触れた通り、CNAPPには複数のクラウドセキュリティ機能が統合されています。そのため、開発(コード・ビルド・テスト)から運用にいたるアプリケーションのライフサイクル全体にわたって、一貫した脅威の検出と可視化が可能です。
脅威に対して迅速な対応をしたり、攻撃を分析したりすることで、クラウドネイティブ環境のサイバー攻撃を回避できます。
2. タスクの自動化によるヒューマンエラー削減
タスクの自動化により、ヒューマンエラーの削減も期待できるでしょう。
CNAPPは複数のソフトウェアを同時に管理し、タスクを自動化します。これにより人的作業が削減されるため、ヒューマンエラーにより発生し得るミスの最小化ができます。
信頼性の高いセキュリティ環境を作るために、CNAPPは重要な役割を果たすでしょう。
3. 設定ミス削減によるセキュアなソフトウェア開発
CNAPPにより設定ミスが削減されるため、よりセキュアなソフトウェア開発が実現します。
CNAPPは、セキュリティを脅かすクラウドの設定ミスを検出し、特定することが可能です。設定ミスを適切に管理して削減することで、サイバーセキュリティの脅威を回避することができ、ソフトウェアの開発とリリースを安全におこなえます。
4. セキュリティ一元管理による運用効率化
セキュリティ一元管理による運用効率化も、CNAPPを導入する大きなメリットです。
CNAPPを導入すると、クラウドのセキュリティを一元管理できます。そのため、セキュリティ対策や運用を効率化できるでしょう。開発部門や運用部門、セキュリティ部門など、部門間でのシームレスな連携により、より情報共有がしやすくなります。
これにより、バグ修正やマージされるプルリクエストの削減が実現します。
CNAPPの5つの構成要素
以下では、CNAPPの5つの構成要素をご紹介します。CNAPPソリューションに含まれる機能は製品によって異なりますが、以下では主な構成要素について解説します。
- CSPM
- アーティファクトスキャン
- CWPP
- CIEM
- IaC
1つずつ見ていきましょう。
CSPM
CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは、クラウドサービスのセキュリティ設定を適切に管理するための要素です。
クラウドサービスのセキュリティの設定状況を可視化し、不適切な設定や脆弱性、コンプライアンス違反がないかどうかを継続的に監視します。
CSPMにより、潜在的なセキュリティの問題が早期に特定されるため、悪用される前に対処できます。
アーティファクトスキャン
アーティファクトスキャンは、CNAPPの重要な構成要素の1つです。アーティファクトスキャンには、以下が含まれます。
- SASTとDAST…静的テスト(SAST)と動的テスト(DAST)。SASTは保存中のソースコードを分析してセキュリティ上の欠陥を検出。DASTはプログラムを実行中の状態でアプリケーションをテストする。
- APIスキャン…API内に潜むセキュリティ上の脆弱性を特定して対策する。
- ソフトウェア構成分析(SCA)…使用中のアプリケーションのコードベースを自動でスキャンし、OSSやライブラリを特定解析する。
CWPP
CWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)は、コンテナやサーバレス環境(ワークロード)を監視・保護するプラットフォームのことです。多様な種類のワークロードを、包括的に保護するように設計されています。
例えば、コンテナへの攻撃を可視化したり、脆弱性の問題を検出したりする機能があります。
CWPPの機能によりワークロードの整合性が保たれるため、サイバー攻撃から保護できるほか、適切なコンプライアンスの管理が可能です。
CIEM
CIEM(Cloud Infrastructure Entitlement Management:クラウド基盤権限管理)は、アカウントの設定とアクセス許可、権限の割り当てなどを適切に管理するためのセキュリティ・プロセスで、「キーム」と読みます。
CIEMはアカウントの権限を最小化し、過剰な権限の付与を防ぎます。例えば、「長期間使用されていない不要なアカウント情報が取り消されないままになっている」といった事態をカバーできます。
IaC
IaC(Infrastructure as Code)は、インフラの構成や設定情報をコードで管理します。アプリケーションの実行に必要な過程を自動化し、本番環境でセキュリティに問題が生じる事態を防ぎます。
このように、さまざまなクラウドセキュリティツールが統合されたCNAPPの導入により、セキュリティツールを1つひとつ実行するよりも時間を短縮できます。
クラウドサービスは親しみやすい一方で、セキュリティ知識がなければ設定を間違えるリスクがあります。情報漏えいやサイバー攻撃を受ければ、企業は損失を被るでしょう。
CNAPPによりヒューマンエラーを防ぐことで、脆弱性の解消につながります。
「yamory」によるCNAPPの対応
昨今のセキュリティ対策は多岐にわたるため、どのツールをどのような優先順位で導入すべきかお悩みの方もいるかもしれません。
オールインワン脆弱性対策クラウド「yamory(ヤモリー)」は、ITシステムの脆弱性を自動で検知し、適切に管理・対策できるクラウドサービスです。
ソフトウェアの脆弱性管理やセキュリティ診断、クラウド設定管理(CSPM)の要素を備えており、ITシステムに必要な脆弱性対策をオールインワンで実現します。
以下では、yamoryによるCNAPPの対応を紹介します。
- 脆弱性スキャン
- ソフトウェアコンポジション解析(SCA)
- クラウド設定管理機能
- SBOM機能
脆弱性スキャン
yamoryの脆弱性スキャンには、アプリライブラリスキャン、ホストスキャン、クラウドアセットスキャンの3つがあります。それぞれの特徴と役割は以下の通りです。
- アプリライブラリスキャン…ソフトウェアの依存関係を正確にスキャンします。また、依存のツリー構造ごとにデータベース化し、可視化します。
- ホストスキャン…SSH接続による内部ホストのスキャンに対応しています(※)。
- クラウドアセットスキャン…AWSのアカウント連携のみで内部のサーバー、コンテナイメージ、アプリライブラリを自動認識。脆弱性および設定不備の自動検出が可能です。
※ホストスキャンのサポート範囲とスキャン対象はこちら
例えば、実際にyamoryを導入しているKDDI株式会社様では、GitHubにPushするビルドスクリプトの中で常にスキャンを使用しており、Immediateが検知されたらすぐにビルドパイプラインを止めて対応し、終わり次第リリースできる仕組みを整えています。
クラウド設定管理機能
OSSの脆弱性のみならず、yamoryはクラウド設定不備にも対応しています。
クラウド設定管理機能は、CSPMに対応している機能です。クラウドインフラの設定不備によるセキュリティリスクを自動で検知し、管理できます。
脆弱性管理からEOL、CSPMまでITシステムのリスク管理を一元化した弊社の事例もご覧ください。
株式会社ラキール様では、クラウド設定管理機能の備わったyamoryの導入により、セキュリティ対策の個別のツールを導入することなく、yamory1つでITシステム全体のリスクを一元管理できるようになりました。
ソフトウェアコンポジション解析(SCA)
ソフトウェアコンポジション解析(SCA)は、OSSのソフトウェア・コンポーネントによってもたらされる潜在的な脆弱性リスクを特定し、管理するソリューションです。
yamoryでは、Webアプリケーションが使用しているOSSの一覧を可視化し、脆弱性が存在するOSSを見つけられます。
関連記事:ソフトウェアコンポジション解析(SCA)とは?機能やおすすめツールを紹介
BIPROGY株式会社様では、アプリケーションからITインフラストラクチャーまでの総合的なセキュリティ対策の強化を推進しています。そこで、SCA機能の備わったyamoryの導入により、使いやすく手間をかけずに早期に脆弱性を確認できるようになりました。
SBOM機能
SBOM(ソフトウェア部品表)は、製品に含まれるソフトウェアを構成するコンポーネントやそれぞれの依存関係、ライセンス情報などを一覧化したものです。詳しくは「SBOMとは?導入メリットやSPDX・CycloneDXの違いをわかりやすく解説」で解説しています。
yamoryは、SBOMの標準フォーマット2種類(SPDX、CycloneDX)に対応しています。ソフトウェア名称の表記揺れ対応や、SBOM情報と脆弱性情報を高い精度でマッチングなど、SBOM機能に関する特許を取得しているのが特徴です。
具体的には、以下の機能に対応しています。
- ソフトウェアの自動検出(依存関係を含む)
- SBOMのデータベース管理と横断検索
- SBOMのファイル出力(SPDX、CycloneDX)
- 脆弱性管理
- オープンソースライセンス違反リスクの検出
損保事業や介護事業を手がけるSOMPOホールディングス株式会社様では、効率的なSBOM対応やグループ全体でのセキュリティ強化のためにyamoryを導入しました。アプリからサーバー、インフラ面まで一貫して管理できるようになりました。
SBOM機能の活用事例(SOMPOホールディングス株式会社様)
クラウドサービスのセキュリティ対策は「yamory」にご相談を!
昨今ではクラウドサービスの利用増加に伴い、クラウドはサイバー攻撃の対象とされています。このような中、セキュリティ対策・強化につながるCNAPPは、サイバー攻撃への対抗手段としてますます欠かせない存在になっていくことでしょう。
サイロ化されたクラウドセキュリティツールを統合するCNAPPは、今後も多くの機能の搭載が見込まれます。
膨大な量のセキュリティ対策を、人の手で1つひとつ対応するには限界があります。また、「今までこうしてきたから」という対応では、膨大かつ高速のサイバー攻撃に太刀打ちできなくなるかもしれません。
セキュリティ対策でお悩みなら、自社に合ったセキュリティソリューションを導入することが大切です。
株式会社アシュアードが提供する「yamory」なら、ITシステム全レイヤーの脆弱性対策の運用・管理までをオールインワンで実現します。シフトレフトによる脆弱性の早期発見ができ、セキュアな開発を進められます。
CNAPPでは、脆弱性スキャン、ソフトウェアコンポジション解析(SCA)、クラウド設定管理機能、SBOM機能に対応しています。個別のツールを1つずつ管理する手間がなく、わかりやすい操作感も魅力です。「1つのツールでITシステム全体のリスクを一元管理したい」とお考えの方は、ぜひご検討ください。