クラウドネイティブの基礎

CNAPP入門

2025.01.20

CNAPP（クラウドネイティブ・アプリケーション・プロテクション・プラットフォーム）入門

クラウドネイティブなアプリケーションの開発と運用は、ビジネスの俊敏性を高め、市場競争力を強化する強力な手段となっています。しかし、その一方で、従来型のセキュリティ対策では対応できない新たな課題も浮き彫りになっています。本稿では、これらの課題と、それらに対処するためのソリューションとして注目を集めるCNAPP（クラウドネイティブ・アプリケーション・プロテクション・プラットフォーム）について、SCSKエンジニアの視点から解説します。

1. クラウドネイティブな環境における課題

クラウドネイティブな環境は、マイクロサービスアーキテクチャ、コンテナ、サーバーレス関数、そして動的なインフラストラクチャといった、従来とは大きく異なる特徴を持っています。これにより、開発スピードは劇的に向上しますが、同時にセキュリティとコンプライアンスの管理は複雑化し、大きな課題となっています。

まず、ツール間の統合不足が挙げられます。クラウドネイティブな環境では、複数のクラウドプロバイダーや様々なツールを利用することが一般的です。これらのツールはそれぞれ独立しており、統合されたセキュリティ管理が困難です。結果として、セキュリティ担当者は複数のツールを個別に管理し、アラートを統合して分析する必要があり、効率性が著しく低下します。

次に、可視性の低さです。コンテナやサーバーレス関数は、その性質上、短時間で生成・消滅するため、従来型のセキュリティツールでは追跡が困難です。また、クラウド環境におけるリソースの動的な変化も、可視性の低下につながります。セキュリティ上の脅威を早期に検知・対応するためには、包括的な可視性が必要です。

さらに、開発速度とのトレードオフも課題です。開発チームは、迅速なリリースサイクルを実現するために、セキュリティ対策を後回しにする傾向があります。セキュリティを重視するあまり、開発スピードが低下してしまうというジレンマも存在します。これらの課題は、セキュリティ事故のリスクを高め、ビジネスに深刻な影響を与える可能性があります。

2. CNAPPとは

CNAPPは、上記のようなクラウドネイティブ環境におけるセキュリティ課題を解決するために登場した概念です。ガートナーはCNAPPを「開発環境と本番環境の両方でクラウドネイティブアプリケーションのセキュリティと保護を支援するために設計された、セキュリティとコンプライアンスに関連したセット」と定義しています。

この「セット」には、以下の4つの主要な機能が含まれています。

CWPP (クラウドワークロード保護プラットフォーム)
仮想マシン、コンテナ、サーバーレス関数といったクラウドワークロードの保護を行います。脆弱性スキャン、ランタイムセキュリティモニタリング、そしてゼロトラストセキュリティの実装などが含まれます。

CSPM (クラウドセキュリティポスチャ管理)
クラウド環境における設定ミスやセキュリティ上の脆弱性を検知し、コンプライアンスの維持を支援します。クラウドリソースの設定、アクセス制御、IDとアクセス管理（IAM）などを監視します。

CIEM (クラウドインフラストラクチャ・エンタイトルメント管理)
クラウド環境におけるアクセス権限を管理し、最小権限の原則を実現します。不要なアクセス権限を特定し、セキュリティリスクを軽減します。

CDR (クラウド検知・対応)
クラウド環境におけるセキュリティインシデントを検知し、迅速な対応を支援します。ログ分析やセキュリティ情報イベント管理（SIEM）機能が統合されています。

CNAPPイメージ図

3. １つの製品によりCNAPPを構成するSysdig

Sysdigは、これらの4つの機能を単一のプラットフォームで提供するCNAPPソリューションです。単一プラットフォームによって、様々なツール間の統合や情報の一元管理を実現し、セキュリティ管理の効率化を図ることが可能です。

Sysdigは、コンテナやKubernetes環境に特化した深い可視性と、高度なセキュリティ機能を提供します。ランタイムレベルでの挙動監視により、従来型のセキュリティツールでは検知できない高度な脅威にも対応できます。また、Agentlessでの導入も可能なため、最小限のリソースで効率的なセキュリティ対策を実現できます。