NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2024.8.26技術トレンド/展望

CNAPPとは?―複雑化するパブリッククラウドのセキュリティ対策

パブリッククラウド利用の増加に伴い、設定ミスによる情報漏洩などのインシデントが年々増加傾向にある。本記事では、パブリッククラウド利用時のセキュリティ対策として、近年注目されているCNAPP(Cloud Native Application Protection Platform)について解説する。パブリッククラウド特有のセキュリティ対策の問題に触れ、それらに対処するためのセキュリティ機能やCNAPP導入のポイントを説明する。パブリッククラウドのセキュリティ対策に課題を抱えている方に、ぜひご一読いただきたい。
目次

パブリッククラウドでのセキュリティインシデントの増加

PaaSやIaaSなどのパブリッククラウドの利用は年々増加しており、パブリッククラウド上でのシステム開発が主流となっています。その一方で、国内外のパブリッククラウド上で、情報漏洩などの重大なインシデントが発生しています。

2023年には、MicrosoftのAI研究者がGithubを通して38TBの機密性の高いデータを誤って公開したインシデントが発生しています。原因は、クラウドストレージサービス「Azure Storage」からデータを共有できる機能「SASトークン」の設定ミスでした(※1)

こうしたパブリッククラウド上でのインシデントは、年々増加する傾向にあります。トレンドマイクロが調査した2023年から2024年のクラウドへのサイバー攻撃被害公表件数は、前年を上回る勢いで増加しています(※2)

パブリッククラウドへのサイバー攻撃や設定ミスによる情報漏洩を防ぐには、脆弱性や設定ミスに対処することを含む、総合的なセキュリティ対策が必要です。
本稿では、サイバー攻撃の脅威や情報漏洩のリスクからパブリッククラウドを守るための有効な方法を紹介します。パブリッククラウドを利用中、または利用を検討しており、現状のセキュリティ対策に不安を感じている方や、効果的なセキュリティ対策の情報をお探しの方に、本稿が参考になれば幸いです。

(※1) Microsoft Security Response Center, Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token

https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token/

(※2) Trend Micro, 2024年上半期セキュリティインシデントを振り返る

https://www.trendmicro.com/ja_jp/jp-security/24/f/expertview-20240628-02.html

パブリッククラウド特有のセキュリティ対策の問題

パブリッククラウドで発生する設定ミスは、システム開発や運用を行う方のクラウドに関する技術スキル不足や注意不足が原因であるため、セキュリティ教育や運用の見直しを行えば解決できると思うかもしれません。しかし、以下の理由から、担当者の技術スキルや注意力が向上するだけでは、解決は難しいのです。

  • パブリッククラウドで提供されるサービスは多岐にわたり、仕様変更や新しいサービスのリリース、マイナーな変更のペースも速いため、担当者がすべての仕様を正確に理解してミスなく設定することは難しい
  • メインのクラウドプラットフォームに別のクラウドベンダーのSaaSを組み合わせるシステム構成では、各クラウドベンダーのサービス仕様を把握し、それぞれに必要なセキュリティ対策を講じなければならず、一貫したセキュリティ対策が困難になる
  • 負荷分散やフェールセーフのため、同一パブリッククラウドで複数のアベイラビリティゾーン(AZ)やリージョンを組み合わせるシステム構成では、ネットワーク設定やアクセス制御が複雑になるので、設定ミスが発生しやすくなる
  • たとえばAmazon Web Services(AWS)は、セキュリティ情報を管理するAWS Security Hubや設定ミスを検知するAWS Config、脅威検出を行うAmazon GuardDutyなどのセキュリティサービスを提供している。複数のパブリッククラウドサービスを利用する組織の担当者は、これらのセキュリティサービスを複数のプラットフォームで運用管理しなければならず、大きな負担を強いられる
  • クラウドネイティブアプリケーションは、複数のコンテナが相互通信をする複雑な構成が多く、監視や脆弱性対策が難しい

このようなパブリッククラウド特有のセキュリティ対策の問題を考慮しなければなりません。そこで、この問題を解決する手段として、近年注目されているのが「CNAPP」と呼ばれるセキュリティ製品です。

CNAPPの機能

上記の問題を解消すべく、複数のセキュリティ機能を一つのプラットフォームに統合し、開発から運用までの一連のライフサイクルでセキュリティを担保するセキュリティ製品がCNAPPです。CNAPPとは「Cloud Native Application Protection Platform」の略称で、米国の調査会社Gartner®は「クラウド・ネイティブ・アプリケーション保護プラットフォーム(CNAPP)は、開発環境と本番環境の両方でクラウド・ネイティブ・アプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連した機能のセットである。」(※3)と定義しています。CNAPPは、図に示す複数の機能を持っています。クラウド基盤を保護するCSPMやアプリケーションを安全に保つためのCWPPが中核的な機能です。

図:CNAPPを構成する機能

図:CNAPPを構成する機能

以下の表1でCNAPPの5つの機能を説明します。各機能は異なるセキュリティ対策の問題を対処していますが、それぞれの機能が連携して補完しあうことで、パブリッククラウドを全体としてより強固にセキュリティ対策することが可能です。

表1:CNAPPを構成する機能の説明

機能名 機能説明 解決例
CSPM
(Cloud Security Posture Management)
  • パブリッククラウドのセキュリティ設定状況を可視化
  • 設定ミスや管理不備、コンプライアンス違反を検出
  • パブリッククラウドのサービス仕様変更に気づかないで設定漏れなどの問題が発生したことをすぐに通知したり、設定を自動的に修正したりして被害を防ぐ
CWPP
(Cloud Workload Protection Platform)
  • クラウドワークロード(仮想マシン、コンテナ、サーバレス、ストレージ、ネットワーク)の監視や保護
  • 脆弱性対策や侵入防止、マルウェア対策
  • さまざまな種類の複数のクラウドワークロードに対して、一括してセキュリティ対策が可能
CIEM
(Cloud Infrastructure Entitlement Management)
  • アカウント設定とリソースへのアクセス権限の割当てを管理
  • 権限の過剰付与の検知
  • 未使用アカウントの可視化
  • 大規模な組織の大量のアカウント管理やアクセス権の適切な設定が可能。放置アカウントやアクセス権付与ミスを軽減する
IaC
(Infrastructure as Code)Scanning
  • 仮想マシンやネットワークなどのクラウドインフラの構成や設定をlaCへコード化して管理
  • IaCのコードをスキャンして脆弱な設定や構成エラーを検出して修復
  • クラウドインフラの構成や設定をコードで記述できるので管理がしやすい
  • クラウドインフラの構成や設定をテンプレート化して、自動でクラウドインフラを構築できる
  • IaCのスキャン機能で、手動でクラウドインフラを構成したり設定したりしたときよりも、ミスやエラーを削減
KSPM
(Kubernetes Security Posture Management)
  • Kubernetes環境のセキュリティとコンプライアンスを管理
  • Kubernetesクラスタ内の誤った設定の検出
  • 脆弱性スキャン、ログ監視、ポリシー管理
  • Kubernetesクラスタ全体を一元管理でき、複雑な構成で発生しやすい設定ミスを検出することが可能
(※3) Gartner®, クラウド・ネイティブ・アプリケーション保護プラットフォームのマーケット・ガイド, Yuichi Isoda, 5 October 2023

GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.

CNAPP製品の導入検討のポイント

先に説明したように、パブリッククラウドのセキュリティ対策を行うには、パブリッククラウドベンダーが提供しているセキュリティサービスを利用する方法やCNAPP製品を導入する方法があります。利用しているパブリッククラウドやセキュリティ対策のニーズ、予算などに合わせて自組織に最適な方法を選択します。以下の表2では、パブリッククラウドベンダーが提供しているセキュリティサービスを利用して自前で運用する方法とCNAPP製品を導入して運用する方法を比較し、参考となるポイントをまとめています。

表2:CNAPP製品の導入検討のポイントと具体的な導入ケース

導入方法 特徴 導入ケースの例
パブリッククラウドベンダーが提供しているセキュリティサービスを利用して自前で運用する方法
  • クラウドサービスの管理コンソール上から機能を有効化するだけで、セキュリティ対策を始めることが可能
  • CNAPP製品と比べて導入費用が安価
  • パブリッククラウドベンダーが提供する基本的なセキュリティ対策を行えればよい場合
  • 管理対象のパブリッククラウド上のシステム数が多くない場合
CNAPP製品を導入して運用する方法
  • 複数のセキュリティ機能をまとめて可視化、操作できる
  • 少人数でもパブリッククラウド上の複数システムのセキュリティ管理が可能
  • パブリッククラウドベンダーが提供する基本的なセキュリティ対策よりも高度なセキュリティ対策が可能
  • 組織内に多数のパブリッククラウドを利用したシステムが存在して、まとめて管理をしたい場合
  • 組織内に多数のパブリッククラウドを利用したシステムが存在して、少人数で管理を行う場合
  • 複数のパブリッククラウドベンダーのサービスを組み合わせたシステム構成で、一貫したセキュリティ対策を行う場合

さいごに

パブリッククラウドサービスは、多種多様なパブリッククラウドサービスと連携して複雑化しているため、担当者が手動で行うセキュリティ対策では不十分です。開発から運用までの全体をカバーするセキュリティ対策として、本稿で説明をしたCNAPP製品の導入が有効な方法です。CNAPP製品を導入すれば、複数のパブリッククラウドサービスを一元管理でき、複数のセキュリティ機能を統合してGUI上で視覚的に利用できるため、作業負荷を軽減できます。

特に、大規模な組織で複数のパブリッククラウドを利用したクラウドサービスを管理する必要がある場合や、セキュリティ管理の運用負荷を削減したい場合に、CNAPP製品の導入は効果を発揮します。その一方で、導入にはコストがかかるため、費用対効果を考慮し組織に最適な方法を選択する必要があります。CNAPP製品の導入の検討の際に、本稿で紹介をしたポイントが参考となれば幸いです。

サイバーセキュリティについてはこちら
https://www.nttdata.com/jp/ja/services/security/

A-gate®についてはこちら
https://www.nttdata.com/jp/ja/lineup/a_gate/

お問い合わせ

続きを読む