脆弱性や設定上の不備を狙ったサイバー攻撃が頻発……クラウドシフトの今考えたい「CNAPP」の必要性

クラウド運用の“4大リスク”にどのように対処するのか？

　サイバーリーズンでは先に遠藤氏が述べた3点の提言を満たす「Cybereason CNAPP」を2025年5月から提供開始している。クラウド運用における4大リスク（過剰なパーミッション、設定ミス、ソフトウェアの脆弱性、ランタイム脅威）から保護できるものとなる。

　4大リスクとは、先述したインシデントにもあったように、設定ミスや過剰なパーミッションを見つけて対処する。または攻撃者に悪用される前に、脆弱性を見つけて対処しておく。どんな対策をしても攻撃者が侵入してくることを想定して、リアルタイムで監視して脅威を検出することで被害を最小限にするなどだ。仕組みや機能をそれぞれ見ていこう。

コンプライアンス違反検知（CSPM）

　金融系ならPCIDSS、医療機関ならHIPAAのように業界団体から提供されるもの、あるいはパブリッククラウドからリリースされるベストプラクティスなどをもとに、適合しているのか反しているのかを自動的にチェックする。

　利用可能なコンプライアンスポリシーには、リスクフレームワークだとMITRE ATT&CKやOWASP、NISTなどが揃っている。直近では防衛関連のNIST SP800-171だ。日本でも防衛装備庁が調達基準でこのNIST SP800-171と同等の対策をしていることが求められており、こうしたフレームワークに合致しているかを確認することができる。

　実際にコンプライアンス違反を検知すると、たとえば、Amazonが公開しているベストプラクティスに違反していた場合、詳細から修復方法まで確認を進めていくことができる。下図はAmazon S3に対して、多要素認証の設定に問題があると指摘されたケースだ。

過剰権限検知（CIEM）

　ここではクラウドインフラの権限管理を行う。各プラットフォームで設定したポリシー、ユーザー、グループ、ロールを自動的に収集し、ポリシー違反がないかどうかをあぶり出す。たとえばAWSでIAMポリシーを選択すると、使われていないのに権限が割り当てられているものが表示される。使われていないものは権限を剥奪するためのコマンドなど修復手段が提案される。

脆弱性検知（CWP）

　脆弱性情報データベースやスコアリングのデータベースから情報を自動的に収集して、問題があれば管理者に通知する。チェック対象はCI/CDパイプライン、コンテナレジストリ、ランタイムまで、アプリケーションの開発から稼働に至るまでにあらゆる工程で自動スキャンを実施する。

　遠藤氏は「日々脆弱性は見つかり続けます。コンテナのビルド時点ではなかったとしても、デプロイのタイミングで脆弱性が登録されていることはざらにあります。お客様向けのサービスに脆弱性を混入させないように常に検査し続ける必要があります」と説明する。

　実際に脆弱性を検知した場合、ステージ（パイプラインか、レジストリか、ランタイムか）やスコアリングが表示される。大量に検出される脆弱性のなかから「既に修正版がある（からアップデートすればいい）」「悪用方法が公開されている（から悪用されないように対応する）」「稼働中のコンテナに含まれる（から優先的に対応）」などで分類されるので、どこから対応すればいいかを判断する助けになる。

脅威検知（CWP/CDR）

　こちらはパブリッククラウドからIDaaS、Kubernetes、CI/CDツール、ワークロードに至るまで、全般的にアクティビティを監視する。時系列にどういう振る舞いがあったのか、MITRE ATT&CKのフレームワークにマッピングするとどうなるかなどを調べることができる。もし悪質なら、様々なルートでアラートを発報する。もしCybereason XDRがあれば、こうしたアラートも収容される。遠藤氏は「パブリッククラウド・オンプレを問わず、リアルタイム監視して解析を行います」と言う。

　Cybereason CNAPPに興味があれば、無償アセスメントや無償検証（PoC）も提供されているため、利用してみるといいだろう。

　最後に遠藤氏は「Cybereason CNAPPを用いることで、一部のプラットフォームは強力に守られているが、一部のプラットフォームは攻撃を受けるリスクが高いなど、ばらつきがないようにセキュリティ対策を平準化できます。かつ、それが担当者の負荷にならないように一元的に運用することが可能です。Cybereason XDRと連携することでエンドポイント、ネットワーク、認証など様々なものと統合し、運用者の負担軽減と対処時間の短縮化を両立できます」と述べて講演を締めた。