CNAPP とは?
クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) は、ライフサイクル全体を通じてクラウド アプリケーションのセキュリティ保護を簡素化する統合プラットフォームです。
CNAPP 定義済み
CNAPP は、2021 年に Gartner が最初に作った用語で、セキュリティとコンプライアンスの機能を統合してクラウド セキュリティの脅威を防止、検出、および対応するオールインワン プラットフォームを示すものです。CNAPP は、従来は 1 つのユーザー インターフェイスにサイロ化されていた複数のクラウド セキュリティ ソリューションを統合するため、組織はクラウド アプリケーションのフットプリント全体をより簡単に保護できます。
CNAPP の主な目的の 1 つは、アプリケーション開発プロセスの初期段階にセキュリティを埋め込むことです。クラウドを使用すると、組織はアプリケーションのイノベーションとスケーリングを行うことができますが、その膨大なスケールによって、サイバー犯罪者が攻撃に使用できる手段が非常に多くなります。そのため、開発者とセキュリティ担当者は、できるだけ早い段階でアプリケーションの開発の早い段階でセキュリティの欠陥 ("左にシフト" と呼ばれる傾向) を見つけて修正し、セキュリティのギャップが大きくなるのを防ぐ必要があります。
CNAPP を分離する機能
CNAPP では、複数のクラウド アプリケーション セキュリティ ツールを専用の環境に組み込むことで、セキュリティをアプリケーション ライフサイクルに簡単に組み込み、クラウド ワークロードとデータ向けに優れた保護を提供できます。CNAPP には、次に示すように、それを実現するのに役立ついくつかの重要な機能があります:
- マルチクラウドのサポート。 複数のパブリックおよびプライベート クラウド インフラストラクチャ環境全体でセキュリティとコンプライアンスをシームレスに統合し、マルチクラウド データ資産を完全に可視化できます。
- 脅威インテリジェンスの統合。 脅威の統合された優先順位付けされたビューを使用して、最初に最も重要な脆弱性に焦点を当て、自動推奨事項と修復ツールを使用してリスクを軽減します。
- コンプライアンスとアクセス許可の一元管理。 データガバナンスとコンプライアンスを継続的に監視し、クラウド フットプリント全体で最小限の特権アクセスを付与するという原則を自動的に適用します。
- "左にシフト" DevOps セキュリティ管理。 セキュリティ チームは、一般的なワークフロー、データ、分析情報を使用してプラットフォーム上で開発者と共同作業を行い、作成されたらすぐにセキュリティをアプリケーション コードに埋め込むことができます。
- 包括的なクラウド ワークロード保護。 すべてのワークロードの可視性を向上させ、脆弱性や構成ミスをより簡単に検出できます。
- 使いやすさ。 CNAPP を使用してベンダーを統合すると、フラストレーションと非効率性の原因になりやすいツール スタックの複雑さが軽減されます。
- 分析情報の深さと幅。 エンドツーエンドのソリューション (特にハイパースケール クラウド プロバイダーのソリューション) は、大きなギャップや盲点をなくすのに役立ちます。
CNAPP をシームレスに動作させるコンポーネント
現在市場にでている CNAPP にはいくつかの違いがありますが、CNAPP がクラウド アプリケーションとインフラストラクチャに全体的な保護を提供するためには、CNAPP が備える必要のある中核的な機能がいくつかあります。統合するソリューションを選択します:
クラウド セキュリティ態勢管理 (CSPM)
CSPM ソリューションは、マルチクラウド環境とハイブリッド環境全体の潜在的な脆弱性と構成の誤りを、セキュリティ チームに接続された優先順位付けされたビューで提供するように設計されています。CSPM は、全体的なセキュリティ態勢を継続的に評価し、組織をデータ侵害にさらす可能性のある重大な問題に関する自動化されたアラートと推奨事項をセキュリティ チームに提供します。コンプライアンス管理と修復ツールが自動化されており、ギャップを特定してそれを埋め続けることができます。
マルチパイプライン DevOps のセキュリティ
DevOps セキュリティ管理 は、開発者とセキュリティ チームに、すべてのパイプラインで DevOps セキュリティを管理するための中央コンソールを提供します。これにより、クラウドの設定ミスを最小限に抑え、新しいコードをスキャンして脆弱性が運用環境に到達しないようにする能力が強化されます。コードとしてのインフラストラクチャ スキャン ツールは、開発の初期段階から構成ファイルを調べて、新しい構成ファイルがセキュリティ ポリシーに準拠していることを確認します。
クラウド ワークロード保護プラットフォーム (CWPP)
CWPP は、仮想マシン、コンテナー、Kubernetes、データベース、ストレージ アカウント、ネットワーク レイヤー、アプリ サービスなど、すべてのマルチクラウド ワークロードにわたる最新のインテリジェンスに基づいて、脅威のリアルタイムの検出と対応を実現します。CWPP は、セキュリティ チームが脅威に対する迅速な調査を行い、組織の攻撃対象領域を減らすのに役立ちます。
クラウド インフラストラクチャ エンタイトルメント管理 (CIEM)
CIEM は、クラウド全体とハイブリッド フットプリント全体でアクセス許可の管理を一元化し、偶発的または悪意のあるアクセス許可の誤用を防ぎます。これは、セキュリティ チームがデータ漏洩から保護し、最小限の特権の原則を普遍的に適用するのに役立ちます。
クラウド サービス ネットワーク セキュリティ (CSNS)
CSNS ソリューションは、クラウド インフラストラクチャをリアルタイムで保護することで、CSP を補完します。CSNS ソリューションには、分散型サービス妨害からの保護、Web アプリケーション ファイアウォール、トランスポート層セキュリティ検査、負荷分散など、さまざまなセキュリティ ツールを含めることができます。
CNAPP が重要な理由
次の機能を実現するために、CNAPP に投資している組織が増えています:
- サイバー脅威に対する保護の強化。 急速に変化する脅威ベクトルに対処する最善の方法は、セキュリティをクラウドと統合することです。これにより、すべての組織が現在必要とする広範で深いセキュリティとコンプライアンスの分析情報が提供されます。
- コストを複数の方法でトリミング。 CNAPP を実装する即時のコスト メリットは、複数の断片化されたツールの代わりに包括的なソリューションを使用することで、オーバーヘッドを節約することです。ただし、長期的な節約ははるかに大きくなる可能性があります。断片化された一連のセキュリティ ツールを使用すると、ギャップの間に見えない重大なリスクが入り込む可能性があります。セキュリティ チームがより少ないギャップで運用できるようにツールを合理化することで、侵害やプライバシー違反のコストのエスカレートと評判損失のビジネス コストから保護します。
- より効率的なセキュリティ操作を実現。 脅威の状況が進化し、攻撃対象領域が継続的に拡大すると、セキュリティ担当者は脅威アラートに圧倒されてしまいます。一方、世界規模のセキュリティ人材不足が発生しており、チームの時間は貴重です。可視性を高め、優先順位を付けたアラートを発する統一されたツール 1 式を持つことで、セキュリティ チームは増大するハイブリッドおよびマルチクラウドの資産を容易に保護できるようになります。
- セキュリティを左にシフト。 クラウド アプリケーションを使用してイノベーションを起こす最も機敏でコスト効率の高い方法は、セキュリティで保護された状態を確実に開始し、セキュリティを維持することです。セキュリティチームと開発チームに、アプリケーション コード自体にセキュリティを埋め込むのに必要なコラボレーション プラットフォームを提供します。コードとインフラストラクチャの以前の脆弱性が特定され、解決にかかる時間、コスト、エネルギーが少なくなります。
- 自動化を使用してエンタイトルメントを管理し、リスクを検出。 CNAPP は、セキュリティ管理者が自動ポリシーを適用して、インフラストラクチャへの過大特権アクセスによる露出から保護するのに役立ちます。CNAPP では、リスクの検出とコンプライアンスも自動化されるため、組織は強力なセキュリティ態勢を維持しながらクラウド インフラストラクチャを拡張できます。
CNAPP 実装チェックリスト
CNAPP の展開を検討している場合は、ベンダーを選択し、CNAPP を組織のシステムと統合するための戦略を作成します。次の基本事項を計画に組み込む:
- 成熟したソリューションを選択します。 マルチクラウド セキュリティの最先端に残るプロバイダーを選択します。CNAPP は、サイバー脅威の進化に合わせて、洗練された進化を行う必要があります。また、実装プロセスを通じてサポートできるベンダーを用意することも重要です。
- 包括的性に優先順位を付けます。 今すぐ最も包括的なソリューションを見つけることは、長期的に CNAPP へのシフトから最大限の価値を得るのに役立ちます。
- アラート疲れを解決します。脅威とアラートの優先順位を最適化した包括的なソリューション (クラウド プロバイダーでもあるベンダーなど) は、セキュリティ チームの負担を軽減します。
- あらゆる種類の環境と成果物に対応。 選択した CNAPP が、使用するオンプレミス、プライベート クラウド、パブリック クラウドリソースと、保護する必要があるさまざまな種類の成果物全体にセキュリティ機能を統合できることを確認してください。そうしないと、CNAPP の意図する複雑さの軽減が実現されません。
- 開発、セキュリティ、運用 (DevSecOps) カルチャに移行します。アプリケーション開発ライフサイクルを DevOps モデルから DevSecOps モデルに移行します。このモデルでは、セキュリティを強化することは、後回しではなく、プロセスの継続的な一部です。CNAPP のデプロイ後に発生する可能性が高い責任とワークフローについて、必要なシフトを計画します。
- 変更管理を考慮する。 統合ソリューションのデプロイには時間がかかるので、セキュリティ チームと開発者の両方が CNAPP の機能を理解する必要があります。運用の中断を最小限に抑えるために、事前に計画を立ててください。
CNAPP ソリューション
CNAPP は進化を続けています。クラウドネイティブのアプリケーション保護ツールを単一のプラットフォームに統合した製品を探すと、完全に包括的なオプションは一握りであり、選択したセキュリティ コンポーネントを組み合わせた製品の方が数多く存在することが分かるでしょう。
Microsoft Defender for Cloud は、数少ない包括的な CNAPP の 1 つです。アマゾン ウェブ サービス、Google Cloud Platform、Azure Cloud Services 全体のフルスタック ワークロードに対してエンドツーエンドのクラウド セキュリティを提供します。Microsoft は、CNAPP とパブリック クラウド プロバイダーの両方である唯一のベンダーです。Defender for Cloud は、Microsoft Azure から豊富な分析情報を引き出し、業界をリードする Microsoft AI を使用して 1 日に 65 兆のグローバル シグナルを分析し、新たな脅威を特定します。
Microsoft Security の詳細情報
Information Protection
よく寄せられる質問
-
CNAPP は、セキュリティとコンプライアンスの機能を 1 つのプラットフォームで統合し、クラウド セキュリティの脅威の防止、検出、対応を強化します。1 つのユーザー インターフェイスを使用すると、組織は複数のクラウド環境とワークロードにわたって包括的な脅威を可視化できます。また、開発者やセキュリティ チームは、開発ライフサイクルの早い段階でアプリケーションにセキュリティを埋め込むことができます。
-
クラウド ネイティブ アプリケーションは、クラウド コンピューティング アーキテクチャを活用するために構築されたプログラムです。従来のモノリシック アプリケーションとは異なる方法で設計および提供され、開発が迅速になります。クラウドネイティブ アプリケーションは、従来のアプリケーションよりもスケーラブルで移植性が高くなっています。
-
Microsoft Defender for Cloud などの CNAPP は、クラウドネイティブ アプリケーションをセキュリティで保護する最適な方法です。開発者やセキュリティ チームが開発ライフサイクル全体を通じてセキュリティを強化するのに役立ちます。また、マルチクラウド環境全体の脅威の可視性、コンプライアンス、アクセス許可の一元管理も提供します。
-
2 つの CNAPP ユース ケースを次に示します。
最新の DevSecOps アプリケーション開発方法を採用しているが、複数のサイロ化されたツールを使用してアプリケーションをコードからクラウドに保護している組織は、CNAPP をデプロイしてもよいでしょう。CNAPP を使用すると、DevSecOps が大幅に簡素化され、高速化されます。
アプリケーションとワークロードをプライベート クラウドとパブリック クラウドに広く分散させている組織や、アラートの優先順位付けに苦労しているセキュリティ チームも、CNAPP を実装するベネフィットがあるでしょう。CNAPP は、セキュリティ チームの 1 つのコンソールに脅威の可視性を一元化し、コンプライアンスとアクセス許可の管理機能を自動化することで、クラウド フットプリント全体のセキュリティを容易にします。
-
クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) は、開発からランタイムまでアプリケーションを保護する、単一プラットフォーム上の統一されたセキュリティ・ソリューション グループです。
クラウド アクセス セキュリティ ブローカー (CASB) は、エンタープライズ セキュリティ ポリシーを適用し、リスクを軽減し、規制コンプライアンスを維持することで、組織によるクラウド サービスの使用を保護します。
クラウド セキュリティ態勢管理 (CSPM) ソリューションを使用すると、セキュリティ チームは、潜在的な脆弱性とクラウド環境全体の構成ミスを優先順位付けしてビューを提供し、全体的なセキュリティ態勢を継続的に評価します。
クラウド ワークロード保護プラットフォーム (CWPP) は、すべてのマルチクラウド ワークロードの最新のインテリジェンスに基づいて、脅威のリアルタイム検出と対応を提供します。
Microsoft Security をフォロー