AWS Cloud Workload Protection Platform (CWPP) とは？"

デジタル資産のセキュリティは、特に今日のクラウド中心の環境において、これまで以上に重要になっています。これはクラウドセキュリティの基盤そのものであり、AWS CWPP（クラウドワークロード保護プラットフォーム）の中核を成すものです。サイバーセキュリティ・ベンチャーズ社によれば、サイバー犯罪による損害は2025年に10.5兆ドルに達すると予測されています。さらに最近の報告では、全データ侵害の82%が人的要因（ソーシャル攻撃、ミス、不正使用を含む）に関連しているとされています。

AWS CWPPはAWSクラウドインフラの守護者として機能します。脆弱性の発見から脅威/脅威アクターの効率的な対処まで、必要な支援をすべて提供します。そもそも脅威が発生しないよう対策を講じるため、クラウド運用は円滑かつ安全に実行されます。

AWS CWPPは、セキュリティツールとクラウドネイティブインフラを基盤に、クラウドワークロードとアプリケーションに高度なセキュリティを提供します。このセキュリティソリューションは、コンプライアンスタスクの妨げになることなくワークロードを適切に保護します。これは、連邦レベルおよび企業レベルの両方でデータ保護に関する複雑な要件が増加していることに伴い、重要性を増しています。

このブログでは、クラウドベースの資産を保護するAWS Cloud Workload Protection Platform（CWPP）について解説します。本ブログでは、プラットフォームのアーキテクチャ、構成要素、ネットワークセキュリティへのアプローチ、コンテナおよびサーバーレスアプリケーションの保護、データ保護対策、アクセス管理、実世界のユースケース、監視、ロギング、ならびに実装のベストプラクティスについて説明します。これらのソリューションは、クラウドインフラストラクチャの安全性と保護を維持するための強力なツールを提供します。

詳細に入る前に、AWSには「CWPP」という単独の製品は存在せず、この概念はクラウドワークロードを保護する複数のAWSセキュリティソリューションをAWS内で統合的に活用する手法を指すことに留意してください。

AWS CWPP のコアアーキテクチャ

AWS CWPP は、AWS 環境においてエンドツーエンドの保護を提供する、強力で拡張性の高いフレームワークです。AWS CWPP をより深く理解するために、そのアーキテクチャを詳しく見てみましょう。

分散型エージェントベースのシステム

AWS CWPP は、分散型エージェントモデルを使用して、Amazon クラウド内のあらゆるクラウドリソースを監視および保護します。エージェントは、AWS インフラストラクチャ全体にデプロイされる小さなソフトウェアコンポーネントです。これらはリソースの状態や動作に関する詳細情報を収集するローカル監視装置です。ローカルデータを分析することで潜在的な脆弱性を検出します。この分散型実装により、クラウド環境の規模や複雑さに関わらず、あらゆる悪意ある行動や回避策がリアルタイムで検知・対応されます。

中央管理コンソール

エージェントがインフラ全体で動作する中、これらの検知結果はすべて管理コンソールという共通拠点に集約されます。このコンソールはAWS CWPPの中枢であり、全データが収束する唯一の場所として、セキュリティ態勢の統合ビューを提供します。このコンソールを使用して、アラートの表示、インシデントの調査、インシデント発生時の行動の相関分析を行い、組織のセキュリティポリシーを作成します。

AWS サービスとの統合

この統合により、優先度の高い脅威データの共有と、セキュリティ強化のための協調的な対応が可能になります。AWS Identity and Access Management (IAM)

データフローと処理パイプライン

AWS CWPPの中核は、成熟したデータフローと処理パイプラインです。分散型エージェント、AWSサービスログ、ネットワークトラフィックなど、さまざまなソースからデータが収集されます。このデータはCWPPの処理エンジンに供給されます。高度なアルゴリズムと機械学習モデルを用いてデータを分析し、パターン、異常、潜在的な脅威を探します。処理されたデータは、次にCWPPの様々なコンポーネントを通過します。データの一部は可視化とレポート作成のために中央コンソールに送られます。他のデータは自動応答や通知をトリガーするよう設定される場合があります。このパイプラインにより、常に最新のセキュリティデータを保持でき、情報に基づいた意思決定と脅威への迅速な対応能力が強化されます。

AWS CWPPの主要コンポーネント

AWS CWPPの基盤は、以下の4つの要素で構成されています：

• Amazon GuardDuty

GuardDutyはAWS CWPPの常時監視セキュリティガードです。このツールは、悪意のある活動や不正な動作の兆候がないか、すべてのAWSアカウントとワークロードを監視します。GuardDutyは機械学習、異常検知、統合脅威インテリジェンスを備えています。その能力は、既知の悪意あるIPアドレスからのAPI呼び出し、データ転送の試み、既知のコマンドアンドコントロールサーバーとの通信を行うインスタンスなどにも及びます。

• AWS Security Hub

Security HubはAWS内のセキュリティ状態を包括的に可視化し、サードパーティツールとの連携も可能です。データを収集・処理して洞察を導き出し、セキュリティ上の懸念事項の発見を支援します。さらに一歩進んで、業界のセキュリティ基準やベストプラクティスに基づいて環境を検証します。Security Hubの最大の利点の一つは、集約・整理・優先順位付けを標準化された形式で提供できることです。

• Amazon Inspector

Amazon Inspectorによる自動化されたセキュリティ評価は、悪意のある活動の可能性についてAWSアカウントレベルの動作を継続的に監視・分析するのに役立ちます。ベストプラクティスや脆弱性への曝露に対してアプリケーションを自動的にチェックすることで、AWS上にデプロイされたアプリケーションのセキュリティとコンプライアンスの向上を支援します。Inspectorの評価には2種類あります。

1. ネットワーク評価では、EC2インスタンスのネットワークアクセス可能性と関連するセキュリティリスクをスキャンします。
2. ホスト評価では、EC2インスタンスの脆弱性と設定ミスを分析します。

• AWS Config

AWS Config は、アカウント内の AWS リソースの構成について、誰に関連し、かつてどのように構成されていたかなど、非常に広範な情報を提供します。AWS Configはリソース構成を監視し、履歴データを保持するため、現在の状態を望ましい状態と比較できます。最大の利点は、特定のリソース変更が他リソースに与える影響を把握できる点です。

AWS CWPP ネットワークセキュリティ戦略

クラウド保護の重要な側面は、ネットワークインフラストラクチャに対して AWS CWPP が提供する堅牢な対策による保護です。以下のサービスは、ネットワークが攻撃から確実に保護されることを保証します。

1. AWS Network Firewall 統合

ネットワークファイアウォールを使用すると、回避防止機能が組み込まれたステートフルファイアウォールを作成できます。送信元/宛先IPアドレス、送信元/宛先ポート、プロトコルレベルでポリシーを定義できます。

この制御レベルにより、多層防御セキュリティ戦略を実装可能です。他のCWPPコンポーネントに加え、ネットワークファイアウォールのログを活用して脅威検知を強化できます。

2. セキュリティグループとネットワークACL

セキュリティグループとネットワークアクセス制御 リストはAWSネットワークセキュリティの基盤です。CWPPはセキュリティグループとネットワークACLの管理を支援します。

セキュリティグループはAmazon EC2インスタンスを囲む仮想ファイアウォールとして機能し、インスタンスレベルでの入出トラフィックを制御します。ネットワークACLは同様の役割を果たしますが、仮想ファイアウォールからサブネットレベルで動作します。

3. VPCフローログ分析

VPC（仮想プライベートクラウド）のフローログは、VPC経由で送信される全トラフィックに関する情報を記録します。CWPPと組み合わせることで、このデータはネットワークトラフィックのパターンや潜在的なセキュリティ脆弱性に関する洞察を得るために活用できます。

高度な分析システムを備えたCWPPは、異常と見なされるトラフィック行動を検知し、セキュリティ問題の可能性を示唆できます。例えば、異常な通信行動、データ流出活動、悪意のあるIPアドレスとの直接通信を特定可能です。事後分析においてVPCフローログの情報を活用することは、フォレンジック調査にも役立ちます。

4. DDoS防御メカニズム

CWPPは、攻撃緩和のためのAWS独自のDDoSセキュリティ機能であるAWS Shieldを利用しています。攻撃の緩和に活用します。CWPPに標準搭載されているAWS Shield Regularティアを利用することで、主要なネットワーク型およびトランスポート型DDoS攻撃からリソースが自動的に保護されます。高度な攻撃に対しては、より詳細なDDoS対応フレームワークを提供するAWS Shield Advancedティアが使用されます。

DDoS保護に関して、CWPPはリアルタイムのDDoS脅威アラートを提供する場合もあります。トラフィックデータを監視し、トラフィックの急増やDDoS攻撃の可能性を示すその他の兆候を通知します。CWPPはAWS WAFと連携し、最も典型的で頻度の高いDDoS攻撃からソフトウェアを保護するカスタムセキュリティポリシーを作成することも可能です。

AWS CWPPによるコンテナとサーバーレスの保護

AWS Cloud Workload Protection (CWPP) は、コンテナおよびサーバーレスワークロードを完全に保護し、最新のアプリケーションのセキュリティを確保します。この領域における主な機能の一部を以下に示します。

Clair を使用した ECR イメージスキャン

Amazon ECR は、フルマネージドのコンテナレジストリです。Dockerイメージの保存、管理、デプロイに使用されます。AWS CWPPのリリースにより、オープンソースの脆弱性スキャナーであるClairを使用したECRとの統合を通じて、コンテナイメージの自動スキャンが可能になりました。

イメージをECRにプッシュすると、そのイメージがスキャンされます。このスキャンでは、オペレーティングシステムパッケージや言語依存関係などで開示されている既知および新たな脆弱性をチェックします。スキャン結果はECR内で確認可能であり、他のCWPPコンポーネントと連携できます。

ECSおよびEKSランタイム監視

AWSはAmazon Elastic Container Service（ECS）およびAmazon Kubernetes Service(EKS) を提供しています。ECS では、CWPP は AWS Fargate エージェントと連携して、実行中のコンテナの動作を監視します。疑わしいプロセス、異常なネットワーク接続、特権の潜在的な増加を報告します。

EKSの場合、CWPPはデーモンセットとして統合され、Kubernetesクラスター内の各ノードが確実に監視されます。コンテナ間の通信方法を可視化し、Kubernetes APIサーバーへの不正アクセスや暗号通貨マイニングなどのポリシー違反やセキュリティ脅威を検出できます。

Fargate固有のセキュリティ制御

AWS FargateはECSおよびEKSと互換性のあるコンテナベースのサーバーレスコンピューティングサービスです。CWPPはこのコンピューティングエンジン向けに特別に設計された一連のセキュリティ手法を提供します。CWPPはFargateジョブ定義を監視し、過度に許可されたAmazon IAMロールや開放ポートを検知します。Fargateジョブのネットワーク設定を検証することでポリシーを評価します。重要な特長は、Fargateワークロード専用の実行時ルールを維持できる点です。

Lambda関数のセキュリティ

AWS Lambdaはサーバーレスコンピューティングの主要製品であるため、CWPPでAWS Lambda関数を包括的に保護するアプローチが理にかなっています。CWPPはLambda関数コードネットワーク内の脆弱性や設定ミスを発見できます。これには静的コード分析、ハードコードされたシークレットの検出、過度に許可されたIAMロールの特定、関数依存関係における既知の脆弱性の調査が含まれます。

AWS CWPP データ保護戦略

AWS CWPP が提供するデータ保護戦略についていくつか説明します。

#1.暗号化のための KMS 統合

AWS Key Management Service (KMS) は、AWS におけるデータ保護の中核であり、CWPP は KMS と緊密に統合して 暗号化機能を提供します。プラットフォームはKMSを利用して、様々なAWSサービスの暗号化キーを管理します。

異なるAPIキーの使用状況を追跡し、異常なパターンを検知します。これはキーがコピーされ、不正な手に渡った可能性を示唆します。また、プラットフォームはKMSが適切に使用されるよう保証します。

#2.S3バケットポリシー分析

Amazon S3オブジェクトストレージは極めて人気のあるAWSサービスであり、データ損失を防ぐためのS3バケットの保護は不可欠です。CWPPプラットフォームは、S3バケットポリシーを継続的に監査し、設定ミスを発見します。また、読み取りまたは書き込み権限で公開アクセス可能なS3バケットについて警告を発する可能性があります。

#3. DynamoDBの暗号化と監視

CWPPはAmazon DynamoDB向けの保護機能を備えています。DynamoDBテーブルが暗号化されていることを確認し、アクセス方法を追跡し、セキュリティリスクに対してベストプラクティスを提案します（必要な場合）。CWPPはすべてのDynamoDBテーブルをスキャンし、保存時の暗号化が確実に行われていることを確認します。セキュリティポリシーや業界のベストプラクティスに基づいて、暗号化設定を同様にチェックします。

#4. データアクセスパターンの分析

AWS CWPPは、AWS環境全体にわたる包括的なデータアクセスパターンの分析を提供します。この可視性により、単一サービスではなく全サービスにわたるアプリケーションレベルのセキュリティリスクを検知できます。

CWPPは、さまざまなAWSサービスのアクセスログを分析します。これらを用いて、お客様の環境における典型的なデータアクセスのパターンを構築します。実際には、機械学習アルゴリズムを活用し、これらのパターンにおける異常な動作を検出します。

AWS CWPPによるアクセス管理のアプローチ

アクセス管理はクラウドセキュリティの中核であり、AWS CWPPのベストプラクティスは、適切な人物とプロセスだけがリソースにアクセスすることを保証します。CWPPのアクセス管理戦略の主要な柱を探ってみましょう。

• IAMロールとポリシー管理

AWS Identity and Access Management（IAM）はAWSにおけるアクセス制御の基盤であり、CWPPも例外ではありません。本プラットフォームはIAMロールとポリシーを継続的に監査し、権限設定の過剰な許可やベストプラクティス違反を検知します。 また、IAMポリシーの変更履歴を追跡し、特に機密性の高いリソースにおいて許可されるアクティビティが急増した場合に警告を発します。これにより、検出を逃れる可能性のある不適切または危険なアクセス制御の変更を特定し、調査することが可能になります。

• Access Analyzer の機能

AWS IAM Access Analyzer は、組織内で外部エンティティと共有されているリソースを特定するスタンドアロンのツールです。CWPPは、外部からの潜在的なアクセスを他のセキュリティイベントと関連付けることで、アクセスアナライザーの機能をより広範なセキュリティコンテキストと結びつけます。これにより、潜在的なセキュリティインシデントを容易に発見し、対応することが可能になります。

• 一時的な認証情報の管理

一時的なセキュリティ認証情報は、きめ細かなアクセス制御を提供するAWSの主要な機能です。CWPPは、AWS環境全体における一時的な認証情報の使用状況を監視・追跡します。これにより、想定外の方法や場所での一時認証情報の使用を示す兆候を提示し、さらなる競合の発生を防ぐことができます。また、厳格なセキュリティ基準の維持にも役立ちます。&

• 最小権限の原則の適用

CWPPは、AWS環境全体で最小権限の原則を適用する手段を提供します。これはAWSにおける基本概念です。

CWPPは、ユーザー、ロール、またはリソースに付与された権限を、実際の使用パターンに対して追跡・継続的に検証します。これにより過剰な権限を特定し、これらの権限を制限することで攻撃対象領域を縮小できます。<

AWS CWPPの実用事例

AWS CWPPの威力と適用範囲を理解いただくため、実際のユースケースをいくつかご紹介します。

1. 金融サービスコンプライアンス: 大手銀行が厳格な金融規制への準拠維持にAWS CWPPを活用する場合を考えてみましょう。CWPPの継続的監視と自動化されたコンプライアンス機能により、全顧客データの暗号化状態の確認、アクセス制御の適切な実装、設定変更の即時フラグ付けとレビューが保証されます。&
3. Eコマースプラットフォームのセキュリティ： Eコマース事業では、セキュリティチームがコンテナ化された弾力的なインフラストラクチャ上でCWPPを活用できます。プラットフォームは本番環境のコンテナをスキャンし、各デプロイメントに重大な脆弱性がないことを保証します。継続的なネットワーク制御は、DDoS攻撃が発生する前に自動的に対応するソフトウェアルールロジックを構築します。
4. マルチクラウドエンタープライズセキュリティ： マルチクラウド戦略を展開する大企業は、AWSとオンプレミス環境全体でCWPPによる統合セキュリティを実現します。単一画面の集中管理コンソールにより、ハイブリッドインフラ全体のセキュリティ監視が可能になります。
5. メディア・エンターテインメント業界のセキュリティ: ストリーミングサービスの利用急増に伴い、コンテンツや顧客のセキュリティを侵害する攻撃に対して脆弱化しています。そのためCWPPは、ユーザーデータとコンテンツ保護において貴重な資産となっています。AWS CWPPは、事業発展を脅かすハッキングや海賊版からストリーミングサービスプラットフォームを保護します。
6. 教育分野のデータ保護： 学校におけるデータ侵害は、安全上の懸念だけでなく、金銭的・評判上の損害をもたらします。複数のキャンパスと数万人の学生を抱える大規模な大学システムは、AWSを活用してFERPA（教育記録のプライバシー保護法）に準拠し、学生データや研究データを保護できます。

AWS CWPPによる監視とロギング

AWS CWPPは、AWSネイティブの監視およびロギング機能を拡張し、インフラストラクチャ全体のアクティビティを可視化します。CWPPがこれらのツールをどのように活用するか見ていきましょう。

CloudWatch との統合

CWPP は、AWS CloudWatch サービス上に監視機能を適用することで AWS 環境を監視するために設計されたカスタム構築プラットフォームです。CWPPはCloudWatch APIを使用してAWSリソースのメトリクスを収集します。ログイン失敗、機密性の高いAPIの呼び出し、異常なネットワークトラフィックなどの発生を検知するためのカスタムセキュリティメトリクスを設定します。CloudWatchアラームは潜在的なセキュリティ問題を通知します。アラームは、静的なしきい値ベースのものもあれば、異常検知アルゴリズムを使用するものもあります。

監査ログのためのCloudTrail

AWS CloudTrailは、ユーザー、ロール、またはAWSサービスによって実行されたアクションの記録を提供します。CWPPはCloudTrailと深く連携し、包括的な監査ログ記録を可能にします。CWPPモジュールは、AWSアカウント内の全リージョンでCloudTrailが有効化され、ログファイルの検証が有効化されていることを保証します。

監査ログの完全性を確保することは、フォレンジック調査やコンプライアンス要件において極めて重要です。本プラットフォームは、不正なAPI呼び出し、セキュリティグループのルール変更、IAMポリシーの変更など、不審な活動を検知するため、CloudTrailログを常時監視します。

AWS CWPP導入のベストプラクティス&

AWS CWPP実装において従うべきベストプラクティスの一部は以下の通りです：

1. 最小権限アクセスを実装する

CWPPを活用してIAMロールとポリシーを分析し、未使用または不要な権限を発見することで、リソースの動作を完全に制御できます。企業はIAMアクセスアナライザーとの連携を活用し、AWSアカウント内の開放リソースを発見できます。また、特権昇格の試みや異常な権限を監視するのにも使用できます。

2.保存時および転送中のデータを暗号化

AWS CWPPを使用する際は、暗号化によるデータ保護が重要です。そのためには、AWS KMSで暗号化されCWPPと統合された環境全体の暗号化キーを管理します。S3バケット、EBSボリューム、RDSインスタンスを含む、保存中の全データを暗号化します。

3. 継続的な監視とアラート

CWPPはリアルタイム監視を提供するため、セキュリティ態勢を強化し、常に状況を把握できます。セキュリティ固有のメトリクスにはCloudWatchアラームを活用し、CWPPで環境や脅威モデルに基づいてカスタマイズできます。CWPPを使用して複数のチャネル（メール、SMS、Slack）経由でアラートを設定し、脅威検出時に迅速に対応できるようにします。

（メール、SMS、Slack）でアラートを設定し、脅威を検知した際に迅速に対応できます。

4.定期的な脆弱性評価

AWS CWPPによる強固なセキュリティの第一歩は、脆弱性を積極的に特定することです。Amazon InspectorとCWPPを連携させ、EC2インスタンスやコンテナイメージの脆弱性を検出する定期的な自動スキャンを設定しましょう。

5. 多層セキュリティの実装

セキュリティグループ、ネットワークACL、AWS WAFルールなど、複数のネットワークセキュリティ層を管理するには常にCWPPを活用してください。CWPPは、アンチウイルス、ホストファイアウォール、その他のエンドポイントセキュリティツールによる現在のマルウェア保護状況を可視化します。ネットワークベースの保護と、ホスト自体をウェブベースの脅威から守る多層的なアプローチを組み合わせてください。

6. ログの保護と分析

詳細な監査ログを維持するため、全リージョンおよびサービスでAWS CloudTrailを有効化してください。これらのログを一元管理しリアルタイム分析を実行するには、AWS CloudWatchを使用すべきです。

7.クラウドとオンプレミスのセキュリティを統合する

ハイブリッドクラウドを利用するには、クラウド環境とオンプレミス環境の両方で保護を実施する必要があります。両者の間に専用ネットワーク接続を確立するには、AWS Direct Connect を使用できます。

8.フェデレーションシングルサインオン（SSO）によるユーザー管理

一元的なアクセス管理システムを実現するには、AWS Single Sign-On を環境と統合し、すべてのユーザーアカウントに多要素認証（MFA）を実装します。フェデレーションを使用して、オンプレミスの ID 管理を AWS に統合します。

9.ネットワークセグメンテーションの実装

異なるアプリケーションを実行するネットワーク環境を分離するには、Amazon VPCを使用してそれらを作成できます。これらの環境間の入出力トラフィックを制御するには、セキュリティグループとネットワークアクセス制御リスト（ACL）を使用する必要があります。オンプレミスネットワークとVPC間でセグメンテーションを行う場合、AWS Transit Gatewayを使用してそれらを一元管理できます。

AWS CWPPにSentinelOneを選ぶ理由

Singularity™ Cloud Workload Securityは、SentinelOneのAI駆動型自律クラウドワークロード検知・対応プラットフォームです。サーバー、VM、コンテナ、Kubernetes環境をスキャン可能です。現代のクラウドフットプリントが拡大する中、企業はマルチクラウド環境全体でワークロードを保護する必要があります。SentinelOneの複数のAI搭載検知エンジンが連携し、未知および既知の脅威にマシン速度で対応します。Azure、Google Cloud、AWS、さらにプライベートクラウドやハイブリッドクラウドにわたるワークロードを防御します。

その他の機能は以下の通りです：

• ワンクリックロールバック –不正な変更をワンクリックで元に戻し、自律的な緩和措置を実行。
• 脅威ハンティング –Purple AIは、AIセキュリティアナリストです。SentinelOneは、統合データレイク内のテレメトリ連携により、不審な活動を監視します。Purple AIによる自然言語クエリとイベントサマリーで調査を効率化します。
• 深い可視性とフォレンジック – SentinelOne は詳細なフォレンジック履歴とワークロードテレメトリを提供し、セキュリティチームがインシデントを徹底的に調査できるようにします。ワークロードフライトデータレコーダー™は包括的な可視化のため、関連する全データを捕捉・記録します
• 幅広いサポートとスケーラビリティ– SentinelOne は、14 の主要な Linux ディストリビューション、複数のコンテナランタイム（Docker、containerd、cri-o）、および Amazon Web Services（AWS）、Microsoft Azure、Google Cloud などの主要なクラウドプロバイダーのマネージドおよびセルフマネージドの Kubernetes サービスをサポートしています。また、Snykとの統合を実現し、エージェントレスCNAPPと独自の攻撃的エンジンを組み合わせています。
• eBPFアーキテクチャ –SentinelOneは拡張バークレーパケットフィルタ（eBPF）アーキテクチャを採用し、プラットフォームの安定性とパフォーマンスを強化しています。この設計によりカーネル依存を回避し、CPUとメモリのオーバーヘッドを低減します。
• DevSecOpsおよびCI/CDパイプラインとの統合 –SentinelOneはDevSecOpsツールと連携し、開発ライフサイクル全体を通じたシームレスな体験と継続的なセキュリティ監視を実現します。

結論

現代のクラウドセキュリティシステムにおいて、AWS Cloud Workload Protection Platform（CWPP）は、AWSエコシステム内で運用する組織に360度保護を提供する不可欠な要素です。

CWPPが重要なのは、継続的な監視、脅威の検知、自動化された対応を提供するためです。強力な分析と高度な機械学習を活用することで、組織は変化するサイバー脅威の状況に継続的に対応できます。完全に弾力性を備えるように設計されているため、クラウドインフラストラクチャをスケールアップすると、セキュリティ機能も同様に拡張されます。

"