【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ
第8回のブログは大野が担当します。
今回は「CNAPPの理解とSysdigのカバレッジ」と題して、CNAPPおよびSysdigとの関連性についてまとめます。
はじめに
クラウドセキュリティ周りの用語は、どんどん新しい用語が出てくるのでキャッチアップするのが大変です。そして昨年、Gartnerが発表した用語が「CNAPP(シーナップ)」です。
CNAPPという言葉が出てくる背景には、アプリケーションの開発環境にIaaSでのクラウドサービス契約が必要であることが関連しています。
クラウドサービスの責任共有モデルをご存じの方はわかると思いますが、特定のサービスに利用するSaaSでは、管理責任範囲が狭いです。ID管理やアクセス管理をしっかり行っていればそうそうインシデントは発生しません。
しかし、アプリ開発環境となると言語・開発手法・フレームワークなど多岐にわたります。
そのため環境自由度の高いクラウドサービスであるIaaSでの契約が必要となります。
IaaS環境における必要なセキュリティーソリューションは、発生するインシデントに合わせてそれぞれ個別に複数のベンダーから提供されてきました。
・脆弱性スキャン ・CWPP ・CSPM ・CIEM ・KSPM ・IaCスキャン
その他もろもろ
このような背景があり、Gartnerが主にIaaSを主としたクラウドサービスを安全に保護することを目的としたセキュリティ・コンプライアンス機能を、統合してまとめました。
その考え方・ソリューションが「CNAPP(シーナップ)」となります。
CNAPP= Cloud Native Application Protection Platform
クラウドネイティブ・アプリケーション・プロテクション・プラットフォーム
先日、発表されたGartnerの「CNAPP Detail View」による、解釈だと以下がCNAPPであるとのことです。
かなり複雑で多くの機能をCNAPPとしています。
そのため、現時点でCNAPPの定義を全て満たすセキュリティサービスは存在しないでしょう。
ここで「CNAPP」の大きな機能を簡単に説明します。
CNAPPとは
「開発環境と本番環境の両方でクラウドネイティブアプリケーションのセキュリティと保護を支援するために設計されたセキュリティとコンプライアンスに関連したセット」
「セット」を構成する機能
CWPP |
クラウドワークロード保護プラットフォーム |
クラウド上の仮想環境やコンテナ環境の保護 |
脆弱性管理やランタイム検出を行い、ゼロトラストを実現 |
CSPM |
クラウドセキュリティポスチャ管理 |
クラウド上のリソースに対する設定チェック |
脅威となりうる設定を修正し、攻撃リスクを低減 |
CIEM |
クラウドインフラストラクチャ権限管理 |
クラウドにおける権限管理 |
パブリッククラウドの原則である最小権限を実現 |
CDR |
クラウド検知・対応 |
クラウド環境における操作ログの監視 |
セキュリティインシデントの影響を軽減 |
Sysdigでは以下のように実現しています。
Sysdigではこれらの機能を1つのプラットフォームで管理可能
CWPP |
脆弱性スキャン |
様々なフェーズで脆弱性スキャンを実行可能(パイプライン、レジストリ、ランタイム) |
|
ランタイム検知 |
システムコールを監視し、あやしいふるまいを検知 |
CSPM |
コンプライアンスチェック |
Kubernetesやクラウド上のリソースを設定チェック。望ましい設定を提案。 |
CIEM |
権限管理 |
操作情報を基に、過剰な権限を特定。最適な権限を提案。 |
CDR |
ランタイム検知 |
操作ログを監視し、あやしいふるまいを検知 |
Sysdig導入のメリット
- 収集した情報を相関分析して攻撃経路を可視化
- トラブルシューティングに生成AIを実装(近日公開予定)
- CSPM、CIEMはクラウド環境でAgentless導入可能(最小限のリソースで機能を提供)
SysdigがカバーするCNAPPの領域を、先ほどのGartner「CNAPP Detail View」で、見てみましょう。
Sysdigは広範囲に機能をカバーしていると言えます。
※おそらくここまでカバーできるサービスはほぼないでしょう。
これは、DevOps領域に特化したサービスと併用することで全領域がカバーできることを意味しています。
まとめ
Gartnerの影響力は大きく、多くのセキュリティベンダーがこぞって「自社のサービスはCNAPP」であるとメッセージを発しています。ですが、現実的にすべての機能を網羅するサービスはありません。
また日々、サービスをアップデートし機能を改良・拡張しています。
そのため、クラウドサービスを安全に利用するためにセキュリティを考慮するには、「CNAPP」の概念を正しく理解し、何に重きを置くか、今後どこを強化すべきかを正しく把握することが必要です。
Sysdigは前述の通りCNAPPの各機能を広範囲でカバーします。また、独自の技術を利用したランタイムセキュリティ・リアルタイム検知・通知によって、高度化・スピード化したサイバー攻撃に、迅速な対応が可能となります。
最後に、当社SCSKは国内で初めてSysdigのパートナーとなり、約5年にわたる実績とノウハウがあります。また日本語による導入・運用サポートを実施しています。
これまでの多岐にわたるお客様の導入課題、運用課題を活かしたご提案・サポートを提供いたします。
担当者紹介

- 担当者名
- 大野 敏亨
- コメント
- Linked inはじめました。
Toshiyuki Oono | LinkedIn
SCSK技術者ブログ

【SCSK技術者によるブログ】コンテナの電力消費をSysdig Monitorで監視してみよう

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~Contianer Drift編~

【SCSK技術者によるブログ】~Falco初学者に送る~ Sysdig SageでFalcoを勉強してみよう②

【SCSK技術者によるブログ】~Falco初学者に送る~ Sysdig SageでFalcoを勉強してみよう①

【 SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた(Monitor編)

【SCSK技術者によるブログ】Falco初学者講座 - condition編

【SCSK技術者によるブログ】Sysdig Sageを使ってみた

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編②~

【SCSK技術者によるブログ】Sysdigをセキュアに使おう~IP Allowlist編~

【SCSK技術者によるブログ】Node ExporterをSysdig Monitorに連携してみた

【SCSK技術者によるブログ】Sysdigの設定をTerraformで管理してみた

【SCSK技術者によるブログ】CNAPPの理解とSysdigのカバレッジ

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~マルウェア検知編~

【SCSK技術者によるブログ】Sysdigのライセンス体系

【SCSK技術者によるブログ】Sysdig とMicrosoft Entra ID間でSAML認証設定を試してみた

【SCSK技術者によるブログ】Sysdigと組み合わせて効果的なソリューションのご紹介 ~ポリシーエンジン編~

【SCSK技術者によるブログ】Sysdigの脅威検知はFalcoだけじゃない ~AWSサインインなりすまし検知編~

【SCSK技術者によるブログ】Sysdig SecureのRisks機能を試してみた
