CNAPPとは何ですか?CNAPPは、ポスチャー管理、ワークロード保護、ランタイム保護、データセキュリティなどの主要な機能を組み合わせたエンドツーエンドのクラウドネイティブセキュリティソリューションです。
CNAPPは、Cloud Security Posture Management(CSPM)を含む複数のクラウドセキュリティテクノロジーの統合と進化を表しています。 クラウドワークロード保護プラットフォーム(CWPP) 、Cloud Infrastructure Entitlement Management(CIEM)、Infrastructure as Code(IaC)スキャンなど
さらに CNAPPはDevOpsを強化し、 DevSecOps(デブセックオプス) セキュリティを開発ライフサイクルに統合し、セキュリティ タスクを自動化し、継続的なセキュリティとコンプライアンスを実現します。
「CNAPP」という用語は、 ガートナーによる造語 そして、それを「開発と運用全体でクラウドネイティブアプリケーションを保護および保護するために設計された、統合され、緊密に統合されたセキュリティおよびコンプライアンス機能のセット」と定義しています。
2029年までに、クラウドアーキテクチャ内に統合CNAPPソリューションを導入していない企業の60%は、クラウドの攻撃対象領域に対する広範な可視性を欠き、その結果、望ましいゼロトラストの目標を達成できなくなります。
CNAPPが解決するクラウドセキュリティの課題クラウドは、新しいタイプのセキュリティリスクをもたらしました
クラウド環境は複雑です。 クラウドにより、組織は仮想マシンからサーバーレス機能、コンテナまで、新しいリソースをオンデマンドで追加できます。 動的でスケーラブルな環境には、常に新しいタイプのサービスが導入されています。 そのため、数分で拡張・変更できる環境を確保することが難しくなっています。
また、クラウドは、ボタンをクリックするだけでリソースをインターネットに公開できるようにするなど、アクションを簡素化するため、設定ミスのリスクがさらに高まります。 非常に多くの種類のサービスと構成があるため、組織は環境の変化に応じてセキュリティを維持するためのソリューションを必要としています。 また、この複雑さにより、クラウド上に新しいタイプの攻撃経路がもたらされるため、組織はクラウドネイティブ攻撃用に構築された脅威の検出と対応戦略を策定する必要があります。
視界のギャップと死角
この複雑な環境を可視化するために、組織は多くの場合、エージェントに依存してワークロードを可視化するセキュリティツールを使用します。 エージェントベースのソリューションでは、エージェントが設定されていないリソースはツールによって保護されないため、環境に盲点が生じます。 セキュリティ体制におけるこのような可視性のギャップは、重大な問題を見過ごし、侵害につながる可能性があります。
サイロ化されたツールと運用上の課題
クラウド上にセキュリティ基盤を構築するために、組織は脆弱性管理、データセキュリティポスチャー管理、Kubernetesセキュリティポスチャー管理、クラウドセキュリティポスチャー管理などのスタンドアロンセキュリティツールを使用することがよくあります。 Gartner は、セキュリティに対するこのアプローチについて、 CNAPPマーケットガイド2023 :
この統合の欠如により、リスクのビューが断片化され、個々のコンテキストが不十分になり、実際のリスクに優先順位を付けることが困難になります。
前述のように、スタンドアロン ツールを使用すると、各ツールに独自の専門知識とツールごとのプロセスが必要になるため、セキュリティ体制と運用上の課題にサイロが生じます。 さらに、リスクの重大性を理解するために、組織はさまざまなツール間でリスクを手動で関連付ける必要があり、その結果、運用上のオーバーヘッドがさらに増加します。
アラート疲れ
たとえば、脆弱性管理ソリューションでは、マシンが脆弱かどうかを特定できますが、マシンがインターネットにも公開されているかどうか、または高い特権を持っているかどうかは認識されません。
コンテキストの欠如により、どのリスクが他のリスクよりも重要であるかをツールが特定できず、多くのノイズとアラート疲れが発生します。 これにより、チームは環境内の実際の重大なリスクを特定し、優先順位を付けることが困難になります。
セキュリティチームと開発者の間のギャップ
セキュリティチームはクラウド環境のセキュリティを確保する責任がありますが、クラウド内のリソースをスピンアップするのは開発者です。 その結果、セキュリティがイノベーションを遅らせることになります。 さらに、開発者はリソースに関連するリスクを可視化できないことが多く、可視化できたとしても、コンテキストと優先順位付けが不足しているため、適切に優先順位を付けることができません。
CNAPPの利点死角の除去: CNAPPは、エージェントレスの可視性とリスク軽減を提供し、エージェントの構成を必要とせずに、新しいクラウドワークロードを自動的に検出して保護します。 これにより、完全なカバレッジが保証され、セキュリティ体制の盲点が排除されます。
導入の迅速化: エージェントレスCNAPPを使用すると、組織はクラウドプロバイダーを使用して環境全体を数分で保護できます'リソースをスキャンするための API
運用効率の向上: エージェントは維持に費用がかかり、ワークロードを遅くする可能性があるため、イノベーションを妨げる運用上の課題につながります。 DevOpsチームはそれらを拒否することが多く、一時的なワークロードに対するランタイムの可視性の価値は、エージェント管理のオーバーヘッドを上回らない可能性があります。 エージェントレスの可視性とリスク軽減を備えたCNAPPは、運用コストと複雑さを軽減します。
統合リスクエンジン: CNAPPは、脆弱性、ネットワークの露出、シークレット、マルウェア、ID、機密データ、リアルタイムの脅威検出など、すべてのリスク要因をカバーする単一のプラットフォームである必要があります。 CNAPPは、統合されたリスクエンジンを使用して、リスクがどのように組み合わさって環境内に攻撃パスを作成するかを理解することで、リスクの重要度を評価できます。 CNAPPは、予防と検出にわたってすべてのリスクを自動的に関連付けるため、手動の関連付けが不要になり、組織は重大なリスクの修復に集中できます。
グラフベースのコンテキスト: CNAPPは、リスクに関するグラフベースのコンテキストを提供する必要があります。 ノードとエッジの構造はグラフのベスト プラクティスであり、リスクを表すクエリをより直感的に定義できます。 また、グラフベースのビューを使用すると、あらゆるスキルレベルのユーザーが、リソース間の関係とリスクに関するコンテキストを簡単に理解できるため、問題に迅速に対応できます。
優先順位付け: 完全に統合された機能セットを備えたCNAPPは、すべてのリスクを関連付け、重要な攻撃パスを特定することで、リスクの優先順位付けをより適切に行うことができます。 CNAPP は、チームが最も重要な問題に集中し、ノイズを減らすことができるように、優先順位付けされたリスクの 1 つのキューを提供する必要があります。
シフトレフトの有効化: 本番環境でリスクが特定され、優先順位が付けられたら、CNAPPは組織に次のことを可能にします 左にシフト 開発ライフサイクル全体にわたってセキュリティを拡張します。 CNAPPは、CI/CDパイプラインとの統合を提供することで、開発の早い段階でリスクを特定し、最初から本番環境に到達しないようにすることができます。 これにより、セキュリティチームが本番環境で修正しなければならない問題が少なくなり、より広範なイニシアチブに集中できるようになります。
コンテキストに応じた検出と対応: 効果的な検知と対応戦略を立てるには、防御側は環境内の攻撃経路を理解する必要があります。 これは、攻撃の潜在的な影響を評価するのに役立ちます。 CNAPPは、攻撃が発生する前に、防御側がコンテキストに応じたリスク軽減を通じて攻撃経路をプロアクティブに排除するのに役立ちます。 攻撃が発生した後、CNAPPは、防御側がクラウドイベントとランタイムシグナルに基づいてリアルタイムで脅威を検出するのに役立ちます。 また、クラウドのコンテキストに基づいて攻撃の爆発範囲を制限するのにも役立ちます。 CNAPPは、ランタイムシグナル、クラウドイベント、クラウドとインフラストラクチャのリスクを関連付けることで、防御者が脅威に迅速に対応し、潜在的なインシデントの影響を最小限に抑えることを可能にします。
CNAPPのしくみ
クラウド環境を完全に可視化すべてのクラウドを可視化: CNAPPは、AWS、GCP、Azure、Alibaba、OCI、その他のクラウドなど、ワークロードがどのクラウドで実行されているかに関係なく、クラウド環境を完全に可視化する必要があります。
すべてのリソースの可視性: CNAPPは、その範囲が包括的であり、仮想マシン、サーバーレス機能、コンテナ、データベース、マネージドサービス、および使用するその他のクラウドサービスなど、環境内のすべてのリソースを可視化する必要があります。 また、CNAPPは、すべてのクラウドで一貫した可視性を備えた一貫したプラットフォームを構築できるように、さまざまなクラウドのさまざまなタイプのリソースを正規化する必要があります。
予防から検出まで、すべてのリスク要因を可視化します。 CNAPPは、脆弱性、ネットワークエクスポージャー、シークレット、マルウェア、ID、機密データなど、すべてのリスク要因を包括的に可視化し、脅威をリアルタイムで可視化して、セキュリティ体制の全体像を把握する必要があります。
エージェントレスの可視性で死角を取り除きます。 CNAPPは、構成と保守が必要なエージェントに頼るのではなく、エージェントレスアプローチを使用してクラウド環境を可視化し、クラウドサービスプロバイダー(CSP)のAPIを利用してリソースとワークロードを検出してスキャンすることで、セキュリティ体制を完全にカバーし、盲点がないようにする必要があります。
独立したクラウドセキュリティソリューションの統合セキュリティに対する統一されたアプローチ: CNAPP は、1 つのプラットフォーム、1 つのプロセス、およびすべての環境で一貫した制御を提供します。 GartnerのCNAPPマーケットガイドによると、CNAPPを評価する場合、「すべてのサービスは完全に統合されるべきであり、疎結合の独立したモジュールではありません」。 完全に統合されたCNAPPは、すべてのポイントソリューションを、すべてのセキュリティ側面をカバーする単一のプラットフォームに置き換え、ツールごとに固有のプロセスの必要性を排除し、運用上のオーバーヘッドを削減します。
統合リスクエンジン: CNAPPは、統合されたリスクエンジンを使用して、CSPM、CWPP、CIEM、Kubernetesセキュリティポスチャー管理(KSPMの )、データセキュリティポスチャー管理(DSPMの )、およびIaCスキャン。
多層防御戦略: 包括的なCNAPPは、多層防御のクラウドセキュリティ戦略を提供します。 これは、エージェントレスの可視性とリスク軽減による予防から始まり、軽量のエージェントによるワークロード内部からの脅威の検出と保護である最後の防衛線までです。 多層防御を備えたCNAPPは、攻撃に対する完全なエンドツーエンドの可視性を提供し、より迅速で効率的な対応を可能にします。
一元管理: CNAPPは、すべてのリスク要因を可視化するだけでなく、すべてのリスクを関連付けて、リスクがどのように組み合わさって、攻撃パスを作成する可能性のある環境で有害な組み合わせをもたらすかを理解します。 CNAPP は、セキュリティ グラフでリスクをモデル化して、リスクに関する完全なコンテキストを提供します。 また、Garner氏は、CNAPPに単一のフロントエンドコンソールと統一されたバックエンドデータモデルを持たせて、複数のコンソール間の切り替えを減らすことを推奨しています。
コンテキストによるリスクの優先順位付け文脈: 完全に統合されたCNAPPは、リスクに関するコンテキストを特定し、環境内の攻撃パスを見つけることができるため、組織は環境内のリスクの真の重要度を理解できます。 CNAPPは、セキュリティグラフを使用して、クラウド環境内のすべての要素間の関係を深く理解することもできます。
優先順位付け: コンテキストに応じたCNAPPは、重要度に基づいてリスクに優先順位を付け、本当に注意を払うべき問題のみを明らかにすることができるため、チームは重要なリスクに集中できます。 Gartnerは、CNAPPに「リスクの優先順位付けのためにグラフと組み合わされた統合された高度な分析」が必要であることを推奨しています。 優先順位付けにより、チームは気が散るノイズへの対応に費やす時間を減らし、重要な問題の修正により多くの時間を費やすことができます。
開発チームとセキュリティチームの橋渡し本番環境での問題の修復に費やす時間を短縮します。 CNAPPは、セキュリティチェックをCI/CDパイプラインに統合して、開発中のリスクをスキャンできます。 これにより、本番環境とCI/CDパイプライン全体に統一されたセキュリティポリシーを適用し、そもそも問題が本番環境に到達するのを防ぐことができます。 CNAPPマーケットガイドでは、ガートナーは「開発、ステージング、ランタイム運用に至るまで、クラウドネイティブアプリケーションの完全なライフサイクルの可視性と保護を提供する統合CNAPP製品を選択することで、複雑さを軽減し、開発者エクスペリエンスを向上させる」ことを推奨しています。
開発者がより速く、より安全に出荷できるようにします。 CNAPP は、開発者が所有するリソースに関連する問題を修正するために必要なコンテキスト、優先順位付け、および特定の修復ガイダンスを提供します。 コンテキストと優先順位付けにより、開発者はセキュリティを維持しながら俊敏性を維持し、迅速に行動することができます。
CNAPPのコア機能統合されたCNAPPは、次のセキュリティツールを統合プラットフォーム内にシームレスに統合し、以下に概説する機能を包含して関連付けます。
クラウドセキュリティポスチャー管理(CSPM)CSPMの クラウドリソースの構成と、これらのリソースの継続的な監視に関する洞察を提供します。 クラウドリソースをルールに照らして評価し、適切な構成を行い、構成ミスのインスタンスを特定します。 このシステムは、組み込みおよびカスタマイズされた標準とフレームワークを通じてコンプライアンスを確保し、準拠していないリソースを自動的に修復します。 CSPMは、開発中にリソースを評価することで、設定ミスが本番環境に伝播するのを防ぎます。
クラウドワークロード保護プラットフォーム(CWPP)CWPPの エージェントに頼ることなく、クラウドワークロードを可視化し、VM、コンテナ、サーバーレス機能全体のリスクを軽減します。 ワークロード内の脆弱性、シークレット、マルウェア、安全な構成のスキャンを実行します。 さらに、CWPPは、CI/CDパイプライン中のワークロードの設定ミスと脆弱性の特定をサポートします。 CWPPは、最後の防衛線として、リアルタイムの脅威検出のための軽量エージェントを採用し、エージェントレスの可視性とリスク軽減によってデータを充実させています。
クラウドインフラストラクチャエンタイトルメント管理(CIEM)CIEM(シーエム) クラウドセットアップ内のエンタイトルメントを監督し、 最小特権の実装 環境全体でアクセスとエンタイトルメントを最適化しながら、アクセス許可。 システムは、プリンシパルとリソースの有効なアクセス許可を分析し、機密性の高い資産へのアクセスを危険にさらす可能性のあるシークレットまたは資格情報の漏洩の可能性を検出します。
Kubernetesセキュリティポスチャー管理(KSPM)KSPMの Kubernetesコンポーネントのセキュリティとコンプライアンスを自動化し、コンテナ、ホスト、クラスタを包括的に可視化します。 このシステムは、脆弱性、設定ミス、権限、シークレット、ネットワークに関連するリスクを評価し、これらのリスクを関連付けて、コンテキストに応じた洞察と優先順位付けを提供します。 また、KSPMはシフトレフトアプローチを促進し、開発段階でKubernetesのセキュリティ問題を特定して防止します。
データセキュリティポスチャー管理(DSPM)DSPMの クラウド環境内の機密データを保護します。 機密データを識別し、バケット、データボリューム、OS環境と非OS環境、管理対象データベースとホストデータベース全体の場所を可視化します。 DSPM は、機密データを基盤となるクラウド コンテキストやその他のリスク要因と関連付けて、データ資産の構成、使用状況、移動を把握します。 完全に統合されたDSPMは、機密データに対する潜在的な攻撃経路をピンポイントで特定し、侵害を防ぐためのプロアクティブな問題の優先順位付けを可能にします。
クラウド検出と対応(CDR)クラウドの検出と対応 クラウド環境内のアクティビティを監視し、不審なイベントを特定することで、クラウドベースの脅威の検出、調査、対応を可能にします。 エージェントを使わずにプロアクティブなリスクを軽減し、潜在的な攻撃経路を排除しますが、リアルタイムの脅威検出は依然として不可欠です。 CDRは、リモートコード実行、マルウェア、クリプトマイニング、ラテラルムーブメント、権限昇格、コンテナエスケープなど、脅威や疑わしいアクティビティをリアルタイムで特定します。 このシステムは包括的な可視性を提供し、リアルタイムのシグナル、クラウドアクティビティ、監査ログ間で脅威を自動的に関連付けて、攻撃者の動きを追跡します。 これにより、迅速な対応が可能になり、潜在的なインシデントの影響が制限されます。
CNAPPの将来Detailed view of CNAPP capabilities (Source: Gartner) 時間が経つにつれて、CNAPPは、クラウド開発者がセキュリティの面でうまくいっていることを確認するための標準的な方法になります。 CNAPPは、開発者や運用チームが使用でき、利用できるため、これらのチームはリソースのセキュリティをより積極的に行うことができます。
現在、セキュリティチームは、セキュリティが良好な状態にあるかどうかを判断する方法はほとんどありません。 彼らはしません'tは、それらが'クラウドを保護するために適切な手順を踏んでいるか、'いくつかの領域は大きく開いたままにしました。 CNAPPにより、クラウド開発者はアプリケーションとリソースを保護するための適切な手順を踏んでいることを確認でき、セキュリティチームはクラウドアプリケーション全体のセキュリティの状態をギャップなく検証できます。
他の新生スペースと同様に、'は提供するよりもマーケティングする方が簡単なため、検討するCNAPPが、チームがそのようなソリューションを検討する原因となっている根本的な要因と変化に適切に対処できることを確認してください。
ウィズ'CNAPPへのアプローチ(Source: G2) ウィズ'CNAPPへのアプローチは、次の重要な柱に基づいています。
エージェントレス アーキテクチャ: Wizは、クラウドリソースにエージェントをインストールする必要がないため、デプロイと管理が容易になり、パフォーマンスへの影響を回避できます。
包括的な可視性: Wizは、すべてのクラウドプロバイダーとクラウドサービスにわたって、すべてのクラウドリソースとリスクを100%可視化します。
グラフベースのセキュリティ: Wizは、すべてのクラウドリソースとその関係のグラフを作成することで、複雑な攻撃経路を特定し、より効果的にリスクに優先順位を付けることができます。
容赦ないリスクの優先順位付け: ウィズ'グラフベースのセキュリティアプローチにより、IT部門は複雑な攻撃経路を特定し、リスクをより効果的に優先順位付けできるため、最も重要な問題に最初に集中できます。
統合プラットフォーム: Wizは、脆弱性管理、設定ミス管理、シークレット管理、クラウドフォレンジックなど、クラウドセキュリティのあらゆるニーズに対応する単一のプラットフォームを提供します。
Wiz CNAPPは、クラウド環境全体のセキュリティを1か所でサポートします。 すべてのセキュリティ情報が 1 か所にまとめられており、ソリューションは柔軟性に優れているため、さまざまなチームが必要な詳細だけに集中できます。
ウィズ'のCNAPPソリューションは、インフラストラクチャからデータまで、すべてのクラウドリソースとリスクを可視化します。 また、リスクの優先順位付けと修復に役立つ実用的な分析情報と推奨事項も提供します。