ブログ

【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ

2024年度クラウドネイティブセキュリティおよび利用状況レポート

第8回のブログは大野が担当します。

 今回は「CNAPPの理解とSysdigのカバレッジ」と題して、CNAPPおよびSysdigとの関連性についてまとめます。

はじめに

 クラウドセキュリティ周りの用語は、どんどん新しい用語が出てくるのでキャッチアップするのが大変です。そして昨年、Gartnerが発表した用語が「CNAPP(シーナップ)」です。

 

CNAPPという言葉が出てくる背景には、アプリケーションの開発環境にIaaSでのクラウドサービス契約が必要であることが関連しています。

クラウドサービスの責任共有モデルをご存じの方はわかると思いますが、特定のサービスに利用するSaaSでは、管理責任範囲が狭いです。ID管理やアクセス管理をしっかり行っていればそうそうインシデントは発生しません。

しかし、アプリ開発環境となると言語・開発手法・フレームワークなど多岐にわたります。

そのため環境自由度の高いクラウドサービスであるIaaSでの契約が必要となります。

 

IaaS環境における必要なセキュリティーソリューションは、発生するインシデントに合わせてそれぞれ個別に複数のベンダーから提供されてきました。

 

・脆弱性スキャン ・CWPP ・CSPM ・CIEM ・KSPM ・IaCスキャン

その他もろもろ

このような背景があり、Gartnerが主にIaaSを主としたクラウドサービスを安全に保護することを目的としたセキュリティ・コンプライアンス機能を、統合してまとめました。

その考え方・ソリューションが「CNAPP(シーナップ)」となります。

CNAPP= Cloud Native Application Protection Platform

クラウドネイティブ・アプリケーション・プロテクション・プラットフォーム 

  

先日、発表されたGartnerの「CNAPP Detail View」による、解釈だと以下がCNAPPであるとのことです。

20240806-1.png

かなり複雑で多くの機能をCNAPPとしています。

そのため、現時点でCNAPPの定義を全て満たすセキュリティサービスは存在しないでしょう。

 

ここで「CNAPP」の大きな機能を簡単に説明します。

CNAPPとは

 「開発環境と本番環境の両方でクラウドネイティブアプリケーションのセキュリティと保護を支援するために設計されたセキュリティとコンプライアンスに関連したセット」

 

「セット」を構成する機能 

CWPP

クラウドワークロード保護プラットフォーム

クラウド上の仮想環境やコンテナ環境の保護

脆弱性管理やランタイム検出を行い、ゼロトラストを実現

CSPM

クラウドセキュリティポスチャ管理

クラウド上のリソースに対する設定チェック

脅威となりうる設定を修正し、攻撃リスクを低減

CIEM

クラウドインフラストラクチャ権限管理

クラウドにおける権限管理

パブリッククラウドの原則である最小権限を実現

CDR

クラウド検知・対応

クラウド環境における操作ログの監視

セキュリティインシデントの影響を軽減

Sysdigでは以下のように実現しています。

Sysdigではこれらの機能を1つのプラットフォームで管理可能

CWPP

脆弱性スキャン

様々なフェーズで脆弱性スキャンを実行可能(パイプライン、レジストリ、ランタイム)

 

ランタイム検知

システムコールを監視し、あやしいふるまいを検知

CSPM

コンプライアンスチェック

Kubernetesやクラウド上のリソースを設定チェック。望ましい設定を提案。

CIEM

権限管理

操作情報を基に、過剰な権限を特定。最適な権限を提案。

CDR

ランタイム検知

操作ログを監視し、あやしいふるまいを検知

Sysdig導入のメリット

  • 収集した情報を相関分析して攻撃経路を可視化
  • トラブルシューティングに生成AIを実装(近日公開予定)
  • CSPM、CIEMはクラウド環境でAgentless導入可能(最小限のリソースで機能を提供)

 

 SysdigがカバーするCNAPPの領域を、先ほどのGartner「CNAPP Detail View」で、見てみましょう。

20240806-2.png

Sysdigは広範囲に機能をカバーしていると言えます。

※おそらくここまでカバーできるサービスはほぼないでしょう。

これは、DevOps領域に特化したサービスと併用することで全領域がカバーできることを意味しています。

まとめ

 Gartnerの影響力は大きく、多くのセキュリティベンダーがこぞって「自社のサービスはCNAPP」であるとメッセージを発しています。ですが、現実的にすべての機能を網羅するサービスはありません。

また日々、サービスをアップデートし機能を改良・拡張しています。

そのため、クラウドサービスを安全に利用するためにセキュリティを考慮するには、「CNAPP」の概念を正しく理解し、何に重きを置くか、今後どこを強化すべきかを正しく把握することが必要です。

 

Sysdigは前述の通りCNAPPの各機能を広範囲でカバーします。また、独自の技術を利用したランタイムセキュリティ・リアルタイム検知・通知によって、高度化・スピード化したサイバー攻撃に、迅速な対応が可能となります。

 

最後に、当社SCSKは国内で初めてSysdigのパートナーとなり、約5年にわたる実績とノウハウがあります。また日本語による導入・運用サポートを実施しています。

これまでの多岐にわたるお客様の導入課題、運用課題を活かしたご提案・サポートを提供いたします。

担当者紹介

大野 敏亨
担当者名
大野 敏亨
コメント
Linked inはじめました。
Toshiyuki Oono | LinkedIn

Sysdigに関するお問い合わせはこちらから

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top