クラウド 2023.05.15

CNAPPとは？「CSPM」や「CWPP」クラウド利用者ならマストで押さえておきたい基本情報をおさらい

CNAPP
CSPM

はじめに

企業のクラウドシフトが進み、社内にオンプレミスサーバを設置して運用されていたのも、今ではIaaS/PaaSをはじめとしたパブリッククラウドを利用した企業が多くなってきました。一方で、パブリッククラウドをご利用されることから企業におけるサイバーセキュリティ対策について、さらに視野を広くして考えていく必要もあります。
クラウドセキュリティ対策を検討されている方の中には、最近よくCNAPPと言うワードを耳にする方もいるのではないでしょうか。
本記事では、CNAPPとは何かを改めて簡単に整理させていただき、この考え方には必須となるCSPMおよびCWPPの2つを軸に解説をさせていただきます。

1. CNAPPとは？

1-1. クラウド環境利用時のセキュリティ上の課題

まず、CNAPPを説明する前に、パブリッククラウドを利用した場合のセキュリティ上の課題を整理します。冒頭の通り、企業の環境変化に伴いIaaS/PaaS製品をはじめとしたパブリッククラウドの利用機会が増加しております。パブリッククラウドの例としてAWS、Microsoft Azure、GCP等が挙げられ、特長として、利用したい分だけ利用できるためコストが抑えられることや、サービス事業社にて管理されているため企業で管理する必要が無い等、多くのメリットがあげられます。
パブリッククラウドは利用が簡単な反面、攻撃者は目的とした情報の置き場所に関係なく攻撃を仕掛けてくることから、結果として利用しているパブリッククラウドも攻撃の侵入手段の1つになってしまいます。

例）

クラウドサービスの設定ミス/セットアップミスによる情報漏洩
アカウントの不正利用および不正アクセス
クラウド上の資産やコンテナに対する攻撃(マルウェアや脆弱性を狙った攻撃等)

また、前提としてサービス事業者より提供されているクラウド環境を利用するとはいえ、いずれにおいても利用者側にも責任範囲があります。言い換えると、利用者自身でパブリッククラウドを使用するにあたり、セキュリティ対策を講じていく必要があります。

このようにサービス事業社が提供している、パブリッククラウド環境を利用した場合においても、サイバーセキュリティの被害は利用者側の責任になることから、企業ごとに対策を考えていく必要があります。

1-2. CNAPPの概要

CNAPPとは、Cloud Native Application Protection Platformの略で、クラウド環境におけるサイバーセキュリティの保護を実現する為に、様々なクラウドセキュリティの機能を統合すると言った概念となります。機能としては下記のような製品群の組み合わせが代表例として挙げられます。

代表例）

CSPM （Cloud Security Posture Management）
CWPP（Cloud Workload Protection Platforms）

等

CNAPPのコンセプトを理解する上で、代表例に挙げたCSPMおよびCWPPの機能についても知る必要があります。これらの説明をするにあたり、まずクラウドセキュリティにおける対策範囲について整理してみます。利用するクラウド環境を分類すると、下記のように大きく2つに分けることができます。

具体的には、DockerやKubernetesをはじめとしたコンテナ/サーバレス環境（ワークロード）とAWS, Azure, GCPをはじめとしたクラウドサービスに分けて考えることができ、監視対象のイメージとしては上記図の通りです。このようにCWPP/CSPMでは監視対象が異なるソリューションとなる為、それぞれの必要性や課題も異なってきます。

2. CWPP/CSPMはどのようなソリューションか？

2-1. CWPPの概要

CWPPはCloud Workload Protection Platformの略称で様々なコンテナやサーバレスをはじめとしたクラウドワークロードを監視/保護するソリューションです。製品にもよりますが、対象がコンテナ等のワークロード環境となりますので、環境毎にエージェントをインストールして監視をする形になります。
コンテナの脅威や課題について、あまり聞きなじみがないかもしれませんが、例えば下記例が挙げられます。

「構成の可視化」：無秩序なコンテナの乱立
✔ 運用者側でコンテナの管理をしきれない
✔ 脆弱なイメージと気付かず、許可なくコンテナを構築

「コンテナへの攻撃の可視化/防御」：コンテナに対する攻撃
✔ クラウド基盤乗っ取りによる不正マイニング
✔ Docker関連の通信の増加(DockerAPIの2375/TCP宛のパケット)
✔ Kubernetes脆弱性の悪用（CVE-2022-0185：バッファオーバフローの欠陥）

「脆弱なコンテナイメージ」：セキュリティ上での問題があるイメージのデプロイ
✔ パッケージが古くて脆弱
✔ マルウェアが仕込まれている
✔ パスワード等の情報がイメージに入り込んでしまっている

上記の通り、クラウドワークロード環境における課題感は攻撃の脅威の他、運用管理やイメージそのものの悪用と考えるべき観点は多く、クラウドワークロード環境を保護・可視化する為にCWPP製品を導入いただく意義があります。

2-2. CSPMの概要

CSPMはCloud Security Posture Managementの略称でIaaS/PaaSのクラウドサービスにおける管理の可視化を提供するソリューションです。
具体的なCSPMの機能として、クラウドサービスにおけるリソースの可視化・設定ミス・コンプライアンス診断・修復が挙げられます。

「リソースの可視化」
✔ クラウドサービス環境のリソース状況および利用者の把握
✔ アカウント・リージョン・仮想ネットワーク全体をコンソールで管理

「設定ミス」
✔ 利用しているクラウドサービスが正しく設定されているか
✔ クラウドアプリケーションの設定を業界・組織のベンチマークと比較してセキュリテ
　ィリスクを排除

「コンプライアンス診断」
✔ コンプライアンス遵守の為にどのようにクラウドインフラを評価すべきか

「修復」
✔ 設定ミスによる問題のある環境の洗い出し
✔ 設定ミス・IPポートの開放・不正な変更等、危険な状態であるクラウド環境に対して
　ガイド付きの修復案内の表示

特に設定ミスについては利用者が意図して設定するものでは無い為、利用者の気付かないところでインシデントが起こり得ると言ったリスクが潜んでいます。設定ミスが原因で起こったインシデント例として、AWSストレージサービスのS3バケットが公開された設定のまま情報を保存された事例が挙げられます。この事例では、実際にお客様の個人情報を含む機密データがS3バケット内の不適切な設定によって外部に公開された状態で保管されておりました。
クラウドサービスは簡単に利用ができるものの、利用者によって細かい設定管理まで行き届いていないのも事実です。クラウドサービス側のリスク特定や可視化はセキュリティ運用上も必要なものであり、CSPMを導入することが重要となります。