クラウドネイティブ環境に特有のセキュリティリスクが顕在化

近年、自社システムをクラウド環境上で構築・運用する「クラウドネイティブ」の方針を採用する企業が増えてきました。クラウドネイティブは「柔軟性」「拡張性」「俊敏性」といったクラウドのメリットを最大限に享受できるため、特にDXに積極的に取り組む企業の間で導入が進んでいます。

しかしその一方で、オンプレミス環境にはなかった「クラウド特有のセキュリティリスク」も顕在化しており、実際にインシデントも多発しています。クラウドサービスそのものに内在する脆弱性はもちろんのこと、クラウドサービスの設定漏れやアカウント管理の不備といった管理ミスに起因するインシデントも数多く発生しています。

こうしたインシデントが後を絶たない背景には、クラウド特有の「責任分界点」という考え方があります。クラウドは一見するとすべてのシステム運用管理作業をクラウドベンダー側が担ってくれると考えられがちですが、例えばIaaSの場合はベンダー側の責任範囲はハードウェアと仮想化環境の管理のみで、OSから上のレイヤーについてはすべてユーザー側の責任範囲となります。この責任分界点をきちんと把握せず、IaaS環境やPaaS環境のセキュリティ対策をユーザーが疎かにし続けた結果、サイバー攻撃の被害に遭ってしまうケースが散見されます。

特に近年では、クラウド上に構築したコンテナ環境の脆弱性を突いた攻撃が多発しています。Kubernetesなどを用いてIaaS環境上に構築したコンテナ環境は、先ほどの責任分界点の考えに基づくとユーザー側がセキュリティ対策の責任を負う必要があります。しかし多くの企業ではKubernetesの開発・運用環境の脆弱性対策が十分ではないため、攻撃者にとって恰好のターゲットになっているのが実情です。

複数のクラウドセキュリティ機能を統合した「CNAPP」

もちろん、各クラウドベンダーからはこうしたリスクに対応するためのセキュリティツールが提供されていますが、今日では用途に応じて複数のクラウドサービスを使い分けるマルチクラウド運用が当たり前になってきたため、ユーザー側は環境ごとに複数のセキュリティツールを使い分けなくてはなりません。

セキュリティベンダーからも、クラウドネイティブ環境特有のリスクに対応するためのさまざまなツールが提供されています。例えば、クラウドサービスに不適切な設定がなされていないかを監視する「CSPM(Cloud Security Posture Management)」や、コンテナ環境をはじめとするクラウド上のワークロードの脆弱性や脅威を検知する「CWP(Cloud Workload Protection)」、攻撃者に悪用されかねない「過剰なアカウント権限」の存在を検知する「CIEM(Cloud Infrastructure Entitlement Management)」などがその代表例です。

しかしこれらのツールを自社のニーズに合わせて適切に選定・導入し、それぞれの使い方を学習して適切に運用していくためには、やはり多大な手間とコストが掛かります。

そこで近年注目を集めているのが、これらクラウドネイティブ環境を守るためのセキュリティ機能を単一のプラットフォーム上で統合的に運用できる「CNAPP(Cloud Native Application Protection Platform)」というソリューションです。

2025年5月リリースの最先端CNAPP製品「Cybereason CNAPP」

弊社でも2025年5月に、「Cybereason CNAPP」というCNAPP製品を新たにリリースしました。この製品は、先ほど挙げたCSPMやCWPP、CIEM、さらにはクラウドネイティブ環境内に潜む脅威を監視・検知する「CDR(Cloud Detection and Response)」などのセキュリティ機能を統合プラットフォーム上で一元的に運用できるようにしたものです。

また特定のクラウドサービスだけでなく、AWSやMicrosoft Azure、Google Cloud、Oracle Cloudなど、複数のクラウドサービスをまたがって統合的な運用を可能にしています。これにより、マルチクラウド環境を運用している企業・組織であっても、クラウドネイティブ環境特有のセキュリティリスクに対して極めて効率的にアプローチできるようになります。

ちなみに弊社以外のベンダーからも同様のCNAPP製品は提供されていますが、その多くは仮想環境のスナップショットを取得し、その内容を事後的に解析することで脅威を検知します。しかしCybereason CNAPPでは、ホスト型のエージェントをコンテナ環境などの監視対象に導入することで、脅威をリアルタイムに検知できるようになっています。これにより、従来のCNAPPと比べてより早く脅威に対処できるようになります。

もちろんエージェント経由だけでなく、各クラウドサービスやコンテナサービス、IDaaSサービス、CI/CDツールなどからAPI経由で直接ログデータを取得でき、かつそれらをエージェントから取得したデータもあわせて相関分析することで、巧妙なサイバー攻撃の全体像をあぶり出すことができます。

さらには、弊社がもともと提供してきたEDR製品やNGAV製品と組み合わせて運用することで、クラウドネイティブ環境に特有のリスクとそれ以外のリスクに全方位から対処できるようになります。今後クラウド活用をさらに活発化させようと考えている企業・組織は、ぜひこうしたクラウドネイティブ環境に特化したセキュリティ製品の導入を前向きに検討することを強くお勧めします。

【製品紹介資料】4大リスクに対応、リアルタイム振る舞い検知を実現するCybereason CNAPP

クラウドネイティブ環境において、脆弱性、設定ミス、過剰な権限、インシデント対応における可視性低下は、特に警戒すべき4つの主要なリスクとして認識されています。

本資料では、クラウドネイティブ環境におけるセキュリティを強化するため、予防・検知・対応を統合したCybereason CNAPPについてご紹介します。
https://www.cybereason.co.jp/product-documents/brochure/13123/