情シスと開発部隊をつなぐ“セキュリティ共通言語”の実装法　持続可能なシフトレフト体制を構築するには

DevSecOpsは必須。今CNAPPが必要なワケ

　サイバーリーズンは米国に本社を持つセキュリティベンダーだ。2016年に日本市場への進出を果たし、現在は東京、大阪、名古屋に拠点を構えており、約250人の従業員を擁する規模に成長している。2024年には日本に研究開発拠点を新設し、サポート体制を一層強化した。各種調査によると、同社のEDRとMDR（Managed Detection and Response）は7年連続で市場シェアトップの座を堅守するなど、日本市場で着々とビジネスを成長させている。

　これまではEDRをはじめとしたエンドポイントセキュリティに注力してきた同社だが、2025年5月からCNAPP製品の提供を開始。これにより、PC、サーバー、モバイル端末に加え、クラウド環境でもセキュリティ保護が可能になった。

　そもそも、クラウドアプリケーションにはどのようなサイバーセキュリティ上のリスクがあるのか。矢野氏は「クラウド環境の権限管理や脆弱性管理の不備により、不正アクセスが発生する事案が多い」と話す。

　あるグローバル調査では「クレデンシャルの取得からサイバー攻撃完了までの平均時間はわずか10分」との結果も出ており、クラウド環境を標的としたサイバー攻撃の深刻さは言うまでもない。矢野氏は「いまや、システム開発を優先して後からセキュリティ対策を考えるのでは間に合わない。開発の初期段階からセキュリティ対策を組み込んだDevSecOpsや稼働中のクラウド環境を監視する仕組みが必要」と主張する。

　こうした状況を踏まえ、高度化するクラウドへのサイバー攻撃から効率よく自組織を防御するために開発されたのが「Cybereason CNAPP」だ。

クラウドの“王道4大リスク”を統合的に管理

　CNAPPとは、クラウド環境における複数のセキュリティ機能を統合したソリューションを指す。各クラウド事業者はそれぞれの製品においてセキュリティ機能を提供しているが、「この仕組みだけではクラウド環境を十分に守れない」と矢野氏。セキュリティの機能がそれぞれのクラウド環境に閉じていたり、またその機能がCSPM（Cloud Security Posture Management：クラウドセキュリティ態勢管理）など部分的なセキュリティにしか対応していなかったりするからだ。

　これに対してCybereason CNAPPは、クラウド環境のセキュリティを包括的に担保するべくマルチクラウド対応となっている。「CSPMやCWP（Cloud Workload Protection：クラウドワークロード保護）だけでなく、権限管理のCIEM（Cloud Infrastructure Entitlement Management）やランタイム脅威検知のCDR（Cloud Detection and Response）も含めて、網羅的なクラウドセキュリティを提供できる」と矢野氏。

　クラウド環境の代表的なサイバーリスクとして、過剰なパーミッション（アクセス権）、設定ミス、ソフトウェアの脆弱性、ランタイム脅威の4つが挙げられる。こうしたリスクに対し、Cybereason CNAPPは以下の機能で対応が可能だという。

• 設定ミスのチェック：CSPMによってクラウド基盤に不適切な設定状態がないか確認する
• IDと権限のチェック：CIEMによって過剰な権限が割り当てられているアカウントを洗い出す
• 脆弱性の管理：CWPによってクラウド環境内の脆弱性の有無を確認する
• ランタイム脅威検知：CDR、CWPによってクラウド環境上で発生するランタイムイベントを監視し、不審なイベントを検出してアラートを出す

　矢野氏は、同社の提供するCNAPPの特徴として「多数の防御層でクラウド環境を保護するだけでなく、『エージェントレス』と『エージェントベース』の2つの方式で監視ができる」点を挙げる。エージェントレスとは、クラウド環境とAPIで接続するだけで、稼働しているコンテナなどにエージェントを導入しなくても監視を行えるもの。エージェントベースは、稼働しているコンテナやKubernetes環境にエージェントを導入して監視を行うものだ。

　「エージェントレスとエージェントベースの監視方法は併用可能です。エージェントベースを使ってエージェントの導入まで実施することで、より細かい情報を取得できます」（矢野氏）