目次

クラウドネイティブセキュリティプラットフォーム(CNSP)のコアとなる考え方

21世紀の最初の10年間は、スケーラビリティ、俊敏性、データセンターのコスト削減といったメリットを享受するために、 IaaS(Infrastructure as a Service) プラットフォームの導入を推進する組織が相次いだことが特徴です。テクノロジー・スタックはほとんど変わらなかったため、当時の最新のセキュリティ・ツールは、この移行に同乗し、IaaSプラットフォーム上で動作するように「リフト&シフト」するだけでよかったのです。

しかし最近では、 サービスとしてのプラットフォーム(PaaS) やクラウドネイティブテクノロジーの採用により、エンドツーエンドの自動化による迅速なソフトウェアデリバリーを実現する時代に突入しました。クラウドネイティブのセキュリティツールは、こうした新しいテクノロジーをサポートするためにすぐに登場しましたが、当初は初歩的なものでした。これらのツールはまばらで、問題の個々の部分にしか対応しておらず、適切な統合がなく、不完全なセキュリティ分析しかできませんでした。そのため、セキュリティチームは複数のツールやダッシュボードを使いこなさなければならず、ブラインドスポットや管理しきれない複雑さが生じるとともに、クラウド上での侵害に対する組織のリスクを高めていました。

クラウドネイティブ・アプリケーション開発がクラウドでのアプリケーション構築方法を再定義したように、クラウドのセキュリティ方法も再定義する時期に来ています。その結果、クラウドネイティブ・セキュリティ・プラットフォーム(CNSP)が誕生しました。CNSPは、インフラストラクチャ、PaaSサービス、ユーザー、開発プラットフォーム、データ、 アプリケーションのワークロードに関する コンテキストをプラットフォーム・コンポーネント間で共有し、保護を強化します。これらのプラットフォームには、他のプラットフォームや組織が利用している特定のクラウドサービスプロバイダー(CSP)に関係なく、一貫して提供される数多くの明確な機能が含まれています。

ここでは、CNSPを構成するこれらの用語の概要を説明します:

  • アセット・インベントリは、複数のクラウド・アカウントとCSPにまたがるクラウド・リソースを自動的に検出し、検出された各アセットのライフサイクル全体にわたる変更の監査証跡を維持します。これにより、クラウドセキュリティプログラムの成功に必要な基盤となる可視性と認識が可能になります。
  • 構成アセスメントは Terraform®やCloudFormationなどのInfrastruktur als Code (IaC)テンプレートをスキャンし、本番環境で問題を迅速に修正するための自動修復を提供するために、組み込みおよびカスタムのポリシーに従って、ライフサイクル全体にわたって継続的な構成リスク評価を提供します。
  • コンプライアンス管理は 、クラウド環境全体のコンプライアンス態勢を監視し、コンプライアンスフレームワークの膨大なライブラリをサポートし、リアルタイムのコンプライアンス監視と監査対応レポートの即時作成機能を提供します。
  • ネットワーク セキュリティは 、CSP からネットワーク フロー ログを直接取り込み、脅威インテリジェンス フィードを組み込み、クラウド ネイティブのファイアウォール ルールを深く理解することで、ネットワーク リスクの詳細な状況を把握します。これにより、侵入だけでなく、クリプトジャッキング、マルウェア感染インスタンス、ラテラルムーブメント、その他の種類の高度な持続的脅威(APT)など、より高度な脅威の検知も可能になります。
  • アイデンティティとアクセス管理(IAM)セキュリティは、環境間でユーザーの行動を相関させ、行動プロファイルを確立するために機械学習を使用します。これはユーザーとエンティティの行動分析(UEBA)としても知られています。ルートユーザーの活動、セキュリティグループの変更、IAM設定の更新など、認証情報の漏洩や悪意のあるインサイダーの脅威の兆候となる可能性のある、機密性の高い活動を監視します。
  • データセキュリティは 、規制要件に対応し、マルウェアスキャン機能を組み込んだ何百ものクラウドデータ分類ルールをすぐに利用できるマルチクラウド対応のデータ保護を提供します。
  • 脆弱性管理は コンテナ、イメージ、ホスト、機能にわたるすべてのアクティビティとランタイムの本番環境を監視し、クラウドネイティブなインフラストラクチャ全体の脆弱性とリスクをスタックランク付けします。
  • ワークロードセキュリティ は、実行中のアプリケーションレベルの攻撃からワークロード(仮想マシン、コンテナ、サーバーレスデプロイメント)を保護するために、検出アプローチ(振る舞いなど)と組み合わせた予防メカニズムを提供します。
  • SOARサービスと直接統合された 自動調査および対応 機能は、クラウドネイティブ環境内のさまざまなソースからの豊富なコンテキストデータに基づいています。きめ細かなフォレンジック機能と機械学習アルゴリズムによる分析を組み合わせることで、セキュリティ・インシデントの調査を迅速に行うことができます。
関連コンテンツ
クラウドセキュリティ用語集&FAQ
クラウドセキュリティに関する質問はございませんか?回答だけでなく、ベストプラクティス、クラウドセキュリティの主要概念、用語、クラウドセキュリティの関連記事へのリンクもご覧ください。
前へ クラウドネイティブセキュリティとは?
次へ クラウドセキュリティは共有責任

最新ニュース、イベント情報、脅威アラートを配信