セキュアな構成管理のためには「CNAPP」こそ検討すべき
2021年頃になると、CNAPP(Cloud Native Application Protection Platform)というクラウドセキュリティの概念がGartnerによって提唱される。クラウドネイティブな環境におけるセキュリティ管理を統合的に行う、プラットフォームの総称だ。クラウド環境の設定ミスや構成不備を検出・修正する仕組みを提供するCSPM機能だけでなく、仮想マシン、コンテナ、サーバレスなどといったクラウドワークロードのセキュリティを保護するCWPP(Cloud Workload Protection Platform)機能、クラウドリソースに対するアクセス権限の最小化と適正化を行うCIEM(Cloud Infrastructure Entitlement Management)機能、さらにはTerraformやCloudFormationなどにおけるインフラ構成コードのセキュリティチェックを担うIaCスキャン(Infrastructure as Code Security)機能までを統合している。これにより、サイロ化された複雑なマルチクラウド環境をダッシュボードで一元管理でき、開発から運用までのクラウドセキュリティをDevSecOps的に組み込める統合プラットフォームとなっている。
CNAPPには、先述した構成管理を強力に支援するセキュリティ、コンプライアンス機能が盛り込まれており、CI/CD(※)をフルパイプライン管理するためのJenkinsやGitLab CI/CD、クラウドパフォーマンス管理や監視のためのPrometheus、Grafanaなどといった補完ツールと組み合わせることで、完全な構成管理を実現できる。
※ここでいうCIとは「継続的インテグレーション」、CDは「継続的デリバリー」の意味で、DevOpsにおいて開発者がコードをリポジトリに統合する手法/Continuous Integrationや、開発者がコードの変更を常にステージング環境などの本番環境に容易にデプロイできる状態に保たれていること/Continuous Deliveryを意味する。
さらに理想的なのは、最先端の機械学習やAIテクノロジーを活用し、脅威分析による脅威インテリジェンスを提供するサービスのほか、異なるセキュリティ製品や情報システムと連携可能なセキュリティオーケストレーション、オートメーション&レスポンスのプラットフォーム「SOAR」などと連携することで、最新の脅威インテリジェンスを反映したセキュリティ運用とその簡素化が可能になる点だ。よって、これらの機能が統合化されたCNAPP製品を選定すべきである。
ぜひ、設定ミス防止のためだけのツールと位置付けずに、本質的なクラウド運用における構成管理の重要性を理解したうえで、それらを強力に支援できる機能がどこまでサポートされているのか、それを導入して構成管理がどこまで効率化できるのか。これらの視点から、CNAPP製品の選定を行ってみてほしい。
