クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）とは？

クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）とは？

クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）は、クラウドネイティブのセキュリティとコンプライアンスのためのソフトウェアソリューションです。CNAPPは通常、セキュアな構成とガバナンスを適用し、クラウドワークロードが標的にされたり、不正利用されたりするのを防ぎます。CNAPPサービスは、次のような他のいくつかのタイプのクラウドセキュリティサービスが代表する機能の統合を目的としています。

• Cloud Security Posture Management（CSPM）
• Cloud Workload Protection Platform（CWPP）
• IDとアクセス管理（IAM）
• クラウドインフラ権限管理（CIEM）

CNAPPは、この多数のセキュリティとコンプライアンス機能からのデータを単一のプラットフォームに統合します。理想的には、複数の異なるツールを操作するよりも簡単に管理できます。

企業は複数の異なるクラウドサービスを使ってアプリケーションを構築する傾向があるため、クラウドリソースは散在しがちです。また、構成するクラウドリソースが非常に多いため、セキュリティの構成ミスが見落とされる可能性があります。さらに悪いことに、オンプレミスデータセンター用に設計された従来のセキュリティソリューションをクラウドデプロイに適応させることが困難です。これに対し、CNAPPは、1）クラウドネイティブで、2）すべてのクラウドリソースにわたるセキュリティ構成の誤りを特定するための統合プラットフォームです。

CNAPPは、組織がクラウドネイティブなアプリケーション開発に移行する際に役立ちます。現在、多くのアプリケーションは完全に クラウドベースであり、オンデマンドでスケールアップし、定期的に変更されるインフラを備えています。CNAPPは、これらのアプリケーションを保護するために、組織がクラウドネイティブなセキュリティ戦略を実装するのに役立ちます。

CNAPP対CSPM対CWPP：CNAPPコンポーネントを理解する

CNAPPは、これらの製品カテゴリーがカバーする機能の提供を目的としています（これらは多少重複することがあるため、これに関してもCNAPPの使用に利点があります）。

• クラウドセキュリティ体制管理（CSPM）とは、クラウドインフラの構成ミスやコンプライアンス違反の可能性を自動で検査することです。
• クラウドインフラのエンタイトルメント管理（CIEM）は、クラウドインフラのためのアクセス制御のようなもので、厳密に必要である以上のアクセスやエンタイトルメントを持つコンポーネントがないようにします（これにより侵害の影響を軽減することができます）。
• クラウドワークロード保護プラットフォーム（CWPP）は、脆弱性、不審なアクティビティ、マルウェア、侵入など、クラウドワークロードの内部に存在する脅威を検出します。

CNAPPは以下を含む場合があります。

• データセキュリティ体制管理（DSPM）：機微データストアのセキュリティを評価し、データの分類を支援
• SaaSセキュリティ体制管理（SSPM）は、Software-as-a-Serviceアプリケーションのセキュリティ構成を検証
• Kubernetesセキュリティポスチャ管理（KSPM）：Kubernetesオーケストレーション（コンテナ向け）のセキュリティ動態を管理
• 人工知能と機械学習のモデルとアプリケーション向けのAIセキュリティ体制管理（AISPM）

CNAPPは、クラウドネイティブのIDとアクセス管理（IAM）ロールもチェックし、ロールが過度に寛容でないようにします。（IAMは、ユーザー、サーバー、アプリを検証し、認証します。さらに、これらのエンティティが何を表示、変更、抽出できるかを制御します。）

CNAPPはこれらの機能を1つのプラットフォームに統合し、単一の管理画面（統合プラットフォームまたはダッシュボード）からセキュリティ体制を管理できるようにします。

CNAPPの利点とは？

CNAPPを使用する全体的な利点は、クラウドネイティブ環境をさらにセキュアにし、コンプライアンス違反の可能性を低減できることです。最も重要な利点の具体例には、以下のようなものがあります。

1. 開発中に脆弱性を識別できる

CNAPPは開発ライフサイクルに組み込まれるため、開発者が自身のアプリケーションの脆弱性を特定するのに役立ちます。これにより、セキュアではない、あるいは脆弱なアプリケーションコンポーネントが本番環境に到達する可能性が小さくなります。多くの組織が継続的統合と継続的デプロイ（CI/CD）のアプローチを採用しているため、早期の脆弱性検出は、開発者がアプリケーションを構築しながら保護するのに役立ちます。（セキュリティやその他の品質管理プロセスをアプリケーション開発のライフサイクルの早い段階で移動させることを、「シフトレフト」といいます。）

2. 一元化リスク管理

CNAPPは、組織のクラウドインフラ全体のリスクを特定し、カタログ化するための一つの場所を提供します。すべてのクラウド資産を特定し、セキュリティ対策を個別にではなく、一元化ツールから確認することができます。

3. マルチクラウド展開にわたる統合型セキュリティ

多くの企業は、複数のパブリッククラウドプロバイダーに依存しています。インフラは複数のクラウドに分散しており、それぞれのクラウドが独自の攻撃対象領域を持っています。あるセキュリティツールが特定のクラウドと互換性を持っていても、別のクラウドと互換性がない場合があります。CNAPPは、複数のプロバイダーとマルチクラウドデプロイ全体のクラウドセキュリティリスクの統一されたビューを提供することができます。

4. （比較的）簡単に使用できます

データセキュリティは、ネットワークやクラウドテクノロジーが関わる場合は特に複雑になります。しかし、CNAPPは、これまでに説明したすべての機能を1つのインターフェースにまとめることによってセキュリティをシンプルにし、セキュリティチームが業務をより簡単に行えるようにします。

Cloudflareは、構成ミスの検出、アクセス制御、データ保護、コンプライアンスソリューションなど、あらゆるクラウドセキュリティサービスを単一の統合ダッシュボードで提供します。Cloudflareはインフラに依存せず、あらゆるクラウドデプロイを保護できます。Cloudflareがクラウドネイティブなインフラを接続し、保護する仕組みをご覧ください。