情シスと開発部隊をつなぐ“セキュリティ共通言語”の実装法　持続可能なシフトレフト体制を構築するには

CISOにもメリットが？ CNAPPが組織全体にもたらす変革とは

　サイバーリーズンの提供するCNAPPには、独自の機能がいくつか備わっている。その1つが「リスク機能」だ。CSPMやCIEM、CWP、CDRは従来、それぞれの領域内で脅威を検知するものだが、リスク機能を用いれば全領域の検出結果を統合することが可能となる。これにより、攻撃経路の分析と対処すべきリスクの優先順位付けができるのだ。

　たとえば「脆弱性が含まれているが、外部に公開されていないコンテナ」と、「脆弱性が含まれており外部にも公開されているコンテナ」では当然、後者の方が対処すべき優先度が高い。リスク機能は、複数の観点から得た情報を総合的に判断し、組織への影響がより大きいリスクを可視化する。これにより「個々の対策に翻弄されることなく、クラウド環境全体を鑑みて優先度の高いリスクから適切に対応できる」と矢野氏は述べる。

　この機能によって検知できる脅威には、リアルタイムの脅威、脆弱性、過剰権限などに加えて、コンプライアンス違反も含まれるという。矢野氏はデモで実際の画面を見せながら詳細を解説した。

　たとえば、複数のセキュリティ要素が連鎖的に組み合わさったケースでも、Cybereason CNAPPを用いると脅威を分かりやすく可視化できる。デモでは、Amazon EC2のインスタンスに複数の脆弱性が存在し、そのインスタンスが外部に公開されているだけでなく、Amazon EC2にアタッチされているIAMロール（ロールを引き受けるエンティティに、アクセス権限を一時的に付与する仕組み）に過剰な権限が付与され、さらに関連するS3バケット（Amazon S3でデータを保存するためのコンテナ）にも設定ミスがあるという複雑でリスクの高い状況が示された。Cybereason CNAPPでは、これらのリスクを全て一画面上で分かりやすくアラート表示できるようになっている。

　また、ユーザー単位で脅威を可視化することも可能だ。デモでは、ユーザーに対して管理者権限が付与されており、かつそのユーザーでAWS CloudTrailのログを無効化するなどの怪しいイベントが観測されていることから、リスクと判定し、アラートを出している画面も紹介された。

　矢野氏は「Cybereason CNAPPの脅威検知ルールは、刻一刻と変わる脅威に合わせてサイバーリーズン側でメンテナンスしている。ユーザーは、エージェントを導入するだけでこのようなリスクの洗い出しが可能だ」と説明する。