Wizはお客様のクラウド環境をどのようにスキャンしているのか?
Wizを利用したクラウド環境のスキャン方法を解説します。
東京エレクトロンデバイスではクラウドネイティブなセキュリティプラットフォーム「Wiz CNAPP」を取り扱っています。
このWizを活用することで、お客様のクラウド環境に対して以下のことがワンプラットフォームで実現できます。
- クラウド環境内のすべてのリソースと潜在的なリスクの可視化
- セキュリティ向上のための具体的な対処法の提示
- 課題に優先順位をつけ、効率的なセキュリティ運用を実現
「Wizとは?」「CNAPPとは?」「近年のセキュリティ対策の動向」といった基本情報については、別記事で詳しく紹介しておりますので、ぜひそちらもご覧ください。
Wizによるスキャンの仕組み
それでは、Wizがクラウド環境をどのようにスキャンするのかを具体的に見ていきましょう。
ステップ1:API接続(エージェントレス)
Wizは、クラウドサービスプロバイダー(CSP)が提供するAPI経由で環境にアクセスします。
この接続は完全にエージェントレスで、インストールやソフトウェアのデプロイは不要です。
セットアップは非常に簡単で、数分以内に接続を完了できます。
クラウドアカウントには読み取り専用の最小権限ロールを付与するだけで、Wizが情報を取得できるようになります。
ステップ2:コントロールプレーンの可視化
Wizはまずクラウドのコントロールプレーンをスキャンし、環境全体を包括的に把握します。
- 仮想マシン(VM)
- コンテナ
- サーバーレスファンクション
- ストレージやネットワーク設定
- IDやアクセス制御
など、あらゆるクラウドリソースを対象に可視化を行います。
Wizは、AWS / Azure / GCP / Oracle Cloud / Alibaba Cloud / Kubernetes / VMware など、主要なクラウドプラットフォームを幅広くサポートしています。
ステップ3:ディープアセスメント(内部スキャン)
次に、Wizは対象リソースのディスクスナップショットを一時的に取得し、より深いスキャンを行います。
この「ディープアセスメント」では、以下のような情報を取得できます。
- 既知の脆弱性(CVE)
- 設定ミス(Misconfiguration)
- マルウェアの兆候
- シークレットの漏洩リスク
- ラテラルムーブメント(横展開)の可能性
- 通常では見つけにくい複雑な攻撃経路
スナップショットはスキャン完了後に自動削除され、実際のリソースには一切変更やインストールが行われません。
そのため、パフォーマンスや可用性に対する影響はありません。
ステップ4:リスクの相関とIssue化
Wizは収集したデータをもとに各リソースのリスクを自動で分析・相関し、
環境内で最も影響の大きい組み合わせを、有害な組み合わせ(Toxic Combination)として特定します。
これらは「Issue(イシュー)」としてWizポータル上に表示され、
- 重大度(Critical/High/Medium/Low)
- 関連リソース
- 推奨される修復手順
などが一目で確認できるようになっています。
まとめ
Wizは、エージェントレスで手軽に導入できるにもかかわらず、
クラウド環境全体を網羅的かつ深くスキャンし、実用的なセキュリティインサイトを提供してくれます。
今回は「Wizがどのようにクラウド環境をスキャンしているか」というテーマでご紹介しました。
導入に必要な条件や対応クラウド、取得できるリスク情報のイメージを持っていただけたかと思います。
今後も、Wizに関する実践的な情報を継続して発信してまいります。
ぜひ次回の記事もご覧ください!
この記事の投稿者tone
セキュリティ製品のプリセールスを担当しています。
この記事をシェア
