クラウド特有のセキュリティリスクにいかに対処していくか？

近年、企業のクラウド利用の範囲がますます広がりつつあります。Microsoft 365やGoogle Workspace、Salesforce.comといった各種ビジネス向けSaaSサービスの業務利用はすっかり当たり前になり、既存のオンプレミスシステムをクラウドのIaaS環境へと移行したり、あるいはPaaSを利用してクラウドネイティブなアプリケーションを一から構築したりするケースも増えてきました。

用途ごとに複数のクラウドサービスを適材適所で使い分けるマルチクラウドの運用も珍しくなくなり、さらにはクラウド上のKubernetesプラットフォーム上でコンテナアプリケーションを開発・運用する企業も増えています。

これによって、多くの企業が「スピード感」「柔軟性」「迅速性」といったクラウド特有のメリットを享受できるようになった一方で、クラウドに特有のセキュリティリスクやガバナンスリスクの問題も同時に持ち上がりつつあり、早くもその対処に苦しむケースも目立ってきました。

例えばクラウドサービスの設定ミスによって、本来は公開されてはいけないはずの情報が外部からアクセス可能になっていたり、クラウドのユーザーアカウントに過剰なアクセス権限を与えていたばかりに、これを攻撃者に悪用されて情報漏えいを引き起こしたりというような事案が実際に発生しています。

当然クラウド事業者側もこうした状況にただ指をくわえて見ているわけではなく、クラウド特有のリスクに対処するためのさまざまな技術やツールを提供しています。

例えば、不適切なクラウド設定を検知する「CSPM（Cloud Security Posture Management）」、過剰なアクセス権限を検知する「CIEM（Cloud Infrastructure Entitlement Management）」、クラウド上の仮想サーバやコンテナアプリケーションのワークロードを監視・保護する「CWPP（Cloud Workload Protection Platform）」などの技術を実装したセキュリティツールが各クラウド事業者から提供されています。

しかし、これだけ多くのツールの使い方を覚えるだけでも一苦労な上、マルチクラウド環境を運用している場合は、それぞれのクラウドサービスごとにこれらのツールを使い分けなくてはなりません。ただでさえIT人材不足に悩む企業が多い中、これだけ多くのツールを使いこなさなくてはいけないとなると、作業の煩雑さや複雑さ故に却って設定漏れや確認漏れが発生するという本末転倒の結果にも陥りかねません。

あらゆるクラウドリスクに単一プラットフォーム上で対処できる「CNAPP」とは

こうした課題を解決するためのソリューションとして現在注目を集めているのが、「CNAPP（Cloud Native Application Protection Platform）」です。これは、各種クラウドセキュリティツールの機能を単一のプラットフォーム上に集約して提供するもので、先に挙げたもの以外にも、例えばクラウド環境に潜む脅威を検知するための「CDR（Cloud Detection and Response）」、Kubernetes環境のセキュリティを管理する「KSPM（Kubernetes Security Posture Management）」、インフラ環境の構築・管理のコードをセキュリティチェックする「IaC（Infrastructure as Code）スキャン」など、クラウドアプリケーションのライフサイクル全般に渡るセキュリティ対策機能を網羅しています。

また特定のクラウドサービスに限定することなく、複数のクラウドサービスにまたがって設定状況や脆弱性の有無、アカウント権限の状況などを単一のコンソール画面上で集中的に管理できます。こうした機能により、マルチクラウド環境全体のセキュリティリスクの予防・検知・対応を効率的に、かつ確実に行えるようにするのがCNAPPの役割です。

2025年5月リリースの最先端CNAPP製品「Cybereason CNAPP」

弊社でも2025年5月に、「Cybereason CNAPP」というCNAPP製品を新たにリリースしました。この製品は、先ほど挙げたCSPMやCWPP、CIEM、さらにはクラウドネイティブ環境内に潜む脅威を監視・検知する「CDR（Cloud Detection and Response）」などのセキュリティ機能を統合プラットフォーム上で一元的に運用できるようにしたものです。

また特定のクラウドサービスだけでなく、AWSやMicrosoft Azure、Google Cloud、Oracle Cloudなど、複数のクラウドサービスをまたがって統合的な運用を可能にしています。これにより、マルチクラウド環境を運用している企業・組織であっても、クラウドネイティブ環境特有のセキュリティリスクに対して極めて効率的にアプローチできるようになります。

ちなみに弊社以外のベンダーからも同様のCNAPP製品は提供されていますが、その多くは仮想環境のスナップショットを取得し、その内容を事後的に解析することで脅威を検知します。しかしCybereason CNAPPでは、ホスト型のエージェントをコンテナ環境などの監視対象に導入することで、脅威をリアルタイムに検知できるようになっています。これにより、従来のCNAPPと比べてより早く脅威に対処できるようになります。

もちろんエージェント経由だけでなく、各クラウドサービスやコンテナサービス、IDaaSサービス、CI/CDツールなどからAPI経由で直接ログデータを取得でき、かつそれらをエージェントから取得したデータもあわせて相関分析することで、巧妙なサイバー攻撃の全体像をあぶり出すことができます。

さらには、弊社がもともと提供してきたEDR製品やNGAV製品と組み合わせて運用することで、クラウドネイティブ環境に特有のリスクとそれ以外のリスクに全方位から対処できるようになります。今後クラウド活用をさらに活発化させようと考えている企業・組織は、ぜひこうしたクラウドネイティブ環境に特化したセキュリティ製品の導入を前向きに検討することを強くお勧めします。

クラウドネイティブ時代の新たなセキュリティ 新CNAPPソリューション徹底解説 ～開発から運用まで統合的なセキュリティの実現～

クラウドネイティブ環境の普及に伴い、アプリケーションのセキュリティリスクは複雑化・高度化しています。

本資料では、クラウドネイティブ環境特有のセキュリティ課題や、近年増加しているコンテナ、Kubernetes、サーバレス環境における新たな脅威について解説し、これらの脅威から情報資産を保護するために開発されたCybereason CNAPPの特長とともに脆弱性管理、コンプライアンス準拠、ランタイム保護といった多層的なセキュリティ対策を統合的に実現する方法を分かりやすく解説します。
https://www.cybereason.co.jp/product-documents/white-paper/13474/