Cloud-Native Application Protection Platform は、クラウド ネイティブ エコシステムのメリットを享受できる、シンプルなセキュリティ アーキテクチャです。 これによりツールや開発に大きな投資をすることなく、サイロ化したセキュリティ製品のコストや複雑さを回避して継続的なセキュリティ ファブリックを実現できます。

デジタル トランスフォーメーションの ROI は、パンデミック前は単にビジネスの成長に関わるものでしたが、今はビジネスの存続に関わるようになっています。 パブリック クラウドではアジャイルかつ迅速にイノベーションが推進できます。そのため組織はパブリック クラウドのみ、またはプライベート データセンターとの組み合わせでデジタル トランスフォーメーションを実現させようとしています。 しかしそれには、その環境固有のセキュリティ ニーズに対応できるクラウド ネイティブ プラットフォームが必要です。

クラウド ネイティブ アプリケーション セキュリティの主な課題は何ですか?なぜCNAPP を用いることが重要なのでしょうか?

クラウド ネイティブ アプリケーションやワークロードの可視化の欠如

現代の企業は複雑です。 2020年始めからクラウドの使用は50%増加しています。現代の企業は有機的に成長し必要に応じてクラウドに移行しているため、サイロ化したセキュリティチームがサイロ化したセキュリティ製品を管理するという異種混合環境になってしまっています。 さらに、インフラストラクチャ環境は短命です。 DevSecOpsなどの新しい要素も出てきています。 見えているものしか保護できないため、クラウド ネイティブ ワークロードとアプリケーションをすべて可視化しなければなりません。

クラウド ネイティブ アプリケーションとワークロードの総合的リスクが測定不能

クラウド ネイティブ アプリケーションは継続的に開発され展開されるので(CI/CD)、総合的リスクを測定する術がありません。 このリスクには、クラウド セキュリティ違反の原因の99%を占める設定ミスや管理ミスに関するリスクも含まれます(これらのミスの例:Identity and Access Management ポリシーの欠如、不必要な特権の付与、MongoDBやデータベースなどの機密サービスをデフォルトのパブリックアクセスのままにすること、など)。

2020年3月以降、クラウドサービスへのサードパーティ攻撃が630%増加しました。 悪意のある攻撃者は、機密データの場所を特定し、設定ミス(ユーザー、ID、インフラストラクチャ構成)を悪用する方法を特定し、ソフトウェアの脆弱性を悪用して攻撃を拡大してデータを抜き出そうとします。 セキュリティやリスク管理のリーダーは、クラウド ネイティブ アプリケーションやワークロードを網羅する総合的リスクを測定する必要があります。

クラウド ネイティブ アプリケーション セキュリティのため、DevOps から DevSecOps への移行

戦略的ビジネスを実現するため、開発者の役割は単なるCI/CDから進化し拡大しており、注目を集めています。 戦略的なビジネスから成果を上げるためには、開発者は説得力がありコンプライアンスに沿ったアプリケーションを開発しなければなりません。 セキュリティはソフトウェア開発ライフサイクル(SDLC)に統合され、セキュリティ チームと DevOps チームの間を隔てていた壁を取り除かなければなりません。 Infrastructure-as-Codeのベストプラクティスには、イメージが構築され次第すぐに脆弱性を評価して認められたイメージのみが展開されるようにし、継続的に監視をし、自動でチェックをし、バージョンを管理することなどが含まれます。 これによりクラウド ネイティブ リソース管理が非常に複雑になるため、開発に大きな投資をすることなくこれを回避するシンプルな方法が必要になります。

Cloud-Native Application Protection Platform のコンポーネント

Gartner は、「CWPP と CSPMの機能を組み合わせることでシナジーが生まれるため、多くのベンダーがこの戦略を追求しています。 この組み合わせはクラウド ネイティブ アプリケーション保護 (CNAP) の新しいカテゴリとなり、開発中のワークロードと構成をスキャンし、実行時にこれらを保護します。」と説明しています。

  • Cloud Security Posture Management (CSPM):
    クラウドにおける最大の侵害は、顧客の設定ミス、管理ミス、間違いによって引き起こされます。 CSPM は、コンプライアンス監視、DevOps 統合、インシデント対応、リスク評価、リスク視覚化を実現するセキュリティ ツールです。セキュリティやリスク管理においては、クラウド セキュリティ ポスチャ管理プロセスでプロアクティブにデータリスクを特定して対処しなければなりません。

  • Cloud Workload Protection Platforms (CWPP):
    CWPP はエージェント ベースのワークロード セキュリティ保護技術です。 CWPP は、最新のハイブリッド データセンター アーキテクチャ (オンプレミス、物理マシン、仮想マシン (VM)、複数のパブリック クラウド インフラストラクチャなど) においてサーバー ワークロードを保護するための様々な要件に対応します。これにはコンテナ ベースのアプリケーション アーキテクチャのサポートも含みます。

MVISION CNAPP とは

MVISION CNAPP は、パブリック クラウド インフラストラクチャ向けのCloud Security Posture Management(CSPM)とCloud Workload Protection Platform (CWPP)を統合し、アプリケーションとデータのコンテキストを使用して、ホストとワークロード(VM、コンテナ、サーバーレス機能など)を保護します。

McAfee MVISION CNAPP は MVISION Cloud のデータ保護機能 (データ損失防止およびマルウェア検知) を強化し、脅威対策、ガバナンス、コンプライアンスといった機能で、この新しいクラウド ネイティブ アプリケーションの時代のニーズに包括的に対応して、セキュリティ機能の改善やクラウド セキュリティの総所有コスト (TCO) の削減を実現します。

MVISION CNAPP の5つの要素

MVISION Cloud-Native Application Protection Platform (CNAPP) はクラウド ネイティブ アプリケーション エコシステムを保護する統合アーキテクチャです。 MVISION CNAPP はクラウド ネイティブ アプリケーション (コンテナやOSベースのワークロードを含む) のライフサイクル全体を通じて一貫したデータ保護、脅威対策、ガバナンス、コンプライアンスを提供します。 これは5つの要素から構成されています。

  1. 詳細ディスカバリとリスクベースの優先順位付け: クラウドリソースをすべて発見しリスクに基づいて優先順位付けする機能です。 MVISION CNAPP はエンドポイント、ネットワーク、クラウド内の全ワークロード、データ、インフラストラクチャを詳細にわたって発見する独自機能を提供します。

  2. シフト レフト: 構成ドリフトを防ぎ、仮想マシン、コンテナ、サーバーレス環境の脆弱性を評価する機能です。 シフト レフトによるスムーズな自動化で開発者の生産性を向上させます。

  3. ゼロトラストとランタイム: ゼロトラストでポリシーを構築し、振る舞い観察で誤検知を減らし、また適切な行動を推奨する機能です。

  4. MITRE ATT&CK フレームワーク: クラウド ネイティブの脅威を MITRE ATT&CK フレームワークにマッピングして応急処置ができるようにすることで、セキュリティ オペレーション センター (SOC) を強化します。

  5. ガバナンスとコンプライアンス: セキュリティ制御を自動化し、継続的なコンプライアンスとデータ/権限のガバナンスを実現します。

特定

1 検出、リスク評価、優先順位付け

エンドポイント、ネットワーク、クラウド上のワークロード、データ、インフラストラクチャをすべて検出し、リスクに基づいて優先順位付けします。

構築、デプロイ

2 シフト レフト / DevSecOps

構成ドリフトを防ぎ、仮想マシン、コンテナ、サーバーレス環境の脆弱性を評価します。 スムーズな自動化で開発者の生産性を向上させます。

ランタイム

3 行動ゼロトラスト

ゼロトラストに基づいてポリシーを構築し、行動観察で誤検知を減らし、また適切な行動を推奨します。

運用

4 クラウド脅威と SOC に MITRE を活用

クラウド ネイティブの脅威を MITRE ATT&CK フレームワークにマッピングして応急処置ができるようにすることで、セキュリティ オペレーション センター (SOC) を強化します。

保護

5 コンプライアンス維持、(データおよび許可)

コンプライアンスとガバナンス維持のためにセキュリティ統制を自動化し、ビジネスの継続性を確保します。