CNAPP -クラウドDevSecOps-

クラウド環境のセキュリティ対策にどんなサービスを利用していますか？
今回はCNAPP（Cloud Native Application Protection Platform）というセキュリティ対策のプラットフォームについて、概要を記載してみようと思います。

CNAPPとは

クラウド環境におけるサイバーセキュリティの保護を実現するため、さまざまなクラウドセキュリティ機能を統合したプラットフォームです。クラウドネイティブなアプリケーションをセキュリティで保護し、クラウド基盤の設定や権限、データ、コンテナなどを総合的に管理します。

CNAPPの実現には、主に以下のサービスが必要となります。

CSPM（Cloud Security Posture Management）

クラウド基盤の設定の問題や不適切な設定状態をチェックし、設定の保護を実現します。（例：AWSのSecurity HubやAzureのSecurity Center）
チェックの基準としては、国際的なセキュリティ規格「CIS Benchmarks」やクレジットカード業界のセキュリティ基準「PCI DSS」等を選択出来ますので、システムの特性に合わせて基準を選ぶ事が重要となります。

CWPP（Cloud Workload Protection Platform）

クラウド基盤上のサーバーや仮想マシン、アプリケーションなどワークロードを保護します。マルチクラウドの構成も増えてきているため、各クラウド個別ではなく、統合的にワークロードに潜むリスクの可視化などを行います。

CIEM（Cloud Infrastructure Entitlement Management）

アカウント設定とリソース権限の割り当てを管理し、過剰な権限や長期間使用されないアカウントを監視して保護します。マルチクラウド構成では、アカウントとリソースの関係性が非常に複雑になるため、このようなサービスで可視化して管理する必要があります。

他サービス

CNAPPを提供するベンダーによって、提供されるサービスは様々だと思いますが、一般的に以下のようなサービスも選択的に含まれる場合が多いです。

• KSPM（Kubernetes Security Posture Management）

  • K8s（Kubernetes）環境におけるセキュリティの態勢を管理・保護

  • CSPMのK8s版

• IaC

  • CI/CDにおけるコード化されたインフラ構成定義の保護

  • バージョン管理との統合

• CDR（Cloud Detection and Response）

  • クラウドの攻撃対象領域における脅威の検知と保護を提供

  • EDRのクラウド版（EDRについては過去のXDR参照）

DevSecOpsの実現

DevOpsの工程におけるCNAPPの対応

DevSecOpsは、開発（Dev）、セキュリティ（Sec）、および運用（Ops）の連携を強化するアプローチです。開発プロセスとセキュリティ対策を統合し、アプリケーションのライフサイクル全体でセキュリティを考慮した運用を実現します。
クラウド環境の利用が一般的な昨今では、CNAPPのようなプラットフォームを利用することで、効率的にDevOpsの仕組みをセキュアに実現する事が可能と言えます。

最後に

CNAPPはクラウド環境におけるセキュリティ対策に重要であり、クラウドネイティブなアプリケーションを安全に運用するためのプラットフォームです。部分的にでも活用することでDevSecOpsの効率化が実現が可能となりますので、改めて、自分たちのプロジェクト環境における課題感などを見直してみてはいかがでしょうか？

～以下宣伝です～

当社ではITからOT領域まで幅広いセキュリティサービスのご提案も行っています。
CNAPPを活用したDevSecOpsの実現もコンサルティングからご提案可能です。
興味がありましたら、ぜひこちらからお問い合わせいただければ幸いです。