CNAPPとは ~CNAPP詳細解説編~
マルチクラウドで展開されるクラウドネイティブなアプリケーションを保護するCNAPPの概要をご説明します。
はじめに
こんにちは。東京エレクトロンデバイスで営業をしているミヤモトです。
今回は、クラウドセキュリティで注目を集めているCNAPPについて概要をご説明します。
CNAPPとは?
CNAPPは、Cloud Native Application Protection Platformの略で、頭文字をそのまま並べてシーナップと呼ばれています。技術の規格ではなく、クラウドセキュリティの中でのカテゴリーの名前です。
一部ではクラウドネイティブ アプリケーション保護プラットフォームとも呼ばれますが、ここでは簡潔にCNAPPと呼ぶことにします。
CNAPPの役割は、「クラウドネイティブなアプリケーションとそれらが動作するインフラストラクチャの保護」となります。インフラストラクチャをこの先マルチクラウドと表現しますが、マルチクラウドのみならず、シングルクラウドの環境でももちろん利用可能とご理解ください。
クラウドセキュリティの課題
オンプレミスのITリソース上で動かしていたシステムやアプリケーションをパブリッククラウドへ移行し適材適所でパブリッククラウドを使い分けすることでマルチクラウド環境のインフラを利用するのが主流になってきています。
マルチクラウド=複数のCSP(クラウドサービスプロバイダー、クラウド事業者)となりますので異なる特性のものを利用するということになります。また、仮想マシンやコンテナ、サーバレスなど複数のアーキテクチャを採用することで利用環境が複雑になることに加え、CSPも次々と改修や新機能の追加などを行うため利用環境全体がさらに複雑になり全体像をつかみにくくなってきます。
複数のシステムやアプリケーションをマルチクラウド環境に移行すると複数の場所にデータが分散して配置されることになり、結果、攻撃を受ける対象領域が増加していくことになります。クラウドの設定ミスを防げば多くの事故(インシデント)は防ぐことが出来ると説明しているメーカーもあるようですが、設定ミスを防ぐことは対処の1つであって十分ではありません。攻撃者は複雑で分散された環境の中に潜む構成ミスや脆弱性、コードの問題などあらゆる手段を使って対象のシステムの攻撃機会を狙っています。
環境とリスクの両面が複雑になることでクラウド環境全体の把握が困難になり、それぞれの課題に対処するためのツール群だと
解決に要する時間もかかってしまうということになります。
サイロ化するツール群
もちろん、各CSPもユーザーに対して各種ツール群を提供していますが、課題対処のために複数のツールを使いこなすことになります。CSPが異なれば用意されているツールも同じセットでというわけにはいきませんし、それぞれのツール同士の連携もあったり、なかったり、そもそも目的は同じでも異なるCSPから提供されるツールのため機能差分は出てきてしまいますし、全てを学習するコストもかかります。
また、CSPではなく第三者のセキュリティベンダーから課題ごとのソリューションを採用する場合もあるかと思いますが、こちらも同じように異なるソリューション間の連携は疎結合であることは普通ですので仮に連携したとしても粒度の粗い連携となるか連携が全くないということも想像されます。そうなりますとユーザーがその間を埋めなければなりませんので使いこなすという面ではずいぶんハードルが高い選択肢になってしまいます。
このような課題を解決するためのアプローチとして、CNAPPが注目されています。
CNAPPは、統合プラットフォーム
CNAPPは、複数の異なるセキュリティ対策と保護の機能を1つのプラットフォームとして統合することで、セキュリティツールの複雑さを軽減し、セキュリティの向上とコンプライアンスへの準拠、開発から運用までのガイドラインとして効果を発揮します。開発者やセキュリティエンジニアは、サイロ化されたツール群からのアラートや検出結果で過負荷になりますし、そもそも異なるツール群からのアラートの意味を全て理解し解決すべき問題個所の特定から修復をおこなうには高度な知識と経験が必要となります。そのため、CNAPPに求められることは単に統合されたプラットフォームであることに加え、問題個所を文脈で指し示し(コンテキスト化)修復までのガイドラインを提示することが求められます。
これらCNAPPに必要となる個別の機能については別途ご説明したいと思います。
クラウドセキュリティの戦略として
最後に、CNAPPをどういう方が利用することを想定しているかも触れておきたいと思います。
組織ごとに人員の配置や役割分担は異なりますので例としてですがが、クラウドネイティブな環境をユーザーに提供する場合に於いては図のような担当が関わることが想定出来ますが、CNAPPはこれらすべての担当が利用しコラボレーションを促進することを想定されています。
開発者の方はクラウドインフラを利用しながらアプリケーション開発を行いますが、セキュリティや脆弱性への対処から運用タスクまで責任が高まっていますのでCNAPPを利用しながらセキュリティリスクを排除した開発を行い本番展開につなげていくシフトレフトを実現します。クラウドのアーキテクトやセキュリティエンジニアは単一のプラットフォームでマルチクラウド環境の完全な可視性を手に入れ、攻撃を受ける前にリスクへの対応を行うのに加え有事の際には攻撃経路の解析や修復にCNAPPを活用します。
CISOと呼ばれる情報セキュリティ統括者は、このようなソリューションを導入することで現場の担当者の方々に運用の複雑さを軽減しライフサイクル全体でクラウドネイティブなアプリケーションの保護を実現するとともに、自身ではコンプライアンスを含めた全体把握の手段を手に入れることになります。
まとめ
まとめますとCNAPPは、「開発から運用までクラウドネイティブなアプリケーション全体と関係するインフラストラクチャを保護するためのツールで複数のセキュリティ機能を1つに統合したプラットフォーム」となります。 セキュアでモダナイズされたクラウド利用に向けてご参考になりましたら幸いです。