CWPP（Cloud Workload Protection Platform）とは、クラウドワークロードのセキュリティを保護するためのプラットフォームのことです。ワークロードとは、クラウド環境で実行されるアプリケーション、Webサーバー、データベース、ストレージ、アプライアンスのIT資産全般です。ワークロードには仮想マシン（VM）、コンテナ、サーバーレス環境などが含まれ、それぞれの環境でおこなわれる一連のタスクや業務処理、さらにはリソースの集合体と表現されることもあります。

クラウド環境のワークロードを「クラウドワークロード」といいます。CWPPの対応範囲には、クラウド上の仮想化された環境やコンテナも含みます。また、CWPPはAWSとMicrosoft Azureなどマルチクラウド環境でも有効です。

CWPPの概要

CWPPは、クラウドのワークロードとコンテナ、オンプレミスの物理サーバー、サーバーレスアプリケーション、コンプライアンスなどを継続的に監視し、マルウェア感染などのサイバー攻撃からの脅威を解消します。

おもな機能と役割は以下の通りです。

展開されたすべてのクラウドワークロードの自動検出、および継続的な監視
ネットワークの監視による問題の迅速な検知
自社のポリシーに基づくセキュリティ標準の適用

CWPPソリューションの多くは、ソフトウェアの新しいバージョンや機能変更に対応していることも特徴です。CWPPの導入により、企業は最新の脅威に対して、クラウド環境のセキュリティを強化することが可能です。

CWPPが重要視される3つの理由

CWPPが重要視される以下3つの理由を詳しく解説します。

クラウドシフトの加速
サイバー攻撃の脅威
ワークロードの多様性

1つずつ見ていきましょう。

1. クラウドシフトの加速

2020年以降、新型コロナウイルス感染症の影響によりテレワークが広く普及しています。これに伴い、日本国内でもクラウドシフトが加速し、企業の情報資産がクラウド側へ集約されるようになりました。

また、働く場所を問わないテレワークの広まりにより、社外でPCやタブレット、スマートフォンなどからクラウドを利用する人が増加しています。

このような状況下で、クラウド環境におけるセキュリティリスクの適切な管理が求められているのです。CWPPはセキュリティ対策に欠かせないソリューションとして、ますます重要視されています。

2. サイバー攻撃の脅威

昨今は、世界各国でクラウド環境を狙ったサイバー攻撃が相次いでいます。

サイバー攻撃は日々高度化が進み、手口も巧妙化しているのが現状です。そのため、APIを悪用した不正アクセスや、ランサムウェアによるサイバー攻撃など、あらゆる手を使って攻撃される可能性があります。

従来のセキュリティ対策だけでは、これらの脅威に対して適切に対応できない現状にあります。そこで、CWPPを含むクラウドセキュリティソリューションを導入する企業が増えているのです。

3. ワークロードの多様性

クラウドシフトが進み、さまざまなサービスを利用できるようになったことから、クラウドワークロードが多様化しています。しかし、その結果、従来のセキュリティ対策では対処しきれないリスクも生じるようになりました。

クラウド上にはIaaSやPaaS、コンテナ、VM、サーバーレス環境など、さまざまなワークロードがあります。これらを包括的に保護するためにも、CWPPによるセキュリティ対策の統一が求められているのです。

CWPPの導入メリット

CWPPを導入するメリットを解説します。

コンプライアンスの遵守
セキュリティ対策の効率化
人的リソースの削減
ハイブリッド、マルチクラウド環境でのワークロード保護
コスト削減

それぞれ見ていきましょう。

コンプライアンスの遵守

CWPPによりワークロードのセキュリティを一元管理することで、企業が従うべき法令や規制を遵守できます。これにより、適切なコンプライアンス対策を維持できます。

コンプライアンス要件には、法令や業界特有の標準や規制があります。たとえクラウド基盤の管理者が不在でも、これらを遵守したセキュアなクラウド環境を継続的に提供できるのがCWPPです。対応をセキュリティの基準となる代表的なフレームワークは、以下の通りです。

GDPR（EU一般データ保護規則）
ISO/IEC 27000シリーズ
NIST CSF（NISTサイバーセキュリティフレームワーク）
PCI-DSS
CIS Controls

セキュリティ対策の効率化

CWPPの分析機能により、セキュリティ対策の優先順位づけがしやすくなります。何を対策すべきか明確になれば、セキュリティ対策のプロセスをより効率化できるでしょう。

また、CWPPにより多様化したクラウドワークロードの統合的な管理も可能です。ベンダーやワークロードごとのセキュリティ対策も必要ないため、よりシンプルな管理フローになるでしょう。

人的リソースの削減

CWPPの導入により自動化できる範囲が増えれば、人的リソースを大幅に削減できます。セキュリティリスクの検知や可視化が自動化されるため、セキュリティ担当者はコア業務により集中できるでしょう。

外的リソースに頼っていた場合は、人件コストを削減できるかもしれません。

ハイブリッド、マルチクラウド環境でのワークロード保護

CWPPの導入により、ハイブリッドやマルチクラウド環境でのワークロード保護を実現できます。従来のサイバーセキュリティモデルでは、IaaSを考慮した構築がされていませんでした。

しかし、CWPPでは、ハイブリッド、マルチクラウド環境下のワークロードの保護が可能です。異なるクラウドプロバイダーやオンプレミス環境で展開されるワークロードも一元的に管理・監視でき、統一されたセキュリティポリシーを適用できるようになります。

コスト削減

コスト削減ができる点もCWPPを導入するメリットです。オンプレミスのセキュリティソリューションを導入する場合、システム構築のための初期費用がかかります。

一方CWPPはクラウドベースのソリューションであり、サービス提供者がインフラの管理を行います。そのため、初期費用やメンテナンスにかかる費用を削減できます。

また、使用量ベースの課金であることが多いため、オンプレミス環境のソリューションよりも、大幅なコスト削減につながるでしょう。

CWPPの主な機能

CWPPの主な機能を解説します。具体的な機能には、以下の8つが挙げられます。

脅威検出
コンプライアンス違反の検出
ワークロードの脆弱性管理
ワークロードの可視化
マルウェア対策スキャン
侵入防止
許可リスト
システム完全性保証

1つずつ詳しく見ていきましょう。

1. 脅威検出

CWPPは、クラウドワークロードのセキュリティを継続的に監視するシステムです。不審なアクセスやウィルスの侵入、サーバー・アプリケーションの疑わしい動作など脅威があれば検出し、自動で制御します。

また、検出された脅威については、詳細な分析と報告を提供し、セキュリティインシデントに対する対応をサポートします。これにより、企業は最新の脅威に対して迅速に対応し、クラウド環境の安全性を確保することが可能です。

2. コンプライアンス違反の検出

コンプライアンス違反の検出も、CWPPの重要な機能の1つです。

守るべきコンプライアンスは、企業や属する業界によって大きく異なります。企業によって採用しているフレームワークや、業界ごとの統制基準が異なるためです。

CWPPでは、企業が設定しているセキュリティポリシーに従い、適切にワークロードが運用されているか監視します。ポリシー違反があれば即座に検出し、自社の要件に応じた運用をサポートします。

この機能により企業の規制要件を遵守できるほか、セキュリティポリシーに基づいた運用の確保にも役立ちます。

3. ワークロードの脆弱性管理

CWPPは、クラウド上で実行されるアプリケーションやソフトウェアのセキュリティ評価を行い、潜在的な脆弱性やセキュリティリスクを早期に検出します。

また、ワークロードが公開される前に脆弱性を特定することで、システムへの攻撃やインシデントに対してより強固な対策を取ることが可能です。ワークロードの脆弱性管理は、深刻なトラブルを未然に防ぐために欠かせない機能の1つです。

4. ワークロードの可視化

CWPPは攻撃者からの侵害を防ぐために、ネットワークを小さく分割する「マイクロセグメンテーション」をおこない、ワークロードを可視化します。これにより、攻撃者はネットワークを一度に侵害しにくくなります。

また、各セキュリティ状況を一元管理できるダッシュボードも便利に活用できます。脅威の検出結果やリスクレベル、ボリシー違反の有無などが見やすく表示されるため、セキュリティ対策の運用を効率よく進められるでしょう。

5. マルウェア対策スキャン

CWPPには、ワークロード内のマルウェアをスキャンする機能もあります。定期的なワークロードのスキャンにより、潜在的なマルウェアや悪意のあるプログラムを早期に発見し、迅速に対処します。

既知の脅威やマルウェアの検出はもちろん、機械学習機能により、異常な挙動やパターンをもとにして未知の脅威も検知できるのが特徴です。インフラストラクチャに入る前に脅威を検出し、トラブルが生じる前に問題を迅速に排除します。

6. 侵入防止

CWPPには、外部からサーバーへの侵入防止機能もあります。ホスト型の侵入防止システム（HIPS：Host-based Intrusion Prevention System）により、ホストで侵入防止機能を実行します。

ネットワーク上で悪意のあるソフトウェアや不審なアクティビティがないか継続的に監視し、早期に検出することが可能です。企業のポリシー違反や異常な挙動が検出された場合、CWPPが問題を解消します。

7. 許可リスト

アプリケーションの許可リストに基づき、インストールの許可とブロックをおこなうことも、CWPPの特徴の1つです。

企業が承認していないソフトウェアがインストールされると、セキュリティ管理が困難になる可能性があります。また、潜在的な脅威を抱えたゲートウェイを、知らない間に抱え込んでしまうリスクもあります。

CWPPの許可リストを用いれば、許可されていないアプリケーションはインストールできないため、このようなリスクの軽減が可能です。

8. システム完全性保証

完全性保証とは、必要なデータや情報が揃っていて、システムに不具合や欠損がなく最新の状態を保証することです。かつ、意図したとおりにシステムが動くことも、重要なレイヤーです。

CWPPでは、クラウド環境ですべてのシステムが適切に動作しているかどうかを監視します。これをシステム完全性保証といいます。

CWPPとSSPM、CSPM、CASBとの違いは？

CWPPと比較されるソリューションには、SSPM、CSPM、CASBなどが挙げられます。以下では、CWPPと各ソリューションの違いをまとめました。

CWPPとCSPMとの違い
CWPPとSSPMとの違い
CWPPとCASBとの違い

それぞれ解説します。

CWPPとCSPMとの違い

CWPPは、CSPM（Cloud Security Posture Management）とともにCNAPP（Cloud Native Application Protection Platform）の構成要素に含まれています。

CNAPPとは、クラウド環境における脆弱性の検出や対処を目的とした、オールインワンのプラットフォームのことです。米国の市場調査会社であるGartnerが2021年に提唱したことで、広く知られるようになりました。

CWPPとCSPMの違いは、検出の対象です。

CWPPは、クラウドワークロードをメインに、クラウド内部で動作するソフトウェアやシステム内部の脅威を検出します。一方でCSPMは、外部クラウドのコンプライアンス違反や設定ミスを検出します。

CWPPとSSPMとの違い

SSPM（SaaS Security Posture Management）は、上述したCSPMのうち、SaaSアプリをターゲットにしたシステムです。SSPMもCSPMと同様に、内部ではなく外部クラウドのコンプライアンス違反や設定ミスを検出します。

また、CWPPはPaaSやIaaSなど、包括的なクラウド環境に対応している一方、SSPMはSaaS特有のニーズに特化させたソリューションです。この点も違いの1つです。

CWPPとCASBとの違い

CASB（Cloud Access Security Broker）は、クラウドサービスへの不審なアクセスを監視したり、制御したりするソリューションです。また、必要に応じてアクセスをブロックする役割があります。

CWPPもCASBと同じく、クラウドサービス向けのセキュリティ対策ソリューションです。また、いずれも次世代セキュリティのゼロトラストセキュリティの一環だと考えられます。

ゼロトラストセキュリティとは、内部ネットワークと外部ネットワークを区別せず、すべてのリソースやアクセスを標準的に検証するセキュリティモデルです。ネットワークのすべてを信用しないことを前提にして検証し、セキュリティレベルを向上させます。

しかしCWPPは、クラウドワークロードに対して脆弱性対策やマルウェアの検出、侵入防御などのセキュリティ対策をおこなうため、CASBとは用途が異なります。

CWPPソリューションの選び方

CWPPソリューションの選び方を解説します。

自社の定めるセキュリティ要件に適しているか
マルチクラウド環境へのサポートに対応しているか
社員が使いこなせるか

CWPPの重要性を理解していても、どのようにソリューションを選ぶべきかわからない方もいるでしょう。それぞれのポイントを詳しく説明するので、自社に適切なCWPPソリューションを選ぶためにお役立てください。

自社の定めるセキュリティ要件に適しているか

CWPPを導入する前に、アプリケーションやデータ保護などのセキュリティ要件が、自社の定める具体的な要件に適しているか確認しましょう。具体的な確認事項は以下の通りです。

セキュリティポリシー・データ保護
ユーザーアカウント、アプリケーションに対する要件
法令・業界基準のコンプライアンス

これらの要件は、CWPPの設定はもちろんポリシー展開にも反映される必要があります。CWPPによって提供されるセキュリティ機能が、セキュリティ要件を満たすかどうか確認することが重要です。

マルチクラウド環境へのサポートに対応しているか

自社で利用しているクラウドサービスプロバイダに対応しているかどうかも重要です。

AWS、Azure、GCPなどメジャーなプロバイダであれば対応している可能性はありますが、対応内容はソリューションごとに異なるため注意しましょう。

マルチクラウド環境で使えるCWPPソリューションなら、複数のプロバイダを利用していてもセキュリティ対策を一元管理できます。

仮に現状は1つのプロバイダしか利用していない場合でも、事業の拡大などでマルチクラウド環境へ移行する可能性もあるでしょう。そのため、基本的にはマルチクラウドの環境で使えるソリューションをおすすめします。

社員が使いこなせるか

セキュリティ対策を強化していくと、ソリューションの管理やプロセスは複雑化していきます。できるだけシンプルな運用ができるよう、自社の担当者が使いこなせるソリューションを導入することも重要です。

特に以下の要素に着目して、自社で使い続けられるソリューションを導入しましょう。

UIのわかりやすさ・使いやすさ
アラート機能の使いやすさ
ワークフロー・自動化機能の柔軟性
レポーティングの見やすさ

CWPPを導入する流れ

スムーズに運用するためにも、CWPPを導入する際の流れを押さえておきましょう。CWPPを導入するステップは以下の通りです。

セキュリティ要件を洗い出す
ソリューションを選定する
導入計画を立てる
CWPPソリューションを導入する
社内教育を行う
運用と改善を実施する

1つずつ見ていきましょう。

1. セキュリティ要件を洗い出す

CWPPソリューションの導入前に、まずは自社のセキュリティ要件を明確にしましょう。以下のような要件を明文化して、ソリューションに求める機能を定義します。

データ保護に関する要件
アプリケーションのセキュリティ要件
自社のセキュリティポリシー
コンプライアンス要件

2. ソリューションを選定する

一口にCWPPソリューションといっても、さまざまな製品があります。複数のソリューションを比較して、自社の導入目的やセキュリティ要件に合ったものを選びましょう。

コストはもちろん、機能や対応範囲、運用元の信頼性などを比較検討することが大切です。先に触れた選び方のポイントも参考にしてみてください。

トライアル版を利用できるものも多いので、使用感を確かめて判断することをおすすめします。

3. 導入計画を立てる

ソリューションを選定したら、導入の計画を立てましょう。導入スケジュールや担当者のアサイン、予算の確保などを進めます。設計から導入時のテストまで漏れなく対応できるよう、関連する部署や職種のメンバーを適切に割り当てましょう。

自社で適切な人材を確保できない場合には、外部のリソースを活用するのも1つの手段です。

4. CWPPソリューションを導入する

適切なインフラ環境が整ったら、選定したCWPPソリューションを実際に導入します。インストール後は、自社の要件に合わせて設定しましょう。

導入後は動作の確認をおこなうために、ニーズや要件を満たしているかテストを実施します。

5. 社内教育をおこなう

スムーズな運用のために、導入後は社内教育をおこなうことも大切です。CWPPソリューションの使い方や、運用方法について関係者にレクチャーしましょう。

また、CWPPソリューションの重要性を広めるために、全社員に対してセキュリティリテラシーを高めるための研修などを実施することも有効です。

6. 運用と改善を実施する

CWPPソリューションの導入後は、実際にクラウドワークロードの監視を実施します。運用を通じて得られるフィードバックをもとにPDCAを回しながら、ソリューション運用の最適化を継続しましょう。

定期的に改善を重ねることで、多様化する脅威にも柔軟に対応できるでしょう。

オールインワン脆弱性管理クラウド「yamory」とは

クラウドサービスのセキュリティ管理・運用なら、「yamory」までご相談ください。

株式会社アシュアードが提供するyamoryは、ITシステムの脆弱性を自動で検知し、管理・対策できる「オールインワン脆弱性管理クラウドサービス」です。CWPPと合わせて活用することでより強固なセキュリティ運用を実現できます

使いやすいセキュリティ対策ソリューションをお探しの方は、ぜひyamoryをご検討ください。

CWPPとは？CSPMやSSPM、CASBとの違いや機能、導入の流れを解説

CWPPとは？

CWPPの定義