SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録
  • Security Online
  • DB Online
  • ニュース
  • 新着記事一覧
  • イベント

    EnterpriseZine Special Webinar powered by HENNGE
    2025年8月25日(月) オンライン開催

    Security Online Day 2025 秋の陣
    2025年9月4日 (木) ~ 5日 (金) オンライン開催

    • IT部門から“組織変革”を~気鋭のトップランナーを訪ねる~

      IT部門から“組織変革”を~気鋭のトップランナーを訪ねる~

    • SaaS ERP最前線──適者生存の市場を勝ち抜く企業はどこに

      SaaS ERP最前線──適者生存の市場を勝ち抜く企業はどこに

    • 酒井真弓の『Enterprise IT Women』訪問記

      酒井真弓の『Enterprise IT Women』訪問記

  • ブログ

Security Online

DB Online

ニュース

記事

イベント

特集

定期誌

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Special Webinar powered by HENNGE

EnterpriseZine Special Webinar powered by HENNGE

2025年8月25日(月) オンライン開催

Security Online Day 2025 秋の陣

Security Online Day 2025 秋の陣

2025年9月4日 (木) ~ 5日 (金) オンライン開催

Enterprise IT Women's Forum 2025 KANSAI

Enterprise IT Women's Forum 2025 KANSAI

2025年9月2日(火)大阪開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

バックナンバーはこちら

『EnterpriseZine Press』

2025年春号(EnterpriseZine Press 2025 Spring)特集「デジタル変革に待ったなし、地銀の生存競争──2025年の崖を回避するためのトリガーは」

最新号を読む

EnterpriseZine Day 2025 Summer レポート(AD)

脆弱性や設定上の不備を狙ったサイバー攻撃が頻発……クラウドシフトの今考えたい「CNAPP」の必要性

ポストAI時代、クラウド運用の“4大リスク”を守るべく2025年5月から提供開始!

 サイバーリーズンは、各種市場調査ではEPP(Endpoint Protection Platform)、EDR(Endpoint Detection and Response)、MDR(Managed Detection and Response)においてはどれも国内シェアで連続トップを占めるほど、エンドポイント保護では有数の実績を誇る。そのサイバーリーズンが今後を見越して注力するのが「XDR(Extended Detection and Response)」や「CNAPP(Cloud Native Application Protection Platform)」だ。

マルチクラウド化が進む今、「CNAPP」に注目集まる

 あらためて、なぜXDRに注力しているのか──。その背景には情報インフラの複雑化があるという。かつては会社や拠点、それとデータセンターごとでITを活用していた。そこに、より安価、高度、高性能な基盤としてクラウドサービスが登場して、クラウドシフトが進んだ。さらにコロナ禍でリモートワークが普及したことも加わり、今では情報インフラの要素が増えて複雑化している。

画像を説明するテキストなくても可
クリックすると拡大します

 そうなると攻撃者が悪用するアタックサーフェス(攻撃可能なポイント)は格段に増加する。対応するために防御側の強化も必要となるが、効率的に運用できなければ対処が手遅れになりかねない。サイバーリーズン セールスエンジニアリング統括本部 プリセールス本部長の遠藤肇氏は「エンドポイントではEDRの検知からSOCの対処までのサービスレベルを5分以内(SLO)と設定していますが、他の領域の情報もXDRに統合していくことで、エンドポイントに到達する前に予兆をとらえ、より早く対応することで被害の抑止力を向上させています」と話す。

 今では多種多様なセキュリティテクノロジーがある。エンドポイントの検知と対応のEDR/MDR、エンドポイント保護のEPP/NGAV、モバイルデバイス保護のMTD、これらでエンドポイントを保護しつつ、さらにネットワーク検知と対応のNDR、侵入防御のFW/IPS、Webアクセス保護のSWG、クラウド可視化と制御のCASB、セキュリティ製品の統合のためのXDR、ここに新しくCNAPPが注目されている。

 CNAPPとは、ガートナーが提唱したクラウド環境におけるサイバーセキュリティ保護の統合ソリューションと言える。現状ではパブリッククラウドごとに脅威を検出するためのサービス、たとえばAWSならAmazon GuardDuty、Microsoft AzureならMicrosoft Defender for Cloud、Google CloudならSecurity Command Centerなどがある。

 ただし、それぞれ粒度や機能はばらつきがあり、マルチクラウドのメリットを得るためにはそれぞれの技術を習得する必要があった。これはこれで学習コストがかかる。マルチクラウド運用時にセキュリティ対策のレベルを平準化し、一元管理できるようにするものがCNAPPと考えていいだろう。

ポストAI時代のクラウド環境を守るために「3つの提言」

 では、具体的にCNAPPにはどのような機能が実装されているべきか。主なものとしては、コンプライアンス管理のCSPM(Cloud Security Posture Management)、権限管理のCIEM(Cloud Infrastructure Entitlement Management)、ワークロード保護のCWP(Cloud Workload Protection)、検知・対応のCDR(Cloud Detection and Response)となる。

画像を説明するテキストなくても可
クリックすると拡大します

 CNAPPが提唱される背景には、実際に権限管理や設定ミス、脆弱性管理の不備に起因したインシデントが繰り返されているからだ。たとえば、2024年5月にはコーヒーショップのオンラインサイトにて、攻撃者から脆弱性を突かれたことで侵害が生じてしまったケースが発生。また2024年10月にはあるスポーツジムにて、権限管理の不備により公開すべきではない情報が閲覧可能となっていたことで情報漏えいにつながってしまったケースが挙げられる。

 この先を考えると、生成AIモデルも攻撃者に狙われるリスクがある。Webアプリケーションのセキュリティ向上にむけた情報提供をしているOWASP(Open Web Application Security Project)は2024年末、LLMアプリケーションに特化したセキュリティリスクを公表し、警告している。またサイバー攻撃者が使う戦術や技術をまとめた「MITRE ATT&CK」でも、生成AIモデルに特化した攻撃手法をまとめたフレームワークを公表している。

 攻撃者のなかには余計なクエリや問い合わせを紛れ込ませることで、生成AIのクレジットやトークンを無駄に消費させて経済的損害を与えようとするものもあるという。「生成AIに関しては、機能開発を優先して進めている企業も多いとうかがっていますが、セキュリティ対策の不備によって大きな損害が出る可能性もあります」と遠藤氏は警告する。

画像を説明するテキストなくても可
サイバーリーズン合同会社 セールスエンジニアリング本部 プリセールス統括部長 遠藤肇氏 

 こうした背景を踏まえ、遠藤氏はポストAI時代のクラウド環境を守るためとして、3つ提言した。1点目は、脆弱性や設定ミスの混入を見逃さない品質管理の自動化。日々脆弱性が発見されるなか、必要なものを見逃さず、ミスなく作業するのは人間には不可能に近い。そのためシステムで自動化を進めて、属人化せず作業できるようにする必要がある。

 2点目は、リアルタイムで相関、不審な振る舞いを検知する可視化。攻撃のスピードは年々増している。最近発見された攻撃手法のなかには、攻撃開始から情報窃取まで10分程度のものもある。そのため24時間365日、リアルタイムで監視する必要がある。

 3点目は、マルチクラウドの統合管理による運用保守業務の最適化。CNAPPが想定しているように、マルチクラウドを効率的に運用できるようにするための取り組みも進めていく必要がある。

次のページ
クラウド運用の“4大リスク”にどのように対処するのか?

NEXT

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
EnterpriseZine Day 2025 Summer レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

提供:サイバーリーズン合同会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/22326 2025/07/25 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    ヤンマーがグローバル統一の人事システム刷新に挑戦──オープンなシステムで実現する組織の未来とは? NEW
  2. 2
    分社化から10年目を迎えたHPE──現地イベントで見えた変化、AI時代のインフラ戦略を明確に
  3. 3
    三井物産が“レガシー人事システムの刷新”に踏み出せた理由 NEW
  4. 4
    「クラウドファースト」から「ワークロード最適化」へ キンドリルが語る、AI・地政学リスク時代のデータ戦略
  5. 5
    “社内の御用聞き”から「頼られる存在」に──エイチ・ツー・オー リテイリングが内製比率を上げるワケ
  6. 6
    脆弱性や設定上の不備を狙ったサイバー攻撃が頻発……クラウドシフトの今考えたい「CNAPP」の必要性 NEW
  7. 7
    【SUBARU辻氏×IHI福岡氏】稀有なデジタル領域の女性役員2人が“未来のCxO”に贈る「心得」
  8. 8
    CRMとERPのギャップを埋めるRevenue Cloud、なぜB2Bに収益管理が必要か? NEW
  9. 9
    丸井グループが“昭和型”システム開発風土を変革した3年の歩み:経営層を変えたDX人材育成計画の作り方
  10. 10
    社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ
  1. 1
    なぜカプコンは超人気ゲームにTiDBを選んだのか?モンスターハンターワイルズを支えるDB基盤に迫る
  2. 2
    社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ
  3. 3
    業界の常識を覆し続ける星野リゾート、次は「ホテル運営システム」を内製──現場出身者×エンジニアの融合
  4. 4
    なぜ多くのSalesforce導入は失敗するのか
  5. 5
    ガートナーに訊く“AI時代”のデータ戦略、鍵は「データファブリック」と「アクティブメタデータ」
  6. 6
    2027年eKYC一本化、「犯収法改正」で変わる本人確認 厳格化を前に事業者はどう備える
  7. 7
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  8. 8
    日本企業が誤解している“単なるデジタル化”とDXの大きな違い 突破口となる「横をつなぐ人」に必要な力
  9. 9
    アストラゼネカが目指す医療・創薬の新たなステージ──実現に不可欠なデータサイエンス部の役割とは?
  10. 10
    分社化から10年目を迎えたHPE──現地イベントで見えた変化、AI時代のインフラ戦略を明確に

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    ヤンマーがグローバル統一の人事システム刷新に挑戦──オープンなシステムで実現する組織の未来とは? NEW
  2. 2
    分社化から10年目を迎えたHPE──現地イベントで見えた変化、AI時代のインフラ戦略を明確に
  3. 3
    三井物産が“レガシー人事システムの刷新”に踏み出せた理由 NEW
  4. 4
    「クラウドファースト」から「ワークロード最適化」へ キンドリルが語る、AI・地政学リスク時代のデータ戦略
  5. 5
    “社内の御用聞き”から「頼られる存在」に──エイチ・ツー・オー リテイリングが内製比率を上げるワケ
  6. 6
    脆弱性や設定上の不備を狙ったサイバー攻撃が頻発……クラウドシフトの今考えたい「CNAPP」の必要性 NEW
  7. 7
    【SUBARU辻氏×IHI福岡氏】稀有なデジタル領域の女性役員2人が“未来のCxO”に贈る「心得」
  8. 8
    CRMとERPのギャップを埋めるRevenue Cloud、なぜB2Bに収益管理が必要か? NEW
  9. 9
    丸井グループが“昭和型”システム開発風土を変革した3年の歩み:経営層を変えたDX人材育成計画の作り方
  10. 10
    社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ
  1. 1
    なぜカプコンは超人気ゲームにTiDBを選んだのか?モンスターハンターワイルズを支えるDB基盤に迫る
  2. 2
    社員がセキュリティを自分事化しづらいのは「当たり前」心理学的観点から探る、情シスが取るべきアプローチ
  3. 3
    業界の常識を覆し続ける星野リゾート、次は「ホテル運営システム」を内製──現場出身者×エンジニアの融合
  4. 4
    なぜ多くのSalesforce導入は失敗するのか
  5. 5
    ガートナーに訊く“AI時代”のデータ戦略、鍵は「データファブリック」と「アクティブメタデータ」
  6. 6
    2027年eKYC一本化、「犯収法改正」で変わる本人確認 厳格化を前に事業者はどう備える
  7. 7
    1年経っても冷めやらぬVMware買収騒動の余波……場当たり的な“離脱”の前に考えるべきポイント
  8. 8
    日本企業が誤解している“単なるデジタル化”とDXの大きな違い 突破口となる「横をつなぐ人」に必要な力
  9. 9
    アストラゼネカが目指す医療・創薬の新たなステージ──実現に不可欠なデータサイエンス部の役割とは?
  10. 10
    分社化から10年目を迎えたHPE──現地イベントで見えた変化、AI時代のインフラ戦略を明確に