デジタル資産のセキュリティは、特に今日のクラウド中心の環境においてこれまで以上に重要です。これはクラウドセキュリティの基盤であり、AWS CWPP(Cloud Workload Protection Platform)の中核でもあります。Cybersecurity Venturesによると、サイバー犯罪による損害は2025年に10.5兆ドルに達すると予測されています。さらに、最近のレポートによれば、全データ侵害の82%が人的要因(ソーシャル攻撃、エラー、不正使用など)に関連しています。
AWS CWPPは、AWSクラウドインフラストラクチャの防御者として機能します。AWS CWPPは、脆弱性の発見から脅威や脅威アクターへの効率的な対応まで、必要な支援を提供します。これらの問題が発生する前に対策を講じることで、クラウド運用を円滑かつ安全に維持します。
AWS CWPPは、セキュリティツールとクラウドネイティブインフラストラクチャに基づき、クラウドワークロードおよびアプリケーションに高いレベルのセキュリティを提供します。このセキュリティソリューションは、コンプライアンス業務を妨げることなくワークロードを適切に保護するのに役立ちます。これは、連邦および企業レベルでのデータ保護要件が複雑化する中で、ますます重要性を増しています。
本ブログでは、クラウドベースの資産を保護するAWS Cloud Workload Protection Platform(CWPP)について解説します。プラットフォームのアーキテクチャ、構成要素、ネットワークセキュリティへのアプローチ、コンテナおよびサーバーレスアプリケーションの保護、データ保護対策、アクセス管理、実際のユースケース、監視・ログ管理、導入のベストプラクティスについて説明します。これらのソリューションは、クラウドインフラストラクチャのセキュリティ維持に役立つ強力なツールを提供します。
本題に入る前に、AWSには「CWPP」と呼ばれる単独製品は存在しないことに注意が必要です。この概念は、AWS内の複数のセキュリティソリューションを統合的に活用し、クラウドワークロードを保護することを指します。
AWS CWPPのコアアーキテクチャ
AWS CWPPは、AWS環境においてエンドツーエンドの保護を提供する強力かつ拡張性の高いフレームワークです。AWS CWPPをより深く理解するために、そのアーキテクチャを詳しく見ていきましょう。
分散型エージェントベースシステム
AWS CWPPは分散型エージェントモデルを採用し、Amazon Cloud内のあらゆるクラウドリソースを監視・保護します。エージェントはAWSインフラストラクチャ全体に展開される小型のソフトウェアコンポーネントです。これらはローカルの監視役として、リソースの状態や動作に関する詳細情報を収集します。ローカルデータを分析して脆弱性の可能性を検出します。この分散実装により、クラウド環境の規模や複雑さに関係なく、悪意のある行動や回避行動をリアルタイムで検知・対応できます。
中央管理コンソール
エージェントがインフラ全体で収集した情報は、管理コンソールに集約されます。このコンソールはAWS CWPPの中枢です。すべてのデータがここに集まり、セキュリティ状況を統合的に可視化します。このコンソールを使ってアラートの確認、インシデント調査、インシデント時の行動の相関分析、組織のセキュリティポリシー策定を行います。
AWSサービスとの統合
統合により、優先度の高い脅威データの共有や連携した対応が可能となり、セキュリティが向上します。AWS Identity and Access Management(IAM)権限との連携設定も組み込まれており、きめ細かなアクセス制御が実現します。
データフローと処理パイプライン
AWS CWPPの中核には成熟したデータフローと処理パイプラインがあります。データは分散エージェント、AWSサービスログ、ネットワークトラフィックなど様々なソースから収集されます。このデータはCWPPの処理エンジンに送られ、高度なアルゴリズムや機械学習モデルでパターン、異常、潜在的な脅威を分析します。処理されたデータはCWPPの各コンポーネントに流れ、一部は中央コンソールで可視化・レポートされます。その他は自動応答や通知のトリガーとして設定可能です。このパイプラインにより、常に最新のセキュリティデータを取得し、迅速な意思決定と対応が可能となります。
AWS CWPPの主要コンポーネント
AWS CWPPの基盤は以下の4つの要素で構成されています。
Amazon GuardDuty
GuardDutyはAWS CWPPの常時監視型セキュリティガードです。このツールは、すべてのAWSアカウントとワークロードに対し、悪意のある活動や不正行動の兆候を監視します。GuardDutyは機械学習、異常検知、統合脅威インテリジェンスを備えています。既知の悪意あるIPアドレスからのAPIコール、データ転送の試み、コマンド&コントロールサーバーとの通信なども検出可能です。
AWS Security Hub
Security HubはAWS内のセキュリティ状況を包括的に可視化し、サードパーティツールとの統合も可能です。データを収集・処理し、セキュリティ上の懸念点を特定するためのインサイトを提供します。さらに、業界標準やベストプラクティスに対する環境の適合性も検証します。Security Hubの大きな利点は、標準化された形で集約・整理・優先順位付けを行える点です。
Amazon Inspector
Amazon Inspectorによる自動セキュリティ評価は、AWSアカウントレベルの行動を継続的に監視・分析し、悪意のある活動の可能性を検出します。AWS上で展開されたアプリケーションのセキュリティとコンプライアンスを強化し、ベストプラクティスや脆弱性への曝露を自動的にチェックします。インスペクター評価には2種類あります。
- ネットワーク評価は、EC2インスタンスのネットワーク到達性と関連するセキュリティリスクをスキャンします。
- ホスト評価は、EC2インスタンスの脆弱性や設定ミスを分析します。
AWS Config
AWS Configは、アカウント内のAWSリソースの構成(どのリソースがどれと関連し、どのように設定されていたか)を広範囲に可視化します。AWSリソースの構成を監視し、履歴データを保持することで、現在の状態と望ましい状態を比較できます。AWS Configの大きな利点は、特定リソースの変更が他のリソースにどのような影響を与えるかを把握できる点です。
AWS CWPPのネットワークセキュリティ戦略
クラウド保護の重要な側面は、AWS CWPPが提供する堅牢なネットワークインフラストラクチャ保護です。以下のサービスにより、ネットワークは攻撃から守られます。
1. AWS Network Firewallとの統合
ネットワークファイアウォールは、回避防止機能を備えたステートフルファイアウォールを作成できます。送信元・宛先IP、送信元・宛先ポート、プロトコル単位でポリシーを定義できます。
このレベルの制御により、多層防御戦略を実装できます。他のCWPPコンポーネントと併用することで、Network Firewallログを活用し脅威検出を強化できます。
2. セキュリティグループとネットワークACL
セキュリティグループとネットワークアクセス制御リストは、AWSネットワークセキュリティの基盤です。CWPPはセキュリティグループとネットワークACLの管理を支援します。
セキュリティグループはAmazon EC2インスタンスの仮想ファイアウォールとして、インスタンスレベルでの入出力トラフィックを制御します。ネットワークACLは、サブネットレベルで仮想ファイアウォールとして機能します。
3. VPCフローログ分析
VPC(Virtual Private Cloud)フローログは、VPCを通過するすべてのトラフィック情報を記録します。CWPPと組み合わせることで、ネットワークトラフィックのパターンや潜在的なセキュリティ脆弱性の洞察が得られます。
CWPPの高度な分析システムにより、異常なトラフィック挙動を検出し、セキュリティ問題の兆候を特定できます。例えば、異常な通信、データ流出活動、悪意あるIPアドレスとの直接通信などを検知します。VPCフローログの情報は事後分析やフォレンジックにも役立ちます。
4. DDoS対策メカニズム
CWPPは、AWS ShieldというAWS独自のDDoS対策機能を用いて攻撃を緩和します。CWPPに含まれるAWS Shield Standardにより、主要なネットワークおよびトランスポート層のDDoS攻撃から自動的にリソースが保護されます。高度な攻撃にはAWS Shield Advancedが利用され、より詳細なDDoS対応フレームワークを提供します。
DDoS対策では、CWPPがリアルタイムのDDoS脅威アラートも提供します。トラフィックデータを監視し、トラフィックスパイクやDDoSの兆候を通知します。CWPPはAWS WAFと連携し、一般的かつ頻発するDDoS攻撃からソフトウェアを守るカスタムセキュリティポリシーを作成できます。
AWS CWPPによるコンテナ・サーバーレス保護
AWS Cloud Workload Protection(CWPP)は、コンテナおよびサーバーレスワークロードを包括的に保護し、最新アプリケーションのセキュリティを確保します。この分野の主な機能は以下の通りです。
ClairによるECRイメージスキャン
Amazon ECRはフルマネージド型のコンテナレジストリです。Dockerイメージの保存、管理、デプロイに利用されます。AWS CWPPの導入により、Clair(オープンソースの脆弱性スキャナー)と連携したECRイメージの自動スキャンが可能です。
イメージをECRにプッシュすると、イメージがスキャンされます。このスキャンでは、OSパッケージや言語依存関係などで公開された既知・新規の脆弱性をチェックします。結果はECR内で確認でき、他のCWPPコンポーネントと組み合わせて活用できます。
ECSおよびEKSのランタイム監視
AWSは、コンテナオーケストレーション用にAmazon Elastic Container Service(ECS)およびAmazon Kubernetes Service(EKS)を提供しています。ECSでは、CWPPがAWS Fargateエージェントと連携し、稼働中のコンテナの挙動を監視します。不審なプロセス、異常なネットワーク接続、権限昇格の可能性を報告します。
EKSでは、CWPPがDaemonSetとして統合され、Kubernetesクラスタ内の各ノードを監視します。コンテナ間の通信状況を可視化し、Kubernetes APIサーバーへの不正アクセスや暗号通貨マイニングなど、ポリシー違反やセキュリティ脅威を検出します。
Fargate専用のセキュリティ制御
AWS Fargateは、ECSおよびEKSと互換性のあるコンテナベースのサーバーレスコンピューティングサービスです。CWPPは、このコンピュートエンジン専用のセキュリティ手法を提供します。CWPPはFargateジョブ定義を監視し、過度に許可されたAmazon IAMロールや開放ポートを検出します。Fargateジョブのネットワーク設定を確認し、ポリシーの適用状況を検証します。Fargateワークロード専用のランタイムルールを維持できる点も大きな特徴です。
Lambda関数のセキュリティ
AWS Lambdaはサーバーレスコンピューティングの代表的なサービスであり、CWPPによる包括的な保護が求められます。CWPPは、Lambda関数のコードやネットワークにおける脆弱性や設定ミスを検出します。これには静的コード解析や、ハードコードされたシークレット、過度なIAMロール、依存関係の既知脆弱性の検出が含まれます。
AWS CWPPのデータ保護戦略
AWS CWPPに付随するデータ保護戦略について説明します。
#1. 暗号化のためのKMS統合
AWS Key Management Service(KMS)はAWSにおけるデータ保護の中核であり、CWPPはKMSと密接に連携して暗号化機能を提供します。プラットフォームはKMSを利用して各種AWSサービスの暗号鍵を管理します。
さまざまなAPIキーの使用状況を追跡し、異常なパターンがあれば検知します。これは、キーがコピーされ不正利用されている可能性を示します。プラットフォームはKMSの適切な利用も保証します。
#2. S3バケットポリシー分析
Amazon S3オブジェクトストレージは非常に人気の高いAWSサービスであり、S3バケットのセキュリティ確保はデータ損失防止のために不可欠です。CWPPプラットフォームは、S3バケットポリシーを継続的に監査し、設定ミスを検出します。読み取りや書き込み権限が公開されているS3バケットについてもアラートを発します。
#3. DynamoDBの暗号化と監視
CWPPはAmazon DynamoDB向けの保護機能も備えています。DynamoDBテーブルの暗号化を確認し、アクセス方法を追跡し、必要に応じてセキュリティリスクへのベストプラクティスを提案します。すべてのDynamoDBテーブルをスキャンし、保存時の暗号化が有効かどうかを確認します。暗号化設定は、セキュリティポリシーや業界ベストプラクティスに基づきチェックされます。
#4. データアクセスパターン分析
AWS CWPPは、AWS環境全体にわたるデータアクセスパターンの包括的な分析を提供します。この可視性により、単一サービスだけでなくアプリケーションレベルでのセキュリティリスクを把握できます。
CWPPは各種AWSサービスのアクセスログを解析し、環境における典型的なデータアクセスの傾向を把握します。機械学習アルゴリズムを活用し、これらのパターンにおける異常行動を検出します。
AWS CWPPのアクセス管理アプローチ
アクセス管理はクラウドセキュリティの中心であり、AWS CWPPのベストプラクティスは、正しい人物やプロセスのみがリソースにアクセスできるようにします。CWPPのアクセス管理戦略の主な柱を見ていきましょう。
IAMロールおよびポリシー管理
AWS Identity and Access Management(IAM)はAWSにおけるアクセス制御の基盤であり、CWPPも例外ではありません。プラットフォームはIAMロールやポリシーを継続的に監査し、過度な権限やベストプラクティス違反を検出します。また、IAMポリシーの変更履歴を追跡し、特に機密リソースに対する許可活動の急増を警告します。これにより、アクセス制御の不適切または危険な変更を特定・調査でき、見逃しを防ぎます。
アクセスアナライザー機能
AWS IAM Access Analyzerは、組織内で外部と共有されているリソースを特定するスタンドアロンツールです。CWPPはAccess Analyzerの機能をより広いセキュリティ文脈と結び付けます。外部アクセスの可能性と他のセキュリティイベントを相関させ、潜在的なセキュリティインシデントの特定と対応を容易にします。
一時的な認証情報の管理
一時的なセキュリティ認証情報は、AWSの特徴的な機能であり、きめ細かなアクセス制御を実現します。CWPPはAWS環境全体で一時的な認証情報の使用状況を監視・追跡します。予期しない方法や場所で一時的な認証情報が使用されている兆候を提示し、さらなる調査を促します。これにより厳格なセキュリティ基準の維持が可能です。
最小権限の原則の適用
CWPPは、AWS環境全体で最小権限の原則を適用する手段を提供します。これはAWSの基本概念です。
CWPPは、ユーザー、ロール、リソースに付与された権限を実際の利用パターンと照合し、過剰な権限を特定します。これにより、権限を適切に制限し、攻撃対象領域を最小化できます。
AWS CWPPの実際のユースケース
AWS CWPPの強力さと適用性を理解するため、いくつかの実際のユースケースを紹介します。
- 金融サービスのコンプライアンス:大手銀行がAWS CWPPを利用し、厳格な金融規制への準拠を維持しているとします。CWPPの継続的な監視と自動コンプライアンスにより、すべての顧客データが暗号化され、アクセス制御が適切に実装され、構成変更が即座にレビュー対象としてフラグされます。
- ECサイトのセキュリティ:ECビジネスでは、セキュリティチームがコンテナ化された弾力的インフラ上でCWPPを活用できます。プラットフォームは本番コンテナをスキャンし、各デプロイメントが重大な脆弱性を含まないことを確認します。継続的なネットワーク制御により、DDoS攻撃が発生する前に自動的に対応するソフトウェアルールロジックを構築します。
- マルチクラウド企業のセキュリティ:マルチクラウド戦略を展開する大企業は、AWSおよびオンプレミス全体でCWPPによる統合セキュリティを実現します。単一画面の中央管理コンソールにより、ハイブリッドインフラ全体のセキュリティ監視が可能です。
- メディア・エンターテインメント業界のセキュリティ:ストリーミングサービス利用の急増により、コンテンツや顧客のセキュリティ侵害リスクが高まっています。そのため、CWPPはユーザーデータやコンテンツ保護の重要な資産となっています。AWS CWPPは、ストリーミングサービスプラットフォームをハッキングや海賊行為から保護し、ビジネスの発展を脅かすリスクを低減します。
- 教育分野のデータ保護:学校でのデータ侵害は、安全面だけでなく、財務的・評判的な損失にもつながります。複数キャンパスと数万人の学生を抱える大規模大学システムは、AWSを活用してFERPA準拠と学生・研究データの保護を実現できます。
AWS CWPPによる監視・ログ管理
AWS CWPPは、AWSネイティブの監視・ログ機能を拡張し、インフラ全体のアクティビティ可視化を実現します。CWPPがこれらのツールをどのように活用するか見ていきましょう。
CloudWatchとの統合
CWPPは、AWS CloudWatchサービス上に監視機能を追加するカスタムプラットフォームです。CWPPはCloudWatch APIを利用してAWSリソースのメトリクスを収集します。カスタムセキュリティメトリクスを設定し、ログイン失敗、機密APIの呼び出し、異常なネットワークトラフィックなどの発生を監視します。CloudWatchアラームは、静的な閾値ベースや異常検知アルゴリズムを用いて、セキュリティ問題の可能性を通知します。
CloudTrailによる監査ログ
AWS CloudTrailは、ユーザー、ロール、AWSサービスによる操作履歴を記録します。CWPPはCloudTrailと深く統合し、包括的な監査ログを実現します。CWPPモジュールは、すべてのAWSアカウントの全リージョンでCloudTrailが有効化され、ログファイル検証が有効であることを保証します。
監査ログの完全性確保は、フォレンジック調査やコンプライアンス要件に不可欠です。プラットフォームはCloudTrailログを常時監視し、不審なアクティビティを検出します。これには、不正なAPIコール、セキュリティグループルールの変更、IAMポリシーの変更などが含まれます。
AWS CWPP導入のベストプラクティス
AWS CWPP導入時に推奨されるベストプラクティスは以下の通りです。
1. 最小権限アクセスの実装
CWPPを活用してIAMロールやポリシーを分析し、未使用または不要な権限を特定することで、リソースの操作範囲を完全に制御します。IAM Access Analyzerとの統合により、AWSアカウント内の公開リソースを発見できます。また、権限昇格の試みや異常な権限付与も監視可能です。
2. データの保存時・転送時の暗号化
AWS CWPP利用時は、暗号化によるデータ保護が重要です。AWS KMSで暗号鍵を管理し、CWPPと連携して環境全体を暗号化します。S3バケット、EBSボリューム、RDSインスタンスなど、保存データはすべて暗号化してください。
3. 継続的な監視とアラート
CWPPによりリアルタイム監視が可能となり、セキュリティ態勢を強化できます。CloudWatchアラームをセキュリティ特化メトリクスに活用し、CWPPで環境や脅威モデルに合わせてカスタマイズします。脅威検出時は、メール、SMS、Slackなど複数チャネルでアラートを設定し、迅速な対応を実現します。
4. 定期的な脆弱性評価
AWS CWPPによる強固なセキュリティの第一歩は、脆弱性の積極的な特定です。Amazon InspectorとCWPPによる定期的な自動スキャンを設定し、EC2インスタンスやコンテナイメージの脆弱性を検出します。
5. 多層防御の実装
CWPPを活用し、セキュリティグループ、ネットワークACL、AWS WAFルールなど複数層のネットワークセキュリティを管理します。CWPPは、アンチウイルスやホストファイアウォールなどのエンドポイントセキュリティツールによるマルウェア対策状況も可視化します。ネットワークベースの保護とホスト自体の多層防御を組み合わせ、Webベースの脅威から守ります。
6. ログの保護と分析
詳細な監査ログを維持するため、すべてのリージョン・サービスでAWS CloudTrailを有効化します。これらのログを一元化し、リアルタイム分析を行うにはAWS CloudWatchを利用します。
7. クラウドとオンプレミスのセキュリティ統合
ハイブリッドクラウドを利用する場合、クラウドとオンプレミス環境の両方で保護を実装する必要があります。専用ネットワーク接続の確立にはAWS Direct Connectを利用できます。
8. フェデレーテッドSSOによるユーザー管理
中央集約型のアクセス管理システムを実現するため、AWS Single Sign-Onを環境に統合し、すべてのユーザーアカウントで多要素認証(MFA)を実装します。オンプレミスのID管理とAWSの連携にはフェデレーションを活用します。
9. ネットワークセグメンテーションの実装
異なるアプリケーションが稼働するネットワーク環境を分離するには、Amazon VPCで環境を構築します。これらの環境間の入出力トラフィック制御には、セキュリティグループやネットワークACLを利用します。オンプレミスネットワークとVPC間のセグメンテーションには、AWS Transit Gatewayによる中央管理が可能です。
SentinelOneがAWS CWPPに選ばれる理由
Singularity™ Cloud Workload Securityは、SentinelOneのAI駆動型自律クラウドワークロード検知・対応プラットフォームです。サーバー、VM、コンテナ、Kubernetes環境をスキャンできます。現代のクラウド環境が拡大する中、企業はマルチクラウド環境全体でワークロードを保護する必要があります。SentinelOneの複数のAI搭載検知エンジンが連携し、未知・既知の脅威にマシンスピードで対応します。Azure、Google Cloud、AWS、プライベートおよびハイブリッドクラウド全体でワークロードを防御します。
その他の主な特長は以下の通りです。
- ワンクリックロールバック – 不正な変更をワンクリックで元に戻し、自律的な緩和アクションを実行します。
- 脅威ハンティング – Purple AIは生成AIによるセキュリティアナリストです。SentinelOneは、統合データレイク内のテレメトリを活用し、不審なアクティビティを監視します。Purple AIによる自然言語クエリやイベント要約で調査を効率化します。
- 高度な可視性とフォレンジック – SentinelOneは、詳細なフォレンジック履歴とワークロードテレメトリを提供し、セキュリティチームによる徹底的なインシデント調査を支援します。Workload Flight Data Recorder™が関連データをすべて記録し、包括的な可視性を実現します。
- 幅広いサポートとスケーラビリティ – SentinelOneは、主要な14種類のLinuxディストリビューション、複数のコンテナランタイム(Docker、containerd、cri-o)、Amazon Web Services(AWS)、Microsoft Azure、Google Cloudなど主要クラウドプロバイダーのマネージド・セルフマネージドKubernetesサービスをサポートします。Snykとの統合や、エージェントレスCNAPPと独自のオフェンシブエンジンも組み合わせています。
- eBPFアーキテクチャ – SentinelOneは拡張Berkeleyパケットフィルタ(eBPF)アーキテクチャを採用し、プラットフォームの安定性とパフォーマンスを向上させています。この設計によりカーネル依存を回避し、CPU・メモリ負荷を低減します。
- DevSecOpsおよびCI/CDパイプラインとの統合 – SentinelOneはDeSecOpsツールと統合し、開発ライフサイクル全体で継続的なセキュリティ監視を実現します。
サーバー、VM、コンテナ向けのAI搭載クラウドワークロード保護(CWPP)。実行時の脅威をリアルタイムで検知・阻止します。
まとめ
現代のクラウドセキュリティシステムにおいて、AWS Cloud Workload Protection Platform(CWPP)は、AWSエコシステム内で運用する組織に360度の保護を提供する不可欠な要素です。
CWPPは、継続的な監視、脅威の検知、自動対応を提供する点で重要です。強力な分析と高度な機械学習を活用し、組織が変化するサイバー脅威の状況に継続的に対応できるよう支援します。完全に弾力的な設計により、クラウドインフラの拡張に合わせてセキュリティ機能も拡張されます。
よくある質問
Cloud Workload Protection Platformは、AWS環境におけるクラウドベースのワークロード、アプリケーション、データを保護するための包括的なセキュリティソリューションです。AWSで利用可能なすべてのセキュリティサービスを活用し、継続的な監視、脅威検出、フォレンジック調査、自動対応を提供します。
CASBとCWPPは、どちらもクラウドセキュリティソリューションですが、その目的は異なります。CASBは、ユーザーによるSaaSアプリケーションの利用を保護するためのものです。つまり、CASBはユーザーとクラウドサービス間で発生する事象の守護者です。ユーザーのアクティビティを監視し、企業のセキュリティポリシーを適用します。一方、CWPPはIaaSやPaaS環境を含むクラウドベースのワークロードを保護するためのものです。CWPPは「手段」や利用方法ではなく「エンドポイント」を保護し、ワークロードがクラウド上で稼働している限り保護を提供します。
AWS CWPPは、AWSセキュリティサービスと密接に統合されています。この統合により、脅威検出、セキュリティ管理の集中化、脆弱性分析が強化され、最小権限によるアクセス制御、監査ログ、モニタリングなどの追加機能も提供されます。
AWS CWPPは、マルウェア、不正アクセス試行、インサイダー脅威、データ流出、設定ミス、コンプライアンス違反、異常な挙動など、幅広い脅威を検出します。また、コンテナやサーバーレス機能に対するネットワークベースの攻撃や脆弱性も特定します。機械学習や行動分析を活用することで、新たな脅威や未知の脅威にも適応し、クラウド環境に対して包括的な保護を提供します。
