クラウド環境でのセキュリティで注目されるCNAPP
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「一般的な5つのクラウドセキュリティギャップ、およびLacework FortiCNAPPによる対処方法」を再編集したものです。
企業におけるアプリケーションの開発、展開、および規模拡大は、クラウドコンピューティングにより形が変化しました。俊敏性やスピードが向上する一方で、リスクも増大しています。セキュリティについては取り残されることが多く、ツール間で断片化され、開発から切り離され、クラウド環境の実際の運用状況に合致していないこともあります。
このような状況に対応するために、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)が多くの組織で注目されています。このCNAPPのアプローチは、今日最も一般的なクラウドセキュリティギャップという観点から見ることで、価値はより明確になります。
一方で、すべてのCNAPPが、これらのセキュリティギャップを埋めるために必要な幅広い機能を備えているわけではありません。包括的なソリューションでは、可視性、態勢管理、ランタイム保護、クラウド検知とレスポンス(CDR)、およびアプリケーション層の保護が統合されている必要があります。Lacework FortiCNAPPはまさにこれに当たります。複合アラートなどの機能を利用して、ホストのテレメトリ情報やクラウド監査ログのシグナルを集約することで、単一のプラットフォームで継続的にコンテキストに基づく保護を提供します。
1. クラウド環境全体の統合的な可視性が欠如
パブリッククラウドは、本質的に動的な環境です。新たなワークロード、API、コンテナ、サーバーレス機能は、数秒以内でデプロイまたは破棄されます。多くの場合、個々のビジネスユニットまたはクラウドアカウントでは、さまざまなツールを使用してリスクを監視していますが、全く使用しないケースもあります。
複数のクラウドプロバイダー全体を一貫して確認できないため、セキュリティチームは、設定ミスの検知や、脅威への迅速な対応に苦労しています。その結果、死角の箇所がリスクとして存在し続けています。
フォーティネットのサポート:
FortiCNAPPは、継続的なアセットの検出およびリアルタイムなインベントリマッピングを通じて、クラウド横断的な可視化が可能です。複数のプロバイダー全体で未管理なリソースを特定し、変化を追跡し、データを照合することで、セキュリティチームは、すべてのワークロード、ユーザー、および設定を継続的に認識することができます。
2. 設定ミスの検知の遅れ、または断片化
設定ミスは、クラウドのセキュリティ侵害で最も一般的な原因のひとつです。一方で多くの組織にとって、デプロイメント後にこれらの問題を特定できるのは、通常はコンプライアンスレビュー中、またはインシデント発生後に限られます。
従来のクラウドセキュリティポスチャー管理(CSPM)ツールでは、違反フラグを立てることは可能ですが、多くの場合、ランタイム環境やデプロイメントパイプラインから切り離されて動作します。これにより修復が遅れ、調査結果は、運用上の影響から切り離されたものになります。
フォーティネットのサポート:
FortiCNAPPは、組み込みのCSPMを備えており、マルチクラウド環境全体で設定ミスがないか継続的に監視します。違反をリアルタイムに検知するだけでなく、違反を深刻度別にランクを付け、コンプライアンスフレームワーク(CISやNIST、PCIなど)に紐づけます。FortiAnalyzerと統合されることで、コンテキストに基づく詳細な分析が可能になり、各チームは、最も重要な対象を優先することができます。
3. ランタイム保護およびコントロールプレーンの保護が分離
クラウド環境が適切に設定されている場合であっても、実行時にセキュリティ侵害を受ける可能性があります。攻撃者は、脆弱なコンテナを悪用し、権限を昇格し、ラテラルムーブメントによって拡散を行う可能性があります。特に、従来型のエージェントを持たないKubernetesやサーバーレス環境では、多くの場合、実行中の動作を追跡することは困難です。
設定のみに焦点を当てたセキュリティツールでは、ワークロードが実行された後の発生内容は検知できません。
フォーティネットのサポート:
FortiCNAPPは、ランタイムワークロード保護が統合されており、ファイルの整合性監視、プロセスの動作追跡、およびアノマリ検知などを備えています。FortiCNAPPは、コンテナやサーバーレス機能をリアルタイムに監視し、不審な動作にフラグを立て、実用的なインサイトを提供することが可能で、多くの場合、個々のエージェントは不要です。
FortiCNAPPは、エージェントベースのランタイムデータに加え、Kubernetesの監査証跡やクラウドプロバイダーのログを継続的に監視することで、コントロールプレーン内で脅威を検知することができます。このようなCDR(クラウド検知とレスポンス)機能により、不正IDの活動やクラウドAPIの異常な利用など、ワークロードに焦点を当てた従来のツールでは見落とされることが多いエリアまで検知を拡大することができます。
FortiCNAPPの主な差別化ポイントのひとつは、ホストレベルの活動とクラウドログの両方からのシグナルを組み合わせた複合アラートの利用にあります。この統合的な分析により、検知の忠実度が向上し、コンテナの異常な動作と不審なクラウドIDの活動が偶然に一致するなどのマルチベクトル攻撃を迅速に調査することができます。
4. 一貫性のないアプリケーション層の防御
攻撃者は、API、Webインタフェース、およびビジネスロジックの欠陥を標的にしており、インフラストラクチャのコントロールが回避されることが増えています。一方で、企業や組織では、アプリケーション層の保護は別の領域として扱うことが多く、従来のWebアプリケーションファイアウォール(WAF)やAPIゲートウェイに依存しており、クラウドネイティブなデプロイメントとは整合しない場合があります。
このような断片化により、ポリシー適用の一貫性が欠如し、APIやWebアプリケーションの脆弱性が残ることにつながっています。
フォーティネットのサポート:
FortiWebおよびFortiWeb Cloudは、高度なWAFおよびAPI保護を備えており、現在、CNAPP機能が統合されています。これらのソリューションは、ディープインスペクションやボット対策を備えており、APIやアプリケーションのホスト場所を問わず、振る舞い分析を行うことができます。FortiCNAPPと組み合わせることで、アプリケーション層の保護が態勢とワークロードのセキュリティとして同じ継続的なリスク評価パイプラインの一部になります。
5. 開発パイプラインにセキュリティが統合されていない
多くの組織では、セキュリティはしばしば開発プロセスの最後に導入されます。アプリケーションが本番環境に導入されるまでに、安全でないコードや設定ミスを含むインフラストラクチャがすでに展開されている可能性があります。
従来のスキャンツールは、最新のCI/CDパイプライン向けに構築されていません。これにより、開発者は、タイムリーなフィードバックが得られない状態となり、セキュリティチームとエンジニアリングチーム間に摩擦が生じます。
フォーティネットのサポート:
FortiCNAPPは、シフトレフトアプローチ(早期検知)に対応しており、CI/CDシステムと統合することで、デプロイを実行する前に、Infrastructure-as-Code(IaC)、コンテナイメージ、およびアプリケーションアーティファクトをスキャンします。また、調査結果からランタイムの動作を結び付けることで、閉じたフィードバックループを構築し、セキュリティ結果を改善します。フォーティネットのプラットフォームは幅広く、SASTおよびDASTスキャン向けのFortiDevSec、および展開前にリスクが検知された際のレスポンスワークフローを自動化するFortiSOARなどが含まれます。
断片化から統合型保護へ
個々のセキュリティギャップには、ツールの断片化という一般的な問題が表れています。多くの組織では、クラウドサービスの導入スピードが、自身のセキュリティ活動の進化のスピードを上回っています。その結果、リスク管理が事後対応的で、一貫性がなく、規模の拡大が困難になっています。
こうした状況を変えるのが、プラットフォームベースのCNAPPアプローチです。FortiCNAPPは、態勢管理、ワークロード保護、CDR(クラウド検知とレスポンス)、およびアプリケーション層の防御を単一のワークフローに統合することで、各チームは、デプロイメントモデルやソフトウェアライフサイクルの段階を問わず、クラウド全体で、コードから実行時まで、クラウドネイティブアプリケーションを保護することができます。
クラウド環境が複雑化する中、このような統合アプローチは、リスクが軽減されるだけでなく、クラウドコンピューティングの導入の1番の意図であるスピードと柔軟性を維持できるため、非常に重要です。
Lacework FortiCNAPPには、態勢管理、ランタイム保護、クラウド検知とレスポンス(CDR)、およびアプリケーション層の防御が統合されており、上位のクラウドセキュリティギャップに対応することが可能で、ハイブリッド環境やマルチクラウド環境全体のリスクを軽減します。詳細をご確認ください。
クラウドのセキュリティギャップに関するFAQ
CNAPPによりクラウドセキュリティが強化される理由は?
CNAPPは、主要な機能であるCSPM、ワークロード保護、およびアプリケーション層の防御を単一の統合プラットフォームに統合することで、クラウドセキュリティを強化します。このような統合アプローチにより、組織は、ハイブリッド環境やマルチクラウド環境全体のクラウドネイティブアプリケーションについて、開発から、デプロイメント、実行時のオペレーションに至るまでライフサイクル全体を通して保護することができます。
従来のクラウドセキュリティツールでは不十分である理由は?
従来のツールは、サイロ化された状態で運用されることが多く、アプリケーションのライフサイクル全体の可視性は限定的です。設定ミスの検知やトラフィックの監視は可能ですが、ランタイム、態勢、およびCI/CD間で統合されていないため、攻撃者が悪用可能な重大なセキュリティギャップが残ったままになります。
FortiCNAPPがクラウド環境のリスクを軽減する理由は?
FortiCNAPPを利用すると、断片化されたツールを、コンテキストに基づくインテリジェンスを備えた単一のプラットフォームに統合することで、セキュリティギャップを埋めることができます。また、リアルタイムな可視性、設定ミスの自動検知、ワークロードのランタイム保護、APIおよびWebアプリケーションの統合型セキュリティも備えています。
CNAPPツールを通してDevSecOpsの連携を改善できますか?
はい。FortiCNAPPを利用すると、開発パイプラインとシームレスに統合してセキュリティをシフトレフト(前段階に移行)できるため、開発者は問題を早期に発見し修正することができます。CI/CDに統合されることで、セキュリティが開発ワークフローの中に含まれ、デリバリが遅延することもありません。