開発・デプロイ・実行時の全段階でクラウドのワークロードを保護する「クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)」
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「コードからランタイムまで:CNAPPによるクラウドネイティブワークロードの保護」を再編集したものです。
クラウドネイティブなアプリケーションは、スピード、拡張性、柔軟性を求めて設計されています。しかし、その高度な品質が、従来の手法での保護を困難にしています。なぜなら、クラウドネイティブなアーキテクチャではワークロードが短期的で、デプロイメントは自動化され、インフラストラクチャはコードで定義されているからです。セキュリティはこの現実に適応できなければなりません。
そこで効果を発揮するのが、クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)です。CNAPPは、多数のセキュリティ機能を単一のフレームワークに統合します。このフレームワークは、開発、デプロイ、実行時の全段階でクラウドのワークロードを保護するよう設計されています。CNAPPを適切に実装すれば、包括的で持続的運用が可能なセキュリティを実現できます。
本格的なCNAPPは4つのコア機能、すなわちクラウドセキュリティ態勢管理(CSPM)、クラウドワークロード保護(CWP)、クラウドインフラストラクチャエンタイトルメント管理(CIEM)、クラウド脅威検知およびレスポンス(CDR)で構成されます。Lacework FortiCNAPPは、これらの機能を統合型プラットフォームに一体化することで、インフラストラクチャの構成やランタイムシグナルなど、アプリケーションのライフサイクルおよび各種テレメトリにおける検知、防止、修復を可能にします。
CNAPPを使用してコード開発から実行時までの全段階でクラウドネイティブのワークロードを保護する方法と、フォーティネットがそのプロセスをあらゆる環境で実行可能にする方法を解説します。
デプロイ前のコードの保護
クラウドネイティブのワークロードを保護する第一段階は、コードそのもので行われます。Infrastructure-as-Code(IaC)、コンテナイメージ、またはアプリケーションライブラリで生じた脆弱性は、放置しておくと容易に本番環境に伝播する可能性があります。
Lacework FortiCNAPPは、CI/CDパイプラインと直接連携し、デプロイメント前にコード、テンプレート、イメージ内のリスクを検知します。さらに、ハードコードされたシークレット、権限の設定ミス、未承認の基本イメージ、期限切れのライブラリなどをスキャンします。開発者はそのフィードバックを自身のツールチェーン内で受け取り、配信速度を落とさずに問題点を迅速に修正できます。
さらに詳細な分析を行う場合は、FortiDevSecの静的および動的テスト機能を追加することで、ソフトウェア開発ライフサイクルの早い段階で安全でない機能、ロジックの欠陥、侵入リスクなどを特定できます。これらのツールを組み合わせることで、初回デプロイメントの前にセキュリティが稼働し、悪用可能なコードがクラウドに配信される可能性が低減されます。
構成と態勢の継続的監視
正しく記述されたコードであっても、誤って構成された環境にデプロイされるとリスクになり得ます。一般公開されたストレージバケット、過剰な権限を持つIAMロール、無効なロギングは非常によくある、そして防止できるミスであり、攻撃者によって頻繁に悪用されています。
フォーティネットは、FortiCNAPPに組み込まれたCSPMでこの問題に対処します。CSPMはデプロイ後の環境を継続的に監視し、構成ドリフト、セキュリティポリシー違反、リソースの不適切な変更などをチェックします。ワークロードがAWS、Azure、GCPのいずれにあろうと、あるいは複数のプロバイダーにまたがっていようと、FortiCNAPPは一元的な可視性と修復ガイダンスを提供します。
このようにリアルタイムで態勢を監視することで、共通のコンプライアンスフレームワークをサポートし、問題が深刻化する前にセキュリティチームが対策を実施できるようにします。
シグナルの組み合わせによる実行時のワークロード保護
クラウドネイティブのワークロードは絶え間なく変化します。コンテナは数秒で起動と停止を繰り返し、サーバーレス機能はオンデマンドで呼び出され、マイクロサービスは分散したレイヤーを横断して動作します。実行時の保護は、こうした動的コンテキストに応じて動作するように設計されていなければなりません。
Lacework FortiCNAPPのCWP機能は、実行時におけるアプリケーション、コンテナ、およびサーバーレスのワークロードの動作を監視します。標準動作のベースラインを設定し、異常を検知するほか、予期せぬプロセスの起動、権限昇格、コンテナ間のラテラルムーブメントなど潜在的な侵害にフラグを付けます。
ただし、FortiCNAPPはホストやコンテナのテレメトリだけを監視するのではありません。組み込みのCDR機能によって、Kubernetesやクラウドプロバイダーの監査ログをリアルタイムで分析し、制御プレーン自体の未承認アクセス、権限の不正使用、侵害の兆候なども検知します。こうした広範な可視性によって、エージェントベースのツールでは見落とされる可能性のある脅威を検知できる一方、運用コストが増加することはありません。
CWPとCDRからこれらの補完的シグナルを取得したら、フォーティネット複合アラートを使用して集約し、ランタイムエージェントとクラウド監査ログのシグナルを相関付けます。これにより、豊富なコンテキストに基づいた正確なアラートが生成され、チームは複雑な侵入行為も早期に検知し、より確実に対応することができます。その結果、検知できる範囲はより広く、誤検知はより少なくなります。
最も重要なアプリケーションレイヤーの防御
インフラストラクチャは重要ですが、クラウドネイティブな攻撃の多くはアプリケーション、特にWebアプリケーションとAPIを標的にします。ビジネスロジックの悪用、インジェクション、認証情報スタッフィングといった攻撃は、しばしばインフラストラクチャレベルの制御を完全に迂回してしまいます。
FortiWebおよびFortiWeb Cloudのアプリケーション向け機能である先進的なWAFとAPI保護は、FortiCNAPPのランタイムリスクモデルと緊密に統合されています。これによってエンドツーエンドの防御が確立され、着信トラフィックとその標的となるワークロードの動作を把握できます。
フォーティネットはWAFの情報とワークロードのテレメトリを関連付けることで、より的確な意思決定と迅速なレスポンスを可能にします。例えば、不正なAPIの振る舞いが検知され、それが異常なアクティビティに関係している場合、セキュリティチームは影響を受けたワークロードを直ちに隔離し、アクセスをエッジで遮断することができます。
セキュリティライフサイクル全体の自動化とオーケストレーション
コード開発から実行時までのワークロードを保護する作業は複雑ですが、適切な自動化によってその複雑さを大幅に軽減できます。FortiCNAPPはポリシーベースの制御、自動修復、FortiSOARとの統合をサポートし、チームを横断してワークロードをオーケストレーションします。
構成ミスが見つかると、FortiCNAPPは修正アクションを開始するか、担当チームへのチケットを発行します。実行時に不審な振る舞いが発生した場合はアラートを生成し、そのイベントを隔離した上で以前の脆弱性または露出ポイントと相関付け、セキュリティチームとDevOpsチームにコンテキストを提供します。
このような自動化機能は、クラウドセキュリティの拡張に必要不可欠であり、環境の変化に適応できるセキュリティ制御を実現します。手作業による常時監視は必要ありません。
ユーザーの進化に応じたクラウドセキュリティの構築
クラウドネイティブのワークロードでは、保護機能だけでなく適応性も重要です。環境は変化します。チームの処理速度は上がっています。新しいサービスが毎日のように導入されています。フォーティネットのCNAPPアプローチは、開発と歩調を合わせることを意図しており、お客様のインフラストラクチャに合わせて進化するカバレッジを提供します。
FortiCNAPPによって、IaCのコードスキャン、CSPM、実行時のワークロード保護、WAF、APIセキュリティが単一のプラットフォームに統合されるため、お客様はクラウドネイティブスタックのあらゆるレイヤーを保護することができます。さらに重要な点は、コードの1行目から本番トラフィックの最終パケットに至るまで、継続的でコンテキストに基づいたセキュリティが確保されることです。
CNAPPに関するFAQ
クラウドネイティブのワークロードを保護するのが難しいのはなぜですか?
クラウドネイティブのワークロードは短期的で、分散され自動化されています。そして多くの場合、従来のインフラストラクチャよりも急速に変化するコンテナ、サーバーレス機能、IaCなどが使用されています。そのため、開発、デプロイメント、実行時にまたがる継続的なセキュリティが必要になるのです。
Lacework FortiCNAPPはコードからランタイムまでのワークロードをどのように保護するのですか?
FortiCNAPPは、CI/CDパイプラインでコードとインフラストラクチャのテンプレートをスキャンし、デプロイメント後はクラウド構成を監視し、実行時には振る舞いベースの検知を使ってワークロードを保護します。さらに、FortiWebと連携してアプリケーションレイヤーのトラフィックも保護します。
実行時の保護はCNAPPでどのような役割を果たしますか?
実行時の保護は、稼働中のワークロードで発生する攻撃を検知する上で非常に重要です。FortiCNAPPは、コンテナやサーバーレス環境におけるプロセスの動作、ファイルの変更、ラテラルムーブメントを監視し、迅速な検知と自動レスポンスを可能にします。
CNAPPソリューションはマルチクラウドやハイブリッドの展開に対応していますか?
はい。FortiCNAPPは、一元的なポリシーの適用と可視性によってAWS、Azure、GCP、およびハイブリッド環境をサポートしているため、お客様はサイロ化したツールやプラットフォーム固有の制約に縛られることなく、クラウドネイティブなアプリケーションのリスクを管理できます。