クラウドワークロード保護プラットフォーム（CWPP）とは？

CWPPの紹介

クラウドワークロードとは、クラウドコンピューティング環境でアプリケーションやサービスを実行するために必要なコンピューティングリソースやタスクを指します。クラウドワークロードは、クラウドホスティング企業が提供する仮想マシン上で実行されることが多いですが、コンテナ内で実行されたり、マイクロサービスベースのアーキテクチャの一部として実行されたり、管理された環境で実行されるサーバーレス機能として実行されることもあります。多くの企業は、パフォーマンスとコストを最適化するために、異なるワークロードを異なるクラウドホストで実行することを選択しています。

クラウドワークロードとは、クラウド上で実行されるあらゆるものを指し、例えば以下のようなものがあります。

• アプリケーションのバックエンドの一部として常時オンライン状態にあるデータベースなどの静的ワークロード。
• 短命で一時的なワークロードで、呼び出された場合にのみ実行されます。
• スケジュールされたプロセス。

クラウドワークロード保護プラットフォームは、展開前に脆弱性を積極的にスキャンし、新たな脅威に対処するための継続的な実行時保護を提供することで、ワークロードを保護します。

クラウドのワークロード保護がなぜ重要なのでしょうか？

クラウドのワークロードは機密データや専有データにアクセスすることが多く、他の重要なITインフラストラクチャに接続されている場合もあるため、それらを保護するために強力なセキュリティ対策を講じる必要があります。

クラウドネイティブアプリケーションの性質は非常に多様であるため、CWPPはパブリッククラウドがホストするコンテナ、Kubernetes、仮想マシン、サーバーレス機能で実行されるワークロードを保護できなければなりません。これらは、ハイブリッドホスティング環境におけるオンプレミスのインフラストラクチャだけでなく、異なるクラウドプロバイダーにまたがる場合もあります。

CWPPはどのような仕組みですか？

CWPPは、ワークロードのカタログ化や、ワークロードがいつどこで実行されているかに関する情報の可視化とインベントリ管理ツールを提供し、セキュリティチームが担当する内容を完全に把握できるようにします。

セキュリティ環境が把握できたら、CWPPはクラウドのワークロードをエンドツーエンドでカバーします。

• 脆弱性管理：CWPPは、ソフトウェアの依存関係にあるものも含め、既知の脆弱性について、ワークロードで使用されているコードと構成をスキャンすることができます。
• 実行時保護：実行中のプロセスは進行中の攻撃の兆候がないかスキャンされます。これにより、ワークロード内の疑わしい動作を監視することで、ゼロデイ攻撃や特定のワークロードやコードを標的とした攻撃から保護することができます。
• 監査とレポート：詳細なログ記録は、過去の洞察を提供し、疑わしい活動やデータの不正使用を遡って特定するために使用できます。これにより、関係者に通知し、対応措置を取ることができます。

クラウドのワークロード保護は、クラウドプラットフォーム自体を監視するのではなく、実行環境内で実施されます。

CWPPの特徴

CWPP製品はそれぞれ独自の機能を提供しています。クラウドワークロードを保護するCWPPを選択する際には、以下が必要かどうかを評価してください。

• 既存のツールやプラットフォームとの統合： CI/CD 統合により、ビルド段階で既知の脆弱性を特定し、本番環境に持ち込まないようにすることができます。
• 自動化： 自動化された検出と対応により、攻撃者が侵入に成功した後に悪用できる期間が大幅に短縮され、セキュリティチームは進行中の複雑な攻撃に対応する時間を確保できます。
• ポリシーの適用：セキュリティポリシーは、強固なセキュリティ体制を確保し、アカウントの侵害やその他の悪意のある活動を防止する必要があります。
• コンプライアンスの監視：CCPA、その他の法的枠組みでは、ユーザーの個人識別情報（PII）の保護が義務付けられています。このようなデータを扱っている場合、利害関係者に通知し、高額な違反を回避できるよう、CWPPは違反を積極的に監視する必要があります。
• ファイアウォールとセグメント化：複雑な展開を行っている場合、CWPPはクラウドのワークロードを機密性の高いリソースから分離するのに役立つはずです。ファイアウォールを導入することで、攻撃者がネットワークを横方向に移動する能力を低下させることができます。
• エージェント不要のスキャン：各ワークロードにCWPPエージェントをインストールする必要がなくなることで、展開とメンテナンスが簡素化され、同時にスケーラビリティも向上します。

CWPPのメリット

脆弱性は、サードパーティのパッケージを通じて私たちの環境に持ち込まれることがよくあります。 攻撃者は、クラウドのワークロードプロセスに悪意のあるコードを注入することで、お客様のクラウドリソースを乗っ取り、悪用することが可能です。 CWPPでワークロードを保護することで、悪用を防止したり、他のクラウドやオンプレミスのインフラへの足がかりとなることを防ぐことができます。

可視性とレポート機能により、利害関係者は静的および動的なワークロードがもたらすセキュリティリスクを認識し、疑わしい活動が検出された場合には警告を受け取ることができます。

また、CWPPは機密データの保護を支援し、セキュリティチームに潜在的な不正アクセスや漏洩を警告することで攻撃経路を遮断し、影響を受ける関係者に通知することができます。これは、世界中でデータ保護法が増加していることや、データ漏洩の被害に遭った組織が被る法的および評判上の損害を考慮すると、重要なことです。

従来のサイバーセキュリティ製品を組み合わせて、クラウド全体をカバーしようとしても、それは非現実的です。クラウドのワークロードとそれを実行するインフラストラクチャの複雑性と独自性により、クラウド用に設計されたセキュリティプロセスとテクノロジーが必要であり、そうすることで、ギャップが残らないようにすることができます。

CWPPとCSPMの比較

クラウドセキュリティポスチャ管理（CSPM）は、クラウドネイティブ環境において重要な役割を果たします。

CWPPが稼働中のワークロードを保護する一方で、CSPMはネイティブクラウドインフラストラクチャの全体的な監視と保護を提供します。CSPMは、ワークロードが稼働するクラウドプラットフォームの誤設定をスキャンし、セキュリティポリシーと権限をチェックし、AWS、Google Cloud、Azureなどのクラウド環境特有のリスクを特定します。CSPMツールは、通常、より予防的な性質を持ち、安全なクラウド構成を確保する一方で、CWPPツールは、ワークロードに対する予防と検知の両方を提供します。

CWPPとCNAPPの比較

クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）は、役割と範囲の両面でCWPPとは異なります。CNAPPは、複数のクラウドセキュリティ技術を統合プラットフォームに統合し、多くの場合、CWPPとCSPMの機能を含んでいます。

クラウドのワークロード保護のベストプラクティス

CWPPの機能を備えたセキュリティソリューションを導入するだけでなく、クラウドのワークロードを保護するために、いくつかのポリシーや手順を策定する必要があります。

• 開発時にセキュリティを優先する：CI/CDパイプラインに脆弱性スキャンを統合するだけでなく、ワークロードによって露出する潜在的な攻撃ベクトルを減らすことに重点を置いて、コードレビューや静的/動的コード分析を実施します。
• 定期的にセキュリティポリシーを見直し、更新する：CWPPはセキュリティポリシーの実施を支援できますが、その意味を理解することはできません。ポリシーを定期的に見直すようにしてください。
• 定期的にインシデント対応訓練を実施し、修正する：サイバーセキュリティインシデントへの対応では、時間が重要です。CWPPが最大限に活用され、可視性や対応計画にギャップがないことを確認するために、定期的に訓練を実施する必要があります。これにより、セキュリティインシデントの影響を十分に評価し、適時に是正措置を取ることができます。

CWPPは、注意を払って初めて効果を発揮します。

クラウドワークロードの完全な保護

運用中においては、ワークロードは実行環境内と、それをホストするクラウドインフラストラクチャや構成などの外部の両方から監視および保護されなければなりません。スタンドアロン型のクラウドワークロード保護プラットフォームでは、クラウドネイティブ環境を包括的にカバーすることはできず、完全な可視性とプロアクティブな検出および対応を実現するには、セキュリティ対策管理ソリューションやその他の統合ソリューションと組み合わせる必要があります。

多くの組織は、CWPPとCSPMソリューションの両方の機能を組み合わせたCNAPPにより、完全なエンドツーエンドの保護を目指しています。Sysdigは、攻撃ベクトルを最小限に抑えるためにアプリケーションを強化し、ワークロードの実行を監視して自動応答と修復を行う完全なクラウドセキュリティプラットフォームを提供しています。Sysdigは、コンテナとKubernetesのユニークな可視性を提供し、最も影響の大きい脆弱性を特定し、ワークロードの脅威を即座に検知するために必要なコンテキストをユーザーに提供します。