クラウドネイティブセキュリティとは？"

クラウドネイティブセキュリティとは？

クラウドネイティブセキュリティとは、ソフトウェア開発ライフサイクル全体にセキュリティを組み込む包括的なセキュリティ戦略または実践です(SDLC)に組み込む包括的なセキュリティ戦略または実践です。開発者がクラウドネイティブの原則に基づいて、安全な製品を設計するのを支援します。クラウドネイティブアーキテクチャにおけるあらゆる設計上の決定が考慮され、安全なコードを書くことが目標です。しかし、重要なのはコーディングだけでなく、その後の開発、デプロイ、配布、運用も同様です。クラウドネイティブセキュリティプラットフォームは、まもなくあらゆる組織の主力となるでしょう。

クラウドネイティブセキュリティは、現代のクラウド環境における増大し複雑化するニーズに対応する技術、ツール、ワークフロー、実践手法を統合したものです。そしてこれらのニーズは日々変化しているため、ツールもそれに追随して進化し続けています。クラウドネイティブセキュリティの導入は、特にオンラインでリソースを共有・連携する組織にとって最優先事項であるべきです。

このアプローチは、静的なアプリケーション向けに設計された従来のセキュリティ手法から、リソースが瞬時に起動・スケーリング・削除されるクラウドの一時的環境に特化したセキュリティ技術への転換を意味します。

クラウドネイティブアプリケーションは、コンテナ、データベース、マイクロサービス、Kubernetesオーケストレーションプラットフォーム、API、サーバーレスアーキテクチャなど、緩く接続された多様なリソースで構成されるため、単一のセキュリティツールではカバーしきれない。したがって、クラウドネイティブサイバーセキュリティは、CSPM、CWPP、IaCソリューションなど、幅広いセキュリティツールを統合した単一のクラウドネイティブアプリケーション保護プラットフォームです（CNAPP）を統合し、クラウドネイティブなセキュリティ対策を用いてクラウドリソースを脅威から保護します。

クラウドネイティブソフトウェアの保護には、以下のようなセキュリティ対策が含まれます：&

• マイクロサービス間のセキュアなAPIゲートウェイの実装
• コンテナイメージの脆弱性を定期的にスキャンする
• 転送中および保存中のデータを暗号化する
• 脅威をリアルタイムで検知・対応するランタイム保護を活用する

これらの対策をはじめとする様々な措置により、分散型コンテナ化アーキテクチャ特有のセキュリティ課題に対処し、クラウドネイティブ設計の柔軟性とスケーラビリティの利点を維持しながら、アプリケーションの各コンポーネントを保護します。

クラウドネイティブセキュリティの重要性

企業がクラウドネイティブアプリケーションへの依存度を高めるにつれ、データ窃取や漏洩からDDoSリスクに至るまで、新たな複雑なセキュリティ上の懸念に直面しています。クラウドネイティブセキュリティは、これらのリスクに対処するため、セキュリティをソフトウェア開発プロセスに統合します。クラウドネイティブセキュリティプラットフォームは、クラウドネイティブインフラ向けに特別に設計されたクラウドネイティブインフラ向けに特別設計されたリアルタイム脅威・異常検知機能を提供し、先行的かつ適応的なセキュリティを確保します。

検知された問題に対して実行可能な推奨事項を提供することで、インシデント対応を迅速化します。AIおよびML機能をこれらのプラットフォームに統合することで、セキュリティリスク予測と対応を自動化します。

さらに、クラウドネイティブセキュリティプラットフォームは厳格なアクセス制御ポリシーを適用し、機密情報を保護し、暗号化を実施することで、クラウドネイティブデータのセキュリティを確保し、不正アクセスや改ざんを防止します。また、GDPR、PCI DSS、DORAなど、様々な業界の組織が必須の規制基準へのコンプライアンスを維持するのを支援します。

クラウドネイティブの電子健康記録（EHR）システムへ移行する医療機関を例に挙げましょう。クラウドネイティブセキュリティがここで重要な理由は以下の通りです：

• 患者データの機密性と完全性の確保
• HIPAAなどの規制へのコンプライアンス維持
• 重要な医療サービスを妨害する可能性のあるランサムウェア攻撃からの保護
• 複数の拠点にまたがる医療提供者への安全なアクセスを実現する

この例は、クラウドネイティブセキュリティが単なるデータ保護だけでなく、重要なサービスの継続性を確保し、顧客や規制当局との信頼関係を維持することにも関わることを示しています。

クラウドネイティブセキュリティの主要要素

セキュリティ、運用、開発の各チームがより効果的なクラウドネイティブセキュリティソリューションを展開するには、まず関連する主要要素を把握する必要があります。これには以下が含まれます：

• 資産管理と分類:見えないものは守れません。ソフトウェアスタック全体にわたる潜在的な脆弱性をセキュリティチームが確実に特定できるよう、全資産の正確なインベントリと適切な分類が不可欠です。
• コンプライアンス管理: システムは業界規制や法的要件を常に満たすように構築することが重要です。これは標準構成やセキュリティのベストプラクティスを遵守し、信頼できるレジストリを活用してコンプライアンスを維持することを意味します。
• ネットワークセキュリティ: 資産とネットワークトラフィックを保護するには、すべてのトラフィックフローを分析する必要があります。ここでの目標は、システムと情報の機密性、完全性、可用性が損なわれないようにすることです。
• IDおよびアクセス管理（IAM）セキュリティ: クラウドアクセスを適切な個人に制限することは必須です。これには、アクセスガバナンス、特権監視、機械学習を活用したユーザー行動分析（UEBA）などの活動が含まれます。
• データセキュリティ: 保存データの保護には、データの適切な分類、データ損失の防止、クラウドストレージ内のマルウェアスキャンが含まれます。
• 脆弱性管理: アプリケーションのライフサイクル全体を通じて脆弱性を監視する必要があります。これには、クラウド内のすべてのホスト、イメージ、関数の継続的な監視が含まれます。
• ワークロードセキュリティ: クラウド内のすべてのワークロードを保護する必要があります。これによりワークロード全体の可視性が向上し、脆弱性スキャンと実行時セキュリティを含めるべきです。
• 自動化された調査と対応: セキュリティツールは、自動修復機能を提供し、セキュリティオペレーションセンター（SOC）と連携し、必要に応じてサードパーティツールと連携できることが理想的です。
• クラウドネイティブのインシデント対応: クラウドの分散型特性と、多数のマイクロサービス、ワークロード、シャドーITの存在による広範な攻撃対象領域を考慮すると、クラウドネイティブのインシデント検知・対応システムは攻撃の管理と対応をより効果的に行えるようにします。

クラウドネイティブセキュリティの主要構成要素

クラウドネイティブセキュリティアーキテクチャの主要構成要素は以下の通りです：

CSPM、CWPP、CIEM、CASB

CSPM（クラウドセキュリティポスチャ管理）は、主要なクラウドセキュリティ上の課題、リスク、設定ミスを監視、検知、解決する実践手法です。IaaS、PaaS、SaaS環境で発見される問題に対処します。CSPMはクラウドセキュリティ状態の可視性を高め、最新のセキュリティ基準へのコンプライアンス維持を容易にします。DevSecOpsワークフローとの統合により、クラウドセキュリティ全体の強化が可能です。

CWPP（クラウドワークロード保護）は、クラウドベースのアプリケーションやサービスを保護し、実行時のワークロードを防御します。CWPPソリューションは、パッチ適用、脆弱性修正、依存関係の削減に活用できます。

CIEM（クラウドアイデンティティ管理）は、クラウド上の権限、アイデンティティ、アクセス許可を管理します。最小権限の原則を適用することで攻撃対象領域を縮小します。機械と人間の双方のアイデンティティに対するアクセス権限を継続的に監視・管理するために活用できます。CIEMはゼロトラストセキュリティアーキテクチャの構築に有用であり、多くのクラウドネイティブセキュリティ課題に対処します。

クラウドアクセスセキュリティブローカー（CASB）は、ユーザーとクラウドアプリケーションの間に位置します。Office 365やSalesforceなどのSaaSプラットフォームに流れる全データを監視します。CASBは機密情報の不適切な共有を防止し、不正なクラウドアプリケーションをブロックします。さらにデータ漏洩防止ポリシーを適用し、ユーザーの所在地やデバイスのセキュリティ状態に基づく条件付きアクセスを制御します。CASB の高度な脅威対策機能は、クラウドデータを標的としたアカウント乗っ取りや内部者による脅威を阻止するために活用できます。

シークレット漏洩と IaC スキャン

クラウドネイティブセキュリティにおけるシークレット漏洩防止には、API キーやパスワードの保護、偶発的な漏洩の防止が含まれます。プラットフォームを活用して機密認証情報を保護し、シークレットを自動ローテーションすることで継続的なセキュリティを確保します。また、シークレットのライフサイクル全体を通じて、暗号化と厳格なアクセス制御を適用する必要があります。

クラウドネイティブセキュリティにおけるアイデンティティとアクセス管理（IAM）は、IAMポリシーの管理を意味します。IaCスキャンツールは、IaCテンプレートのレビューを自動化し、コード内の脆弱性や設定ミスを特定できます。デプロイ前にIaCセキュリティポリシーを適用し、これらのポリシーがベストプラクティスに沿っていることを保証します。

コンテナ/Kubernetes およびサーバーレス保護

Kubernetesセキュリティは、あらゆるクラウドネイティブセキュリティアーキテクチャの重要な構成要素です。クラスター、ポッド、Kubernetesワークロード、構成、コンテナを保護します。コンテナだけでなく、構成とデプロイメントの可視性を提供します。ワークロードがどのように分離され、相互にどのように連携しているかを把握できます。これはネームスペースを超え、ネットワークポリシー設定の深い可視性を提供します。Kubernetesセキュリティは、すべてのセキュリティ運用、ポリシー、DevOps、サイト信頼性エンジニアリングチームにとっての真実の源としてKubernetesを扱います。

サーバーレス保護では、細粒度のアクセス制御の実装、依存関係と設定のコード脆弱性スキャンに重点を置きます。不審なランタイム動作を監視し、APIゲートウェイセキュリティやクラウド環境横断の継続的可観測性といった技術を活用します。サーバーレス保護には脆弱性スキャン、設定監査、データセキュリティ、シフトレフトセキュリティも含まれます。これはすべてのクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）の一部であり、クラウドネイティブライフサイクル全体を保護します。p>

API & マイクロサービスセキュリティ

クラウドネイティブAPIおよびマイクロサービスセキュリティは、分散型セキュリティ、API保護、サービス間通信の保護といった主要な側面をカバーします。分散型IAMソリューションを活用することで、個々のマイクロサービスへのアクセス管理や相互作用の処理が可能です。これらの主要コンポーネントには、保存時および転送中の機密データの保護も含まれます。分散型マイクロサービス環境を管理するチームへの適切なアラートの生成、ログ記録、監視が重視されます。あらゆる組織は、設計からデプロイ、運用に至るソフトウェア開発ライフサイクル（SDLC）全体にこれらの要素を統合すべきです。

クラウドネイティブセキュリティの4つのC

効果的なクラウドネイティブセキュリティ戦略を構築するには、クラウドネイティブインフラストラクチャの4つの層——コード、コンテナ、クラスター、クラウド——とその保護方法を理解する必要があります。

1. コード: コードまたはアプリケーション層は、クラスター、クラウド——を理解し、それらを保護する方法を知る必要があります。

1. コード: コードまたはアプリケーション層は最大の攻撃対象領域を持ち、最高レベルのセキュリティ対策が必要です。コード層における典型的なセキュリティ問題には、不安全なコード、不十分なリスク評価、アプリケーションとサーバー間の通信を狙ったサイバー脅威、サードパーティ製ソフトウェア依存関係における脆弱性などです。

これらのセキュリティ脅威を最小化するには、セキュアコーディングプラクティスを採用し、静的コード分析（SCA）ツールを使用して脆弱なサードパーティ製コンポーネントを特定・排除します。さらに、コードの脆弱性やソフトウェアサプライチェーンリスクを早期に検出するため、自社およびサードパーティ製ソフトウェアを定期的にスキャンします。トランスポート層セキュリティ（TLS）を採用し、公開されているAPIエンドポイント、ポート、サービスを制限して、悪意のあるトラフィックがアプリにアクセスするのを防止します。これにより、中間者攻撃（MITM）、クロスサイトスクリプティング（XSS）、クロスサイトリクエストフォージェリ（CSRF）攻撃に対する耐性が確保されます。&

2. コンテナ:この段階では、コード層でセキュリティが適切に実装されている場合、セキュアなコードがコンテナ化されます。この層に関連する一般的な脆弱性には、検証されていないソースからのコンテナイメージの使用、脆弱な権限設定、および上記のコンテナセキュリティで説明したその他の問題が含まれます。コンテナのリスクは、既知の脆弱性に対するコンテナとホストのスキャン、およびIAM（識別とアクセス管理）と最小権限の原則の適用によって対処できます。

3. クラスター:クラスター層は、コンテナオーケストレーションプラットフォームの状態を管理します。Kubernetes では、クラスタセキュリティはコントロールプレーンとワーカーノード、およびそれらのコンポーネント（例：主要な Kubernetes インターフェースである kube-api-server や、既存クラスタへのノード追加を担当する kubeadm join）の保護で構成されます。

一般的なクラスタセキュリティリスクには、クラスタの設定ミス、デフォルト設定の使用、通信の暗号化不備などがあります。Kubernetesコンポーネント間の通信を暗号化するためTLSを導入し、クラスターセキュリティを強化してください。さらに、RBACによるクラスター認証と認可を適用し、ポッドおよびネットワークセキュリティポリシーを実装します。

4. クラウド:クラウド層はアプリケーションが実行される場所です。クラウドの境界のない性質上、セキュリティ確保が最も複雑な領域でもあります。クラウドサービスプロバイダー（CSP）でサーバーを設定する場合、インフラセキュリティの責任の大部分はプロバイダー側にあります。ただし、サービスの設定、情報の保護、クラウド環境内のセキュリティ管理については、お客様が責任を負います。

クラウド層の典型的なセキュリティ脆弱性には、自動化された攻撃や設定ミスが含まれます。変更されていないデフォルト設定や管理コンソールへの緩いアクセス制御などの設定ミスは、攻撃者に悪用される可能性があります。セキュリティ情報イベント管理（SIEM)やCNAPPに組み込まれたCSPMツールを活用し、クラウド内の脆弱性検出を自動化しましょう。

クラウドネイティブセキュリティ戦略

最近注目を集めているクラウドネイティブセキュリティ戦略にはいくつかあり、それぞれ異なるレベルの有効性を提供しています：

• 責任分担モデル: このモデルでは、クラウドプロバイダーがインフラのセキュリティを確保する責任を負い、顧客は自身のアプリケーション、データ、アクセスのセキュリティを確保する責任を負います。これは、ほとんどの最新のクラウドネイティブセキュリティ戦略の基盤となっています。
• 多層セキュリティ： クラウドサービスは、一般的に、施設、ネットワーク、ハードウェア、OS、ミドルウェア、アプリケーション、ユーザーの 7 つの層で構成されています。多層セキュリティはこれら全ての層を監視し、リスクを検知し脆弱性を軽減します。このアプローチではクラウド対応ファイアウォールやエンドツーエンド暗号化など様々なツールを使用しますが、多数のツール管理は煩雑になり得ます。
• クラウド非依存セキュリティプラットフォーム: 最も効果的な戦略は、クラウド非依存型セキュリティプラットフォームの利用です。これらのプラットフォームは複数のエコシステムにまたがる可視性を提供し、特定のクラウドベンダーへの依存を減らし、過負荷状態のセキュリティチームがアラートとツールを効率化するのに役立ちます。

クラウドネイティブセキュリティの実装

クラウドネイティブ環境を保護するには、企業はセキュリティのベストプラクティス（後述）を優先し、以下のような多様な戦術を採用するクラウドネイティブセキュリティ戦略を策定する必要があります：

• 設計段階からのセキュリティ（Security by Design）： この戦略は、ソフトウェア開発ライフサイクル（SDLC）に組み込み、後付け対策としない。安全なソフトウェアコンポーネントのみを使用し、セキュリティのベストプラクティスを採用し、DevSecOps を実装することで、ITチームの責任を明確化し、耐障害性が高く脆弱性のないアプリケーション構築に集中させる。&
• シフトレフトセキュリティ: SDLCの左側にセキュリティをシフトさせることは、プロジェクトの初期段階からアプリケーションを保護することを意味し、アプリケーションが完全に構築された後にセキュリティテストを実行する従来のモデルからの転換を表します。シフトレフトセキュリティ では通常、クラウドネイティブセキュリティツールコードが出荷される前にアプリケーションコードの脆弱性をスキャンする機能を備えたクラウドネイティブセキュリティツールの導入が求められます。この手法により脆弱性を早期に発見し、クラウドネイティブ環境全体のセキュリティ態勢を強化し、リスク対応コストを削減できます。
• ゼロトラストセキュリティ:このモデルは、ネットワーク内外を問わず、いかなるエンティティも本質的に信頼できないと仮定します。すべてのユーザーおよびサービスアクセス要求を検証し、システムの一部が侵害されても攻撃がスタック全体の完全な崩壊につながらないことを保証します。これにより、ゼロトラストは攻撃コストを最小限に抑え、顧客の信頼を向上させます。
• クラウドネイティブセキュリティツール： 優れたクラウドネイティブセキュリティツールは、監視、自動化された脆弱性スキャンとレポート、コンプライアンス、ガバナンスのための包括的なソリューションを提供します。これらのツールを活用することで、ログ分析、脆弱性スキャン、レポート作成、コンプライアンスポリシーの適用など、クラウドセキュリティの多くの側面を自動化できます。SentinelOneのようなCNAPPソリューションは、包括的に統合されたソリューションを提供し、費用対効果が高く回復力のあるクラウドセキュリティを保証します。

クラウドネイティブシステムにおける主要なセキュリティ懸念点

クラウドネイティブ環境には以下のセキュリティリスクが存在します：

• 攻撃対象領域の拡大:マイクロサービスやコンポーネントが増えるほど、潜在的なセキュリティ上の脆弱性も増加します。攻撃対象領域は、コンポーネントと設定の数に比例して拡大し、攻撃者がシステムへの侵入経路を特定しやすくなります。侵害リスクを低減するためには、これらの各コンポーネントを管理し、保護することが不可欠です。

• 適応性と一時的な性質: クラウドネイティブ環境では、その絶えず変化する性質ゆえに一貫したセキュリティ維持が困難です。すべてのセキュリティ対策が完了し、設定ミスが修正され、全データが発見・暗号化されたと思いきや、古いポッドとその関連ストレージが破棄され、新たなデータがシステムに流入し、新たなストレージ構成が必要となり、このサイクルが繰り返されます。このような環境全体で統一されたセキュリティ基準と可視性を維持することは、重大な障害となり得ます。

• 設定ミス： セキュリティ上の欠陥は、不適切に設定されたコンポーネントから生じることがあります。クラウドネイティブシステムは非常に複雑であるため、クラウドリソース、ネットワークセキュリティ、アクセス制御、暗号化の設定時にミスを犯しやすく、システムを攻撃に晒すことになります。このリスクを軽減するためには、適切な構成管理と自動化されたチェックを整備することが不可欠です。&

• サプライチェーンリスク:外部コンポーネントの欠陥によりセキュリティ問題が発生する可能性があります。これらのコンポーネントは、適切に検証されていない場合や悪意のあるコードを含む場合に脆弱性を導入する恐れがあります。攻撃者が信頼できるサードパーティ製コンポーネントを侵害するサプライチェーン攻撃は、システム全体のセキュリティを崩壊させる可能性があります。

残念ながら、これらのリスクの解決はクラウドネイティブセキュリティ戦略を実装するだけでは容易ではありません。第一に、クラウドは境界を持たないため、従来の環境のように事前に定義された境界を保護すれば安心できるわけではありません。この特性は完全な可視化も困難にします。クラウドリソースの正確な構成、所在、データの位置、アクセス権限を持つユーザー、およびそのアクセス権限の具体的な使用状況を把握できなければ、クラウドネイティブアプリケーションのセキュリティ確保はほぼ不可能です。ここで適切なツールとベストプラクティスの採用が重要となります。

クラウドネイティブセキュリティにおけるAIとML

クラウドネイティブ時代においてMLOpsが台頭し、Kubernetesやサーバーレスアーキテクチャを用いたAI/MLワークロードのスケーリングが急拡大するでしょう。

今後の注目すべきトレンドと予測を以下に示します：

• 72% of companies は少なくとも1つの業務機能にAIを統合しており、大多数がジェネレーティブAI技術を採用しています。AIはあらゆるレイヤーでセキュリティを要求し、クラウドネイティブセキュリティには多層的なAIセキュリティが含まれる。47%の企業は既に既存モデルをカスタマイズし、AIセキュリティを考慮している。
• 61%の企業 は、クラウドネイティブセキュリティにおいてAIと機械学習を活用しなければ新たな侵害試行を検知できないと認めています。AIと機械学習モデルは、パターンや悪意ある行動を検知し、潜在的な脅威をフラグ付けするよう訓練可能です。これらは膨大なデータをリアルタイムで分析し、新規データと履歴データの両方から継続的に学習することで、既存の検知・修復能力を向上させます。
• MLOps向けKubernetesはクラウドネイティブAIの基盤となります。Kubernetesとサーバーレスのハイブリッドアプローチにより、低コストとオンデマンド性能のバランスが実現します。

メリットと ROI：リスク低減、コンプライアンス、誤検知の削減

AI 駆動のモニタリングをクラウドネイティブの倉庫に統合することで、セキュリティコストの測定可能な削減を実現できます。自動化された脅威検出が 1 秒あたり 85 万件のイベントを 94% の精度で処理する場合、組織は侵害関連の費用を 300 万ドル以上削減したと報告しています。pdf">300万ドル以上削減したと報告しています。ポリシー違反は即座にフラグが立てられるため、手動によるコンプライアンスチェックが最大85%削減され、監査準備が91%加速します。

NIST SP 800-57 に準拠した暗号化キー管理を導入すると、キー漏洩インシデントが 95% 減少します。また、エンベロープ暗号化とクライアントサイド暗号化の併用により、データ転送中の不正アクセス試行を99.9%遮断します。

システムが封じ込めワークフローに強化学習を適用することで、誤検知を劇的に削減できるでしょう。企業では誤警報が89%減少し、セキュリティチームはアラートに埋もれることなく真の脅威に対処できるようになります。プロアクティブなタスクに割けるリソースが増加します：予測分析により攻撃の82%を未然に防止し、説明可能なAIがHIPAA、PCI DSS、GDPRフレームワークの規制当局を満足させる監査証跡を提供します。ゼロトラストのマイクロセグメンテーションと継続的モニタリングを組み合わせれば、侵害の影響を95%削減し、平均検知時間を1分未満に短縮できます。自動化されたコンプライアンス報告により労働時間を76%削減すれば、マルチクラウド環境全体で大幅なコスト削減を実現し、ROIをさらに向上させられます。

6つのクラウドネイティブセキュリティベストプラクティス

これらの課題を克服するため、組織は以下のベストプラクティスに従うべきです：

#1 DevSecOps文化の採用

ソフトウェア展開後のセキュリティ対策ではなく、すべてのDevOpsプロセスにセキュリティを統合します。これにはCI/CDパイプラインへのセキュリティツール統合と、開発・運用・セキュリティチーム間の連携促進が必要です。DevSecOps文化の採用により、コード内のセキュリティ脆弱性をデプロイ前に早期に検出でき、より迅速かつ安全なソフトウェアリリースサイクルを実現します。例えば、DevSecOps文化が確立されている場合、開発者がコードを記述してGitHubにコミットすると、CIプロセス内で脆弱性を検出するためのスキャンが自動的にトリガーされます。

#2 継続的コンプライアンスの実施

クラウドの伸縮性により、リソースは変化する需要に応じて迅速に調整されます。こうした急激な変化は常に脆弱性が生じる可能性を意味するため、セキュリティおよびガバナンスチームは、PCI DSSやHIPAAなどのセキュリティ基準への準拠を継続的に監査する必要があります。クラウドネイティブのセキュリティツールは、こうしたチェックの自動化を支援し、ポリシー違反をリアルタイムでチームに通知します。

#3 AIと自動化の活用

AI駆動型ツールは機械学習機能を備えており、独自のビジネス環境とセキュリティ要件を学習します。これらのツールは環境の変化を継続的に監視し、従来のツールでは検出できない異常や潜在的なセキュリティ脅威を検知します。例えば、データ漏洩につながる可能性のある誤ったデータ分離を検知し、是正措置を自動化できます。

#4 セキュリティポリシーの定期的な更新

脅威アクターは常に新たなTTPおよび新たな脆弱性の探索を継続しているため、変化する脅威環境に対応するには、ポリシーを定期的に見直し更新することが重要です。例えばKubernetes環境では、ゼロデイ脆弱性に対処するためネットワークポリシーの調整が必要になる場合があります。

#5 機密データの暗号化

保存時および転送中のデータを暗号化し、暗号化キーはシークレット管理システムで保護してください。転送中のデータ暗号化にはTLSやHTTPSなどの安全な通信プロトコルを使用します。

#6 従業員教育の実施

ITエンジニアに対し、開発者、運用担当者、セキュリティチーム全員がクラウドネイティブアプリケーションのセキュリティ確保に向けて取り組む「セキュリティファースト」の考え方を採用するよう教育します。

SentinelOneによるクラウドネイティブセキュリティ

SentinelOneは、最適なクラウドネイティブセキュリティ構築を支援する多様なソリューションを提供しています：

• Singularity™ Cloud Native Security はシームレスなエージェントレス導入を実現。重要なアラートに焦点を当て、誤検知を排除し、アラート疲労を軽減します。Singularity™ Cloud Native Securityは最新のエクスプロイトやCVEを把握し、クラウドリソースが最新脆弱性の影響を受けているかを迅速に判定します。さらに攻撃者の思考を模倣する独自のOffensive Security Engine™を搭載し、クラウドセキュリティ問題のレッドチーム活動を自動化。証拠に基づく発見結果を提示します。これをVerified Exploit Paths™と呼びます。CNSは攻撃経路を単に可視化するだけでなく、問題を発見し、自動的にかつ安全に調査を行い、その証拠を提示します。&
• SentinelOneのクラウドセキュリティポスチャ管理（CSPM） はエージェントレス展開を数分で実現します。コンプライアンス評価や設定ミスの解消が容易です。ゼロトラストセキュリティアーキテクチャの構築や、全クラウドアカウントにおける最小権限アクセス原則の徹底を目指す場合、SentinelOneがそれを支援します。AWS、Azure、Google Cloudなどの主要クラウドサービスプロバイダーにも対応しています。さらに、数分でマルチクラウド環境に接続する包括的なCNAPPソリューションの一部です。lt;/li>
• Singularity™ Cloud Workload SecurityはCWPP分野で第1位にランクイン。マルチクラウド環境におけるサーバー、クラウドVM、コンテナを保護します。CNAPP顧客から高い評価を得ているSentinelOneは、業界をリードするMITRE ENGENUITY ATT&CK評価において、ノイズを88%削減しながら100%の検知率を実現。5年連続で卓越した分析カバレッジとゼロ遅延を提供します。自動化された資産発見機能でクラウド攻撃対象領域を縮小し、検証済みの悪用可能なリスクを基に開発部門、SOC、IT部門と連携します。
• SentinelOneのSingularity™ Cloud Securityは、市場で最も包括的かつ統合されたCNAPPソリューションです。SaaSセキュリティポスチャ管理を提供し、グラフベースの資産インベントリ、シフトレフトセキュリティテスト、CI/CDパイプライン統合、コンテナおよびKubernetesセキュリティポスチャ管理などの機能を備えています。SentinelOneのCNAPPはクラウド権限を管理でき、権限を厳格化しシークレット漏洩を防止します。最大750種類以上の異なるシークレットを検出可能です。クラウド検知・対応（CDR）は完全なフォレンジックテレメトリを提供します。専門家によるインシデント対応も受けられ、事前構築済みでカスタマイズ可能な検知ライブラリが付属します。IaCスキャンも実行し、AI搭載CNAPPは環境のDeep Visibility®を実現します。AIを活用した攻撃に対して積極的に防御し、セキュリティをさらに左側にシフトさせる機能も得られます。

まとめ

本記事では、クラウドネイティブセキュリティの4つのC、クラウドネイティブセキュリティツールなどについて詳しく解説しました。クラウドネイティブセキュリティ戦略の構築や改善において注意すべき点を理解できたはずです。まずは監査から始め、資産を棚卸しし、そこから着手してください。チームやステークホルダーとコミュニケーションを取り、透明性を保ちましょう。組織のミッション、価値観、長期的な目標を考慮し、それらを踏まえたセキュリティを組み込んでください。クラウドネイティブセキュリティの実践、ツール、その他について支援が必要な場合は、こちらまでご連絡ください。そしてそれらを踏まえてセキュリティを組み込んでください。クラウドネイティブセキュリティの実践やツール導入など、何かお手伝いが必要な場合は、SentinelOne チームまでご連絡ください。喜んでお手伝いします。

"