Wiz
すべての記事

CWPP とは? [クラウド ワークロード保護プラットフォーム]

Wiz エキスパートチーム
9 分で読めます
Container SecurityガイドWiz CWPP を試す

クラウド ワークロード保護プラットフォームとは何ですか?

クラウド ワークロード保護プラットフォーム (CWPP) は、さまざまな種類のクラウド環境にわたるクラウド ワークロードの継続的な脅威監視と保護を提供するセキュリティ ソリューションです。CWPP は、仮想化されたプライベート サーバーとパブリック クラウド インフラストラクチャ、オンプレミス データ センター、AWS Lambda などのサーバーレス ワークロード プラットフォームで実行されているクラウド ワークロードを保護します。

クラウド ワークロード セキュリティ(クラウド ワークロード保護とも呼ばれます) は、クラウドベースのワークロードを保護することを目的とした一連のセキュリティ制御です。

この包括的な保護機能により、CWPP は他のサイバーセキュリティ ソリューションよりも優れています。ガートナーの説明によると、CWPP は「場所に関係なく」ワークロードの保護者の役割を果たします。

Forrester Wave™: クラウド ワークロード セキュリティ、2024 年第 1 四半期

Forrester が Wiz を現在の製品の中で最高の評価とし、強力なパフォーマーとして評価した理由をご覧ください。

レポートをダウンロード

クラウド ワークロードとは何ですか? 

クラウド ワークロードは、特定のビジネス プロセスまたは機能を実行するために使用されるリソースのコレクションです。これらのリソースには、仮想マシン、コンテナー、データベース、アプリケーション、データが含まれます。クラウド ワークロードは、パブリック クラウド、プライベート クラウド、ハイブリッド クラウド環境など、さまざまなクラウド プラットフォームに展開できます。

CWPP はどのように機能しますか?

CWPP は、機械学習、動作分析、自動防御を組み合わせ、クラウド ワークロードがどこで実行されていても安全であることを保証します。CWPP は、小さなパターンや変化を注意深く調べ、システムにとって何が正常であるかを理解しようとします。この理解により、脅威となる可能性のある異常な点をすべて特定できます。即座に警告を発し、対応プレイブックをアクティブ化して、実際の損害が発生する前に潜在的なセキュリティ脅威を阻止できます。

CWPPは、ワークロード自体だけでなく、環境全体での相互接続も含めた完全なワークロードの可視性から始める必要があります。

CWPP の最初のステップは、ワークロードをスキャンしてセキュリティの脆弱性を見つけることです。次に、これらの脆弱性に対処するための修復アクションを提案します。最後に、既知の脅威が無力化された後も、CWPP は運用中または実行時に発生する可能性のある脅威にも注意を払います。

運用の観点から見ると、CWPP は、クラウド、ハイブリッド、オンプレミスを問わず、テクノロジー資産全体を一元的に確認できる単一の視点を提供するため、サイバーセキュリティ専門家の作業を容易にします。複数のセキュリティ ツール間でコンテキストを切り替えるのではなく、サイバーセキュリティ専門家は、ソフトウェア システム全体で対処する必要がある重要な問題にさらに集中できるようになります。

プロのヒント

Wiz Research チームは、クラウド環境の 58% に、クリアテキストの長期クラウド キーが保存された、公開されているワークロードが少なくとも 1 つあることを発見しました。これにより、VPC 内および VPC 間の横方向の移動のリスクが大幅に高まります。

もっと詳しく知る

詳細はこちら

CWPPのメリット

CWPP によって組織がテクノロジー スタック全体にわたって潜在的な脆弱性をエンドツーエンドで回避できるようになる主なメリットを見てみましょう。

  • 徹底的な可視性: CWPP はクラウドベースのアプリケーションの可視性を強化し、セキュリティ チームがアクティビティを精査し、異常を特定し、脅威に対して精密に先手を打つことができるようにします。これにより、潜在的なセキュリティ リスクをリアルタイムで把握し、機密データや重要なアプリケーションをプロアクティブに保護できます。

  • プロアクティブな脅威検出: CWPP のリアルタイム脅威検出機能は、新たな脅威を認識および分析し、セキュリティ侵害を未然に防ぎます。これにより、インシデントが発生するとすぐに対応できるようになり、インシデントが引き起こす可能性のある損害を軽減できます。

  • ポリシーの適用: CWPP は、クラウド インフラストラクチャ全体にセキュリティ ポリシーをシームレスに統合し、規制要件と内部セキュリティ プロトコルへの準拠を保証します。

  • コンプライアンス監査とレポート: CWPP は、厳格な規制フレームワークの遵守、機密データの保護、重要な業務の安全性の確保を保証します。これにより、組織はコンプライアンス違反による影響から保護されているので、安心していただけます。

Frost & Sullivan Frost Radar™: クラウド ワークロード保護プラットフォーム、2023 年

このレポートでは、Frost & Sullivan が、クラウド ワークロードを保護するための CWPP ソリューションを評価および導入するための洞察と推奨事項を提供します。

PDFをダウンロード

CWPPで注目すべき主な特徴

利用可能なサイバーセキュリティ ソリューションの数を考えると、有能な CWPP ソリューションを探す際に必要な重要な機能の便利なリストが必要です。選択する前に、各オプションを慎重に精査し、互換性と拡張性を考慮する必要があります。 

CWPP プラットフォームに必須の要素は次のとおりです。

ランタイム保護: CWPP の真髄は、揺るぎないリアルタイム保護を提供する能力にあります。つまり、クラウド ワークロードに侵入しようとする脅威は、遅延なく迅速に検出され、無効化されます。CWPPツールキットにランタイム保護が組み込まれているため、潜在的な損害が軽減され、業務が中断されることなくスムーズに継続されることが保証されます。

リアルタイムの脅威検出とインシデント対応: CWPP は、リモート コード実行、マルウェア、暗号マイニング、ラテラルムーブメント、権限昇格、コンテナー エスケープなど、クラウド環境全体で既知および未知の脅威と疑わしいアクティビティを検出できます。

リアルタイムアラートを受信して​​、さまざまなマルウェアに対するセキュリティ体制を強化します

エージェントレス スキャン: CWPP ソリューションがこれをサポートしている場合は、エージェントの導入の煩わしさから解放され、クラウド スタック全体でエージェントレス スキャンのメリットを享受できます。エージェントレス スキャンは、開始が非常に簡単なため、クラウド セキュリティ管理を簡素化します。さらに、リソースに優しいため、クラウド環境が大規模に最適化され続けます。

エージェントレスソリューションは、PaaSリソース、仮想マシン、コンテナ、サーバーレス機能、または保存されている機密データを完全にカバーする必要があります。

脆弱性管理: CWPP の脆弱性評価では、脆弱性の重大度、悪用可能性、影響を受ける資産の価値に基づいて脆弱性を優先順位付けする必要があります。これにより、組織は組織に最大のリスクをもたらす脆弱性に集中できるようになります。

CI/CD 統合:ソフトウェア開発ライフサイクル (SDLC) のあらゆる段階でクラウド セキュリティを強化するには、CWPP を継続的インテグレーションおよび継続的デプロイメント (CI/CD) パイプラインにシームレスに統合することが必須です。開発プロセスのすべてのステップにセキュリティ対策を組み込むことで、潜在的な脆弱性に対して強力なアプリケーションを作成できます。

事前に構築された統合により、セキュリティチームは自動化されたワークフローを作成し、問題を適切なチームに迅速にルーティングして修復することができます。

コンプライアンス評価:完全な CWPP ソリューションでは、すべてのコンプライアンス フレームワークにわたってワークロードを継続的に評価する必要があります。結果はコンプライアンス ヒートマップにまとめられ、セキュリティ チームが重点領域を迅速に判断できるようになります。

コンプライアンス ヒートマップの例

コンテナ セキュリティ バイヤーズ ガイド

検討中のコンテナ セキュリティ ソリューションが、すべてのホスト、VM、コンテナ、サーバーレス関数を保護するために必要な機能をすべて展開できることを確認します。

Download Now

CWPP 対 CSPM

一般的に、CWPP と CSPM は、クラウド セキュリティに対する包括的なアプローチを提供するために一緒に使用できる補完的なツールです。CWPP はクラウド ワークロードを攻撃から保護するのに役立ち、CSPM はクラウド ワークロードを攻撃に対してより脆弱にする可能性のある誤った構成を防ぐのに役立ちます。

Wizアカデミー

CSPM vs CWPP

もっと読む

CWPPの使用例

ワークロードを標的としたファイルレス攻撃の検出

Wiz 研究チームは最近、Linux ファイルレス技術 memfd を活用した Python スクリプトを使用してクラウド ワークロードをターゲットとする PyLoose というファイルレス攻撃を発見しました。PyLoose のようなファイルレス攻撃は、メモリベースの実行と Linux memfd 機能に依存しているため特に見つけにくく、検出、調査、および属性付けが困難です。

幸いなことに、Wiz ランタイム センサーは、ワークロード内で展開されるペイロードの配信や実行などの悪意のある動作を検出することができました。以下は、CWPP からの検出例です。

ファイルレス実行のランタイムセンサーアラート(PyLoose を含む)

Pyloose 攻撃がどのように展開し、どのように検出されたかを段階的に分析した以下の研究チームのブログをご覧ください。

Wizブログ

PyLoose: Python-based fileless malware targets cloud workloads to deliver cryptominer

もっと読む

過剰な権限を持つユーザーは制限される

サービス A が、通常はアクセスしない別の高優先度サービス B にアクセスしているのを見たとします。何かおかしいのではないかと心配になります。CWPP は、各サービス、その権限、およびそれらを保護する方法についての情報を提供します。 

CWPP ソリューションを使用して詳細を調べると、サービス A にはサービス B への読み取りおよび書き込みアクセス権があり、読み取り専用アクセス権が必要であることがわかります。サービス A の権限を減らし、次回サービス B への読み取り専用アクセス権を持つ動的シークレットを付与するために必要な情報はすべて揃っています。CWPP は、この重要なコンテキストを提供し、適切なアクセス制御を実施できるようにします。

クラウドの誤った構成を明らかにし、ドリフトを検出する

今日の複雑で広大なアプリケーション インフラストラクチャにおけるホスト構成の効果的な管理は、脆弱性や誤った構成につながる可能性のある複雑な課題です。CWPP は、カスタム ホスト構成ルールを使用してこの課題の解決を支援します。

カスタム ホスト構成ルールは、多くの場合仮想マシンであるブラック ボックスを拡大鏡のように表示します。これらのルールは誤った構成を識別し、特定のリソースにスコープを設定することなく構成を詳しく調べることができます。

ファイルコンテンツのテストから権限のテストまで、さまざまな基準を含めることができるカスタムルールエディタの例

カスタム ホスト構成ルールにより、ユーザーは、自動化されたエージェントレス ワークロード スキャン中に実行されるカスタマイズされたロジックを作成できます。つまり、仮想マシンまたはアプリケーション ファイルに対する手動コマンドは不要になり、クラウド資産全体を包括的にカバーできるようになります。

カスタム ルールは、新しいワークロードに自動的に適用され、OS またはクラウド アプリケーションの構成が誤っているかどうかを判断できます。そのため、時間の経過とともにユーザーの介入や悪意のある意図により構成が変更された場合、CWPP は変更を監査し、構成のドリフトがあれば警告します。

CWPPは方程式の一部に過ぎない

クラウド環境は常に進化しており、CWPP の重要性を過小評価することはできません。CWPP を導入すると、ワークロードの広範な可視性とプロアクティブな脅威検出が可能になりますが、クラウド セキュリティはそれだけではありません。

総合的なクラウド セキュリティ戦略には、次のようなクラウド ソリューションの組み合わせが含まれます。

  • エンドツーエンドでワークロードを保護するCWPP

  • 大規模な権限管理を実現するクラウド インフラストラクチャ権限管理 (CIEM)

  •  構成とリソースの安全な管理のためのクラウド セキュリティ ポスチャ管理 ( CSPM )

これらのソリューションの組み合わせは、クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP)と呼ばれます。最新の CNAPP ソリューションを導入すると、急速に変化するクラウド環境や、断片化されたテクノロジー環境の複雑さに対応できるようになります。

CNAPP ソリューションがポイント製品の利点を 1 つのプラットフォームに統合する方法を実際に確認するには、 Wiz 製品の専門家によるデモをスケジュールしてください

CWPP よくある質問