CNAPPとは ~CNAPP誕生秘話編~
近年、セキュリティ業界はIaaSセキュリティに関する新語で盛り上がっています。
CSPM、CIEM、CWPP、DSPM etc,,,
正直食傷気味なくらいです。
しかし何故に多くの新語が出てきたのでしょうか。
もちろんIaaS周りのインシデントが多発しているからです。
何故インシデントが多発するのか?
では何故インシデントが多発するのか?
その主な理由は、クラウドサービスに付帯する責任共有モデルにあります。
SaaSとIaaSの管理者権限をほんの少しでも経験されたことがある方はお分かり頂けると思いますが、インフラ管理における両者の自由度/責任度はまるで異なります。
SaaSではインフラ管理の自由度が低く、責任を負う範囲も限定されています。
従ってID管理やアクセス管理を丁寧に行っていれば、セキュリティインシデントはなかなか起こり得ません。
IaaS周りのインシデント
しかしIaaSは違います。
インフラ管理の自由度が高いということは、管理をしなければならない項目が爆発的に増え、また可視化が困難になることを意味します。
ましてや企業内で部署毎にIaaSの契約を結ぶとなると、潜在的なリスクはその都度高まることになります。
IaaS周りのインシデント多発は、そのアーキテクチャ上ある意味宿命とも言えます。
Gartnerが別の新語を定義
そのような背景を踏まえて前述の通り新語が沢山生まれ、そしてそれぞれに準じた多くのセキュリティサービスがリリースされました。
しかしエンドユーザーとしての立場を鑑みた際、これらのサービスをそれぞれ個別に導入しなければならないのか、こりゃ大変だと思っていた矢先、米国の市場調査会社のGartnerが別の新語を定義しました。
それが「CNAPP(シーナップ)」、すなわちCloud Native Application Protection Platform(クラウドネイティブ・アプリケーション・プロテクション・プラットフォーム)です。
CNAPP生誕
CNAPPは、クラウドネイティブ・アプリケーションを開発から本番稼動まで安全に保護することを目的として設計された、セキュリティとコンプライアンス機能を有機的に統合したソリューション、を意味します。
これまで個別提供され、サイロ化されていた各種機能を同ソリューションはすべて統合配下に置くことを是とします。
例:SAST、DAST、APIセキュリティ、SCA、脆弱性管理、IaCスキャニング、CSPM、CIEM、KSPM、DSPM、WAAP、CWPP、他
Gartnerの影響力は大きいため無視できません。
マーケットは一斉に反応を示し、数多のクラウドセキュリティベンダーは自社のソリューションをCNAPPである、とマーケティングメッセージを変えてきました。
但し注意が必要なのは、GartnerのCNAPPの定義は理想的でありながらも広範囲にわたることです。
現時点に於いては、CNAPPの定義をすべて満たすワンストップのソリューションを提供するベンダーは存在しませんし、それを必須の条件としてベンダーに無理強いするべきではないでしょう。
勿論ベンダー各社、この定義に見合うようにサービスのアップデートを日々行ってはおりますが。
結局のところ、今後IaaS関連のセキュリティを検討する際には、CNAPPの概念を理解しておくだけで十分でしょう。