知っておきたいCWPPの全て!
CSPMとの比較アリ
CWPP(Cloud Workload Protection Platforms)は、コンピューターマシン(仮想)を保護することを目的としたコンピューターセキュリティソフトウェアのクラスのことを言います。通常はエージェントベースで、保護対象のマシン内で永続的に実行され、セキュリティ関連のデータとイベントを収集して、クラウドベースのサービスに送信します。
CWPP とはクラウドワークロードを中心とした監視と保護のセキュリティソリューションのことを言います。クラウドワークロードとは、クラウド上の仮想マシンやデータベース、コンテナやアプリケーション等のことを指します。
クラウドのサービスは、全てのマシンを監視しアラートを取得して、対応する潜在的なセキュリティ脅威についてシステム管理者に通知します。
昨今、業務におけるサービスの提供でクラウドサービスを利用する企業が増えています。そのため社内で使用している複数のIaaS/PaaS環境を運用するため、管理にかかる負荷やコストが増えてしまいます。
これらの問題に対して、CWPPを導入することで、複数のクラウドサービスを一元で管理することが可能となり、セキュリティのチェックや検知が自動で提供されるため、複数のクラウド環境の管理負荷とコストを削減しながら、利便性とセキュリティの実現も可能になります。
クラウドワークロードの保護とは、複数の異なるクラウド環境間を移動するワークロードの安全性を維持するために、セキュリティリスクを発生させることなく、クラウドベースのアプリケーションを適切に動作させるプロセスのことを指します。そのためには、ワークロード全体が正しく機能していなければならないため、アプリケーションサービスのワークロードの保護とクラウドワークロードセキュリティは、アプリケーションセキュリティと根本的に異なるということが言えます。
このCWPPのワークロードとは主にアプリケーションのことを指します。通常は仮想マシンやデータベース、コンテナ、ホストなども含まれます。
CWPPは、従来のアンチウイルスソフトウェアのように、各ワークロードあるいは仮想化基盤にソフトウェアをインストールすることで動作します。このような方式をとることで、従来のネットワーク型セキュリティソリューションよりもワークロードに近いところで防御機能を提供することができ、さらにワークロードと一緒にスケールアウトすることで、性能問題にも対応します。
CWPP でワークロードを保護するには、主にマイクロセグメンテーションとベアメタルハイパーバイザーの2つの方法があると言われています。
まず、マイクロセグメンテーションと呼ばれるネットワーク技術ですが、これはワークロードを確実に守る1つの方法として知られています。マイクロセグメンテーションを実装する場合、セキュリティアーキテクトは、ワークロード単位で個別のセグメントに分割し、そのセグメントごとに保護をしてくれます。脅威が環境内へ侵入できないようにする保護方法ではなく、マイクロセグメンテーションは、マルウェアが環境内のサーバ間を移動できないようにするという方法です。
2つ目のベアメタルハイパーバイザーは仮想化ソフトウェアの一種です。コンピューターのソフトウェアをそのハードウェア自体から切り離してしまうことにより、仮想マシンの作成及び管理をサポートします。ベアメタルハイパーバイザーは、ハードウェアとオペレーティングシステムの間に直接インストールされます。ハイパーバイザーで作成される仮想マシンは互いに分離しているため、いずれかの仮想マシンで問題が発生したり、攻撃を受けたりした場合、その影響範囲は発生元のサーバに限定され、ほかの仮想マシンのワークロードには影響しないというものです。
CWPPソリューションの中には、ハイパーバイザー対応の、クラウドワークロードを保護するために特別に設計されたものもあります。
CWPPとCSPM( Cloud Security Posture Management クラウドセキュリティポスチャ管理)は、クラウドの機密データの保護に関係しているという点からすると、 どちらも同じような意味を持ちます。では、この2つのソリューションの違いは厳密に言うと何なのかについて解説します。
CSPMがクラウドのAPIを用いて管理コンソールにおける設定情報やログを取得し、脆弱な設定を検知するのに対し、CWPPではクラウド上のインスタンスや、仮想マシン、コンテナなどのワークロードに対し、通常エージェントなどを配置し、セキュリティの監視をするという違いがあります。製品にもよりますが、セキュリティの自動チェックとしてセキュリティ設定の不備、OSのパッチ適用状況、ミドルウェアの脆弱性有無、アンチウイルスソフトのパターンファイル更新、スキャン状況をチェックするなどの機能を持ったソリューションが存在します。
CWPPがクラウドセキュリティポスチャ管理ソリューションと連動している企業もあります。これはCWPPがクラウドワークロードのセキュリティを確保する一方で、CSPMはより広い視野を重視し、企業のクラウドプラットフォームにワークロードを展開するアカウントなどを主な対象とし、連携をとっているというものです。
CWPPがワークロードを保護するのに対し、CSPM はそれを実行するインフラストラクチャの保護をサポートする仕組みです。これはクラウドインフラストラクチャの保護と、クラウドサービスが安全に構成されているかどうかを調べます。
これらを組み合わせたサービスは、クラウドスタック全体および上下方向のセキュリティと可視性を提供するために必要であり、ただの補完関係ではないことが分かります。CWPPとCSPMの両者を上手く活用し密接に連携させるというのは、クラウド資産の管理においてより安全で効率的、そして容易なやり方なのです。
ここまで、 CWPPの概要やCSPMとの比較などを述べてきましたが、この見出しではCWPPの具体的な8つの仕組み、機能について解説していきます。
CWPPは、クラウドのワークロードに埋め込まれたマルウェアを検出します。
CWPPは、サーバとアプリケーションの作動の疑わしい変化や、アクティブな脅威を即時に検知し対応します。
ソフトウェアが本番環境に投入される前であったとしても、ソフトウェアに脆弱性が存在しないかどうかを確認します。
ネットワークを保護し、マイクロセグメンテーションを行います。後者の用語は、攻撃者がネットワーク全体を一度に侵害できないように、ネットワークをより小さな部分に分割するマイクロセグメンテーションを行い見える化を図ります。
サーバへの悪意ある外部からの侵入を防止する機能を搭載しています。
アプリケーションへのアクセスが許可されていない者に対して、アプリケーションの許可とブロックを行います。
設定されたクラウドのシステムが意図したとおりに動いていることを確認します。
CWPPは、アクティブに動いているソフトウェアの脆弱性エクスプロイトを防止します。あらゆる種類のワークロードにこれらの機能を適用することができます。
企業が進化を遂げるにつれて、CWPPの必要性は高まり続けています。その中で市場には数多くのCWPPが存在しますが、その全てが完全な機能を備えているわけではありません。
機能の他にも、近い将来に備えたクラウド ワークロード保護を実現するためには、CWPP機能をどのように組み込んでいくかについてもよく考えなければなりません。以下で、 進化し続けるIT業界のセキュリティにおいてCWPPに求められる5つのことについて述べていきます。
CWPPのアーキテクチャーが、すべてのワークロードの場所、サイズ、アーキテクチャーを問わず、一貫した可視性とコントロールを提供できることを確認する。 CWPPの管理は、単一のAPIを介して全ての機能を公開し、1つのコンソールから行えるようにする必要があるということです。
ランタイムエージェントが使用できない、または意味をなさないCWPPシナリオのためのアーキテクチャーを設計する。
ワークロードのスキャンとコンプライアンスはDevSecOpsのアプローチの一環として、DevOpsに拡張しなければなりません。
コンテナ セキュリティ、またはサーバーレス保護のロードマップに加えて、アーキテクチャーのデザインを共有できるCWPPベンダーを選ぶ必要があります。リスクの高い構成を特定するための CSPM (統合クラウドセキュリティポスチャ管理)を提供できるCWPPベンダーを検討するのが良いでしょう。
ゼロトラストの原則
ワークロード保護にはウイルス対策に基づく戦略ではなく、たとえ検出モードに限った場合でも、ランタイムで可能な限りデフォルト拒否のアプローチを適用します。
