CNAPPとは？「CSPM」や「CWPP」クラウド利用者ならマストで知っておくべき基本情報をおさらい

はじめに

企業のクラウドシフトが進み、社内にオンプレミスサーバを設置して運用されていたのも、今ではIaaS/PaaSをはじめとしたパブリッククラウドを利用した企業が多くなってきました。一方で、パブリッククラウドをご利用されることから企業におけるサイバーセキュリティ対策について、さらに視野を広くして考えていく必要もあります。
クラウドセキュリティ対策を検討されている方の中には、最近よくCNAPPと言うワードを耳にする方もいるのではないでしょうか。
本記事では、CNAPPとは何かを改めて整理し、この考え方に必須となるCSPMとCWPPの2つの要素を中心に解説します。

目次

1. CNAPPとは？
   1-1. クラウド環境利用時のセキュリティ上の課題
   1-2. CNAPPの概要
2. CWPP/CSPMはどのようなソリューションか？
   2-1. CWPPの概要
   2-2. CSPMの概要
3. クラウドストライクが提供するCNAPP

1. CNAPPとは？

1-1. クラウド環境利用時のセキュリティ上の課題

まず、CNAPPを説明する前に、パブリッククラウドを利用した場合のセキュリティ上の課題を整理します。冒頭の通り、企業の環境変化に伴いIaaS/PaaS製品をはじめとしたパブリッククラウドの利用機会が増加しております。パブリッククラウドの例としてAWS、Microsoft Azure、GCP等が挙げられ、特長として、利用したい分だけ利用できるためコストが抑えられることや、サービス事業社にて管理されているため企業で管理する必要が無いなど、多くのメリットがあげられます。
パブリッククラウドは利用が簡単な反面、攻撃者は目的とした情報の置き場所に関係なく攻撃を仕掛けてくることから、利用しているパブリッククラウドも攻撃の侵入手段の1つになってしまいます。

例）

• クラウドサービスの設定ミス/セットアップミスによる情報漏洩
• アカウントの不正利用および不正アクセス
• クラウド上の資産やコンテナに対する攻撃(マルウェアや脆弱性を狙った攻撃 など

また、前提としてサービス事業者より提供されているクラウド環境を利用するとはいえ、利用者側にも責任範囲があります。言い換えると、利用者自身でパブリッククラウドを使用するにあたり、セキュリティ対策を講じていく必要があります。

このようにサービス事業社が提供しているパブリッククラウド環境を利用した場合においても、サイバーセキュリティの被害は利用者側の責任になることから、企業ごとに対策を考えていく必要があります。

1-2. CNAPPの概要

CNAPPとは、Cloud Native Application Protection Platformの略で、クラウド環境におけるサイバーセキュリティの保護を実現する為に、様々なクラウドセキュリティの機能を統合するという概念です。機能としては、下記のような機能製品群の組み合わせが代表例として挙げられます。

代表機能例）

• CSPM （Cloud Security Posture Management）
  • クラウド環境全体の設定ミスやセキュリティリスクを検出し、適切な状態を維持するための管理機能。
• CWPP（Cloud Workload Protection Platforms）
  • クラウド上のワークロード（コンテナ、仮想マシンなど）の脆弱性やマルウェアから保護し、実行時のセキュリティを強化する機能。
• SCA（Software Composition Analysis）
  • ソフトウェアに含まれるオープンソースやサードパーティライブラリの脆弱性やライセンスリスクを分析する機能。
• CIEM（Cloud Infrastructure Entitlement Management）
  • クラウドインフラにおけるユーザー権限やアクセス制御を適切に管理し、過剰な権限や不正アクセスのリスクを低減する機能。
• IaC（Infrastructure as Code） Scanning
  • コード化されたインフラストラクチャのテンプレートを解析し、デプロイ前に設定ミスやセキュリティリスクを検出する機能。など
    
    

本記事では、代表例に挙げたCSPMおよびCWPPの機能について詳しくご紹介します。

これらの説明をするにあたり、まずクラウドセキュリティにおける対策範囲について整理してみます。利用するクラウド環境を分類すると、下記のように大きく2つに分けることができます。

具体的には、DockerやKubernetesをはじめとしたコンテナ/サーバレス環境（ワークロード）とAWS, Azure, GCPをはじめとしたクラウドサービスに分けて考えることができ、監視対象のイメージとしては上記図の通りです。このようにCWPP/CSPMでは監視対象が異なるソリューションとなる為、それぞれの必要性や課題も異なってきます。

2. CWPPとCSPMとは？

2-1. CWPPの概要

CWPPはCloud Workload Protection Platformの略称で様々なコンテナやサーバレスをはじめとしたクラウドワークロードを監視/保護するソリューションです。製品にもよりますが、対象がコンテナ等のワークロード環境となりますので、環境毎にエージェントをインストールして監視をする形になります。
コンテナの脅威や課題について、あまり聞きなじみがないかもしれませんが、例えば下記例が挙げられます。

• 構成の可視化： 無秩序なコンテナの乱立
  • 運用者側でコンテナの管理をしきれない
  • 脆弱なイメージと気付かず、許可なくコンテナを構築
• コンテナへの攻撃の可視化/防御：コンテナに対する攻撃
  • クラウド基盤乗っ取りによる不正マイニング
  • Docker関連の通信の増加(DockerAPIの2375/TCP宛のパケット)
  • Kubernetes脆弱性の悪用（CVE-2022-0185：バッファオーバフローの欠陥）
• 脆弱なコンテナイメージ：セキュリティ上での問題があるイメージのデプロイ
  • パッケージが古くて脆弱
  • マルウェアが仕込まれている
  • パスワード等の情報がイメージに入り込んでしまっている

上記の通り、クラウドワークロード環境における課題感は攻撃の脅威の他、運用管理やイメージそのものの悪用と考えるべき観点は多く、クラウドワークロード環境を保護・可視化する為にCWPP製品を導入いただく意義があります。

2-2. CSPMの概要

CSPMはCloud Security Posture Managementの略称でIaaS/PaaSのクラウドサービスにおける管理の可視化を提供するソリューションです。
具体的なCSPMの機能として、クラウドサービスにおけるリソースの可視化・設定ミス・コンプライアンス診断・修復が挙げられます。

• リソースの可視化
  • クラウドサービス環境のリソース状況および利用者の把握
  • アカウント・リージョン・仮想ネットワーク全体をコンソールで管理
• 設定ミス
  • 利用しているクラウドサービスが正しく設定されているか
  • クラウドアプリケーションの設定を業界・組織のベンチマークと比較してセキュリティリスクを排除
• コンプライアンス診断
  • コンプライアンス遵守の為にどのようにクラウドインフラを評価すべきか
• 修復
  • 設定ミスによる問題のある環境の洗い出し
  • 設定ミス・IPポートの開放・不正な変更など、危険な状態であるクラウド環境に対してガイド付きの修復案内の表示

特に設定ミスについては利用者が意図して設定するものでは無い為、利用者の気付かないところでインシデントが起こり得ると言ったリスクが潜んでいます。設定ミスが原因で起こったインシデント例として、AWSストレージサービスのS3バケットが公開された設定のまま情報を保存された事例が挙げられます。この事例では、実際にお客様の個人情報を含む機密データがS3バケット内の不適切な設定によって外部に公開された状態で保管されておりました。
クラウドサービスは簡単に利用ができるものの、利用者によって細かい設定管理まで行き届いていないのも事実です。クラウドサービス側のリスク特定や可視化はセキュリティ運用上も必要なものであり、CSPMを導入することが重要となります。

3. マクニカの提供するCNAPP

ここまで、CNAPPおよびCWPP/CSPMについて解説してきましたが、マクニカでは、CrowdStrike、及びPrisima CloudをはじめとしたCNAPPソリューションを提供しております。本記事では、CrowdStrikeのクラウドセキュリティ保護を包括する3つの機能をご紹介します。

・Falcon Cloud Workload Protection

クラウドワークロード保護が提供された本機能では、ホスト上で稼働しているコンテナのみならず、Kubernetes等のサーバレス型のコンテナにおいてもサービスが提供されます。

▼主な機能

• クラウドワークロード環境の保護
  • ホスト上のコンテナおよびサーバレス型コンテナにおける攻撃の検知の提供
• イメージファイル内のリスクの検索
  • コンテナイメージをスキャンして有害ファイルや脆弱性の有無の確認
• イメージスキャン
  • 利用するレジストリ内の各イメージを定期的にスキャン
• Kubernetesの状態監視
  • EKSおよびクラスタ環境のKubernetesシステムに対する可視性を提供

・Falcon Horizon

クラウドサービスが対象の本機能では、クラウドサービスの設定とアクティビティを評価して、セキュリティリスクを示す可能性のある潜在的な設定ミスと疑わしい動作/攻撃パターンを特定します。

▼主な機能

• クラウド環境における設定ミスの検知
  • ポリシーチェックによる設定不備の洗い出し
• クラウド環境への攻撃を検知
  • AWS, Azure, GCP環境への侵害を前提とした攻撃の痕跡の把握
  • CrowdStrikeのインテリジェンスよりクラウド環境への攻撃を検知
• コンプライアンス適用
  • クラウド環境がコンプライアンス基準（CIS, PCI, NIST）への適用をサポート

・Discover for Cloud and Container

本機能では、クラウド環境の管理を目的としており、コンテナ等のワークロードおよびAWS, Azure, GCPと言ったクラウドサービスの資産を可視化する機能となります。

▼主な機能

• AWS, GCP, Azureと言ったパブリッククラウド環境上で稼働するインスタンスや仮想マシンに対する可視性の提供
• インスタンスやコンテナのメタデータを分析して、全体のセキュリティ改善をサポート

4. まとめ

• CNAPPはクラウドセキュリティの運用を集約したもので、CWPP/CSPMをはじめとした製品群を統合した概念・考え方
• CWPP/CSPMはクラウド環境における監視を司っており、CWPPではクラウドワークロードの保護、CSPMではクラウドサービスにおける可視化を実現
• マクニカでは様々なCNAPPソリューションを取り扱い、CrowdStrikeでは、CWPP/CSPMが1つのコンソールで提供

CNAPPに関するご不明点などございましたら、是非マクニカまでお気軽にお問い合わせください。

▼関連ブログ
CNAPP大解剖 -強固なアプリケーションライフサイクルのためのセキュリティ実装- | MNB（マクニカネットワークスブログ）
CNAPPによるクラウド環境の包括的な保護 ～ASM連携による管理外クラウドの対策強化～

▼関連ソリューション
CrowdStrike

▼CrowdStrikeに関するお問い合わせ
　　　　　

Prisma Cloud CNAPP（Cloud Native Application Protection Platform） 

▼Prisma Cloudに関するお問い合わせ