クラウドワークロード保護とは？"

組織がビジネス運営と顧客体験のためにクラウドベースのアーキテクチャに注力するにつれ、セキュリティとコンプライアンスは必須要件となっています。しかし、分散環境の管理やクラウドとのやり取りを扱う脆弱性の高いネットワークの課題により、クラウドはサイバー攻撃の魅力的な標的となっています。IBMの最新レポートではこの点を裏付けており、クラウドを標的とした攻撃の33%がフィッシング、39%がビジネスメール詐欺（BEC）によるものと分析しています。

しかし、ビジネスリーダーがクラウドの野心を実現し、生成AIや自動化の恩恵を享受するには、クラウドに対する揺るぎないセキュリティを選択するしかない。このシナリオにおいて、クラウドワークロード保護（CWP）が大きな助けとなります。

CWPは、進化するサイバー脅威に耐えるだけでなく、それらに対抗するレベルのセキュリティを組織に提供します。CWPに関する知識の欠如は、クラウド環境の攻撃対象領域の拡大、コンプライアンス違反の可能性の高まり、そして最終的には組織のブランド評判への修復不可能な損害を意味する可能性があります。

したがって、このブログでは、CWPの定義からクラウドインフラストラクチャへの効果的な導入方法まで、CWPに関するすべてを理解するお手伝いをします。

クラウドワークロード保護とは？

クラウドワークロードとは、アプリケーション、データ資産、コンテナなど、クラウド上に存在する様々なエンティティの総称です。これらはソフトウェアライフサイクル全体を通じて、クラウド上で稼働する運用を支援します。 クラウドワークロード保護（CWP）とは、企業がクラウド環境全体でこれらのクラウドワークロードを保護するためのセキュリティアプローチです。

CWPの目的は、クラウド環境を継続的に監視し、潜在的な脅威やセキュリティガイドラインからの逸脱を事前に検知・調査・無力化することです。これによりセキュリティチームは、マルチクラウド、ハイブリッドクラウドを問わずクラウドインフラストラクチャを深く可視化し、動的かつスケーラブルな360度保護を実現できます。&

クラウドワークロード保護が重要な理由とは？

従来のセキュリティリソースは、いわゆる「城と堀」アプローチを採用しています。これは、保護対象のエンティティの周囲に境界を構築し、攻撃者がアクセスできないようにする手法です。しかし、クラウドのような分散型環境ではこの手法は制約が大きすぎます。クラウドワークロードは常に相互に連携しており、周囲に「堀」を設けるとこの連携が阻害されるのです。

クラウドワークロード保護は、何よりもクラウドインフラの動的な性質を理解しています。したがって、セキュリティカバレッジの必要性、可視性のニュアンス、スケーラビリティへの期待に適切に対応します。適切なクラウドワークロード保護プラットフォーム（CWPP）を活用することで、組織は安定した信頼性の高いクラウドパフォーマンスに不可欠な、リアルタイムの脅威検知と対応を確保できます。

クラウドワークロード保護の主要コンポーネント

CWPの設計思想は、クラウドの分散型特性との高い適合性と、脅威検知・対応における積極性を両立させるという約束に基づいています。これにより、CWPが機能するために不可欠な基本構成要素が明確になります。

• 可視性: マルチクラウド、ハイブリッドクラウド、その他のクラウドインフラストラクチャを問わず、クラウドワークロードがクラウド環境全体で可視化されることは極めて重要です。CWPの実装には、リアルタイム監視と対応戦略のために、クラウドデータ、アプリケーション、VMなどに関する洞察を得る適切な手段が求められます。

• 脆弱性管理: 適切なセキュリティ管理には、セキュリティチームや管理者が脆弱性を特定・分類・優先順位付けするための容易な手段が不可欠です。CWPは、設定ミスなどの脆弱性をデプロイ前に管理できるよう、信頼性の高い脆弱性管理ソリューションを必要とします。

• リアルタイム保護: 現代の実行時脅威は時間的制約が厳しく、対応の遅れは甚大な損害をもたらします。攻撃者は相互接続されたワークロードを迅速に移動し、機密データを搾取します。CWPには、クラウドワークロード内の不審な動作を警戒して検知し、脅威発生時に即時対応できるリアルタイム保護機能が必須です。

• マイクロセグメンテーション: マイクロセグメンテーションは、ネットワークを複数の分離された管理しやすいゾーンに分割するセキュリティ手法です。クラウドワークロードは不正アクセスを受けやすく、その運用を完全に妨害される可能性があります。しかし、マイクロセグメンテーションは、クラウドへの侵入経路が侵害された場合でも、引き起こされる損害を限定します。したがって、これはCWPのもう一つの重要な構成要素となります。

• CI/CDとの連携: エンタープライズグレードのソリューションは、ソフトウェアライフサイクルのアジャイルかつ自動化に適した運用が妨げられないよう、継続的インテグレーションと継続的デリバリー（CI/CD）パイプラインと連携する必要があります。CWPもまた、意味のあるセキュリティ機能を提供するためには、DevOpsワークフローと適切に統合される必要があります。

クラウドワークロードが直面する一般的な脅威

クラウドインフラの利便性は、生成AIやハイパーオートメーションといった多くの現代技術を急速に普及させた一方で、環境（ひいては組織）を多くの外部・内部脅威に晒す結果にもなりました。これがクラウドセキュリティ市場が巨大化した理由です。最近の市場レポートでは370億ドル以上の規模と評価されています。以下に、この市場を促進し、CWPのようなセキュリティモデルによる介入を必要とする主な脅威を挙げます。

• 設定ミス： クラウドインフラの不適切な設定や抽象化は、クラウドワークロードに多くのセキュリティ脆弱性を生じさせます。不適切なアクセス権限、ハードコードされたシークレット、緩い設定のAPIなど、こうした設定ミスは事実上、脅威アクターにセキュリティ侵害の機会を提供します。この典型例が、最近発生したキャピタ社データへのサイバー攻撃が挙げられる。このランサムウェア攻撃は、過剰なアクセス権限が与えられたリソースが攻撃者の侵入経路となり得ることを如実に示している。

• 不安全なAPI: APIは通信基盤としてクラウド環境に不可欠です。しかし、クラウドワークロードへの直接アクセスは攻撃者が悪意ある目的に利用する可能性があります。パンダバイ（電子商取引組織）に対するサイバー攻撃は、同社が使用していたAPIの一つに存在するセキュリティ上の欠陥を標的とした悪用が原因でした。

• サプライチェーン攻撃: 攻撃者は、企業がセキュリティ関連の詳細を確認せずに利用する可能性のあるサードパーティ製ツールやアプリケーションを容易に標的とできます。例えば、不適切なソフトウェア部品表（SBOM）は、悪意のある攻撃者に悪用される可能性のある特定の依存関係を隠蔽している場合があります。2020年のSolarWindsサイバー攻撃は、ソフトウェアサプライチェーンの脆弱性が悪用された典型的な事例です。

• 内部脅威: 内部脅威は、このリストで言及された他の脅威を包括する可能性のある広範な用語であり、内部者のアクセス権限に起因します。組織内の関係者は、意図的または無意識のうちにクラウドワークロードをセキュリティリスクに晒し、深刻な攻撃インシデントを引き起こす可能性があります。最近の事例として、シンガポールで発生した元従業員による復讐目的の重要業務データ削除事件が挙げられます。解雇への報復として行われたこの事件は、アクセス権限の管理不備による典型的な事例です。

クラウドワークロードのセキュリティ確保における課題

クラウドワークロードへの脅威は理解できた。しかし、最善の意図があっても、クラウドワークロードのセキュリティ確保は容易ではない。そのスケーラビリティ、動的な性質、DevOps主導のパフォーマンスは、セキュリティチームを容易に不意打ちにする。クラウドワークロードのセキュリティを複雑にする課題は以下の通りだ。

• 責任の共有: クラウド環境、特にハイブリッド環境やマルチクラウド環境では、異なる運用を担当する複数のチームや組織が存在します。この責任の共有は、セキュリティの観点から責任の所在が不明確になることが多く、クラウドワークロードのセキュリティをあらゆる面でカバーすることをより困難にします。

• 動的なワークロード: アプリケーション、データ、ネットワーク、その他のクラウドワークロード自体が動的です。トラフィック需要、ユーザー体験のニーズ、パフォーマンス品質要件に柔軟に対応しなければなりません。このような動的特性により、セキュリティチームが従来のセキュリティモデルで対応し続けることは困難です。

• 統合の課題：監視、調査、対応のための異なるセキュリティツールを統合する際、互換性の問題がしばしば障害となる可能性があります。これにより、クラウドセキュリティインシデントに関連するリアルタイム検知と対応に課題が生じます。

• リソースの制約：クラウドワークロードの保護には、熟練したチーム、適切なツール、必須技術が必要です。優先順位付けされた脆弱性と内部組織の制約の中でこれらを管理することは困難を伴います。

• コンプライアンス課題:クラウド対応では、異なる地理的場所にあるワークロードを管理する必要が生じ、それぞれに固有の規制基準が存在します。セキュリティチームが慎重に戦略を立てなければ、コンプライアンス管理は困難を伴います。

クラウドワークロード保護のベストプラクティス

信頼性の高いクラウドワークロード保護を実現するには、リアルタイム脅威検知、予防的セキュリティ対応、クラウド環境への深い可視性を備えた実践手法の導入が必要です。以下にその実現手法を挙げます：

• 自動化された脅威検知： クラウド環境では膨大なデータ量が処理されるため、手動によるセキュリティ運用では対応が困難です。脅威検知の自動化ツールにより、異常なログイン試行、大量データ取引、急激なネットワークトラフィック増加など、セキュリティ関連の異常を常に警戒しながら重要なクラウドワークロードを監視します。
• 優先度に基づく脆弱性管理: 脆弱性に優先順位を付けることで、セキュリティ体制全体の負担軽減が図れます。脆弱性は、深刻度、潜在的な影響、悪用可能性などの要素に基づいて優先順位付けが可能です。脆弱性の優先順位付けは、CWP戦略を文脈化してよりカスタマイズされたセキュリティ対策を実現する上でも有効です。
• 厳格なアクセス制御: CWPソリューションはアクセス制御においてゼロトラストを必須とします。厳格な役割ベースのアクセス制御と最小権限ポリシーにより、クラウドワークロードが悪意ある攻撃に晒されるリスクを低減できます。&
• 注意深い構成管理：構成管理はセキュリティ優先度を認識する必要があります。構成管理の自動化ツールは、データ保護、ロギング、および一般データ保護規則（GDPR）、サービス組織統制基準（SOC）2などへの準拠を含む。
• 高い可視性： クラウドアプリケーション、データ、アプリケーションプログラミングインターフェース（API）、その他のクラウドワークロードおよびそれらに関連する活動について明確な洞察がなければ、CWP戦略は実質的に無意味です。ワークロードに対する高い可視性は、集中監視、プロアクティブな脅威検知、警戒的なテレメトリなど、他の利点にも役立ちます。

クラウドワークロード保護ソリューション導入のメリット

CWPソリューションは、クラウドリソースの全体的なセキュリティ態勢を本質的に強化します。これらのソリューションはクラウドワークロードセキュリティの様々な側面を扱い、以下のメリットを提供します：

• 攻撃対象領域の縮小: 外部または内部の脅威に晒されるクラウド環境内の露出領域を削減します。マイクロセグメンテーション、アクセス制御、リアルタイム脅威検知などの機能により、CWPソリューションはあらゆる潜在的な攻撃を遮断します。
• 可視性の向上: CWPソリューションは、クラウドワークロードの様々なパフォーマンスおよびセキュリティ面に関する集中管理型の可視性を提供します。集中管理型ダッシュボードや文脈に応じたログなどの機能により、ハイブリッドクラウドやマルチクラウドのような分散環境においても可視性を確保するのに役立ちます。
• 規制コンプライアンス: 効果的なCWPソリューションは、コンプライアンスチェックや構成監査のための自動化機能を備えています。これらのツールはクラウドワークロードを継続的に監視し、GDPR、HIPAA、PCI DSSなどの基準からの潜在的な逸脱を検知します。また、将来のセキュリティ戦略のための詳細な監査レポートを生成することも可能です。
• カスタマイズ可能なセキュリティ: 柔軟性はCWPを含むあらゆるセキュリティソリューションに不可欠な要素です。各組織には固有のセキュリティ要件があり、これらのソリューションはそれに基づき、カスタマイズされたアクセス制御、業界固有のコンプライアンス管理、スケーラビリティ要件に応じたセキュリティなど、様々な要件への準拠を支援します。
• データの完全性と機密性: クラウドワークロード保護ソリューションは、シークレット管理、暗号化、リアルタイム監視などの手法を通じてデータ保護を実現します。重要なデータへの不正アクセスや改ざんを防止することで、様々なクラウドワークロードにおいてデータの信頼性と安全性を確保します。

CWPによる多様なクラウド環境の保護

CWPソリューションは、保護対象となる異なるクラウド環境の機能的・運用上の要件に柔軟に対応する必要があります。セキュリティ対策は、これらのクラウド環境のパフォーマンスに最小限の、あるいは全くの支障を与えないものでなければなりません。

CWPによるマルチクラウド環境の保護

マルチクラウドワークロード向けの保護ツールは、相互運用性、集中監視、統一されたセキュリティ対応の要件に適合する必要があります。

• 集中セキュリティ管理：CWPソリューションは、ダッシュボード、ロギング、セキュリティレポートなどの集中セキュリティ管理機能によりマルチクラウド環境を保護します。これにより、さまざまなクラウドサービスやワークロードにわたって一貫したセキュリティ体制を確保できます。
• 相互運用性： CWPソリューションは、複数のクラウド環境にわたる相互運用可能なセキュリティ機能を実現します。組織が設定した標準化されたセキュリティポリシーや相互運用プロトコルへの準拠を支援します。これにより、個々のベンダーによる問題の発生なく、クラウドセキュリティを実現します。
• クロスプラットフォームコンプライアンス： マルチクラウド環境では複数のクラウドベンダーが関与するため、コンプライアンス管理に特別な注意が必要です。マルチクラウド向けCWPソリューションは、組織がクラウドプラットフォーム間で異なる規制枠組みに準拠するのを支援します。
• データ保護： マルチクラウド環境では、様々な操作のためにデータがクラウドプラットフォーム間で頻繁に移動します。効果的なCWPソリューションは、機密データの不正アクセスから保護するため、シークレット管理、一時的な認証情報、暗号化などの保護機能を提供します。

CWPによるハイブリッドクラウド環境のセキュリティ確保

ハイブリッドクラウド環境向けのCWPソリューションは、オンプレミスインフラとパブリッククラウド間の統合運用を考慮する必要があります。以下の機能により、セキュリティに対するこのバランスの取れたアプローチを確保できます：

• パブリッククラウドのセキュリティ：パブリッククラウドは不正アクセスに対してより脆弱であるため、セキュリティ対策が適切に講じられる必要があります。CWPソリューションは、暗号化、IDおよびアクセス管理（IAM）、継続的な脆弱性評価といったセキュリティ機能の適用を支援し、これらのクラウドワークロードを保護します。
• プライベートクラウドのセキュリティ：プライベートクラウド向けCWPソリューションは、オンプレミスデータセンターと専用ワークロードの保護を保証します。アクセス制御、脅威インテリジェンス、自動化された脅威対応などの機能を提供し、プライベートクラウド環境を保護します。
• 統合セキュリティスキャン：パブリッククラウドとプライベートクラウド間のワークロード移行は、セキュリティギャップのリスクを伴います。CWPソリューションは、移行前および移行中のワークロードの脆弱性スキャンを支援します。コンテナスキャン、IaCスキャン、その他の脆弱性スキャン機能により、ハイブリッドクラウド内の脅威を事前に特定できます。
• カスタマイズされたデータ保護: CWPソリューションは、ビジネスデータの多様なセキュリティ要件に対応できる柔軟な機能を提供します。プライベートクラウドかパブリッククラウドかを問わず、データマスキング、トークン化、コンプライアンス管理などの機能を提供可能です。

適切なクラウドワークロード保護プラットフォーム（CWPP）の選び方

適切なクラウドワークロード保護プラットフォーム（CWPP）の適切な選択には、以下の要件を満たすことが必要です：リアルタイム保護

• クラウドワークロード全体での継続的監視によるリアルタイム脅威フラグ付け
• 高トラフィック環境向けの脅威検知機能のスケーラビリティ
• クラウドネイティブセキュリティツールとの容易な統合

深い可視性

• 最大限の可視性を実現する集中監視とカスタマイズ可能なロギング
• 様々なワークロードのセキュリティ状態に関するアプリケーションレベルの洞察
• あらゆる不審な活動に対するカスタマイズ可能なアラート
• アクセスパターンとID行動に関する洞察

異なるクラウド環境の保護

• マルチクラウド保護
• ハイブリッドクラウド保護
• Kubernetes、Docker などのクラウドネイティブツールの保護
• 多様なクラウドアーキテクチャのサポート

AIを活用した脅威インテリジェンス

• 脅威検知のための機械学習モデル
• プロアクティブなセキュリティ対応のためのデータ分析機能
• アクセス試行やネットワークトラフィックを含むワークロード行動分析

DevOpsとの連携

• 継続的インテグレーションおよび継続的デリバリー（CI/CD）パイプラインとの統合
• Infrastructure as Code (IaC) スキャン 機能
• コンテナセキュリティ機能
• 自動化された脆弱性スキャン

クラウドワークロード保護（CWP）とDevOpsの連携方法

CWPのセキュリティ機能は、ソフトウェア開発ライフサイクル全体に組み込まれる必要があります。これにより、デプロイ前にソフトウェアソリューションのセキュリティ問題が修正されることが保証されます。そのためには、CWPがDevOps、ひいてはCI/CDパイプラインとシームレスに統合されることが必須です。その具体的な内容は以下の通りです：

• CI/CDパイプラインとの統合: まず第一に、CWPソリューションはCI/CDパイプラインと統合され、ソフトウェアライフサイクルのコードビルド、コードテスト、コード統合などの各段階で自動化されたセキュリティチェックを実施できるようにする必要があります。&
• 自動化された脆弱性スキャン: CWPプロセスがCI/CDワークフローを妨げないよう、脆弱性スキャンは自動化されなければなりません。アプリケーションコード、コンテナ、IaCテンプレート、その他のクラウドワークロードを継続的に検査することで、セキュリティプロセスをDevOpsと整合させることが可能になります。
• シフトレフトセキュリティ: セキュリティ脆弱性をデプロイ前に検出・修正するためには、CWPはソフトウェアライフサイクルの初期段階でセキュリティプロセスを組み込む必要があります。シフトレフトソリューションを提供するCWPは、ビルドフェーズ自体において、安全でないAPI、ハードコードされたシークレット、古い依存関係などの脆弱性を早期に検出します。
• デプロイメントのランタイム保護: DevOpsに適合したクラウドワークロードセキュリティは、ワークロードに対する継続的な監視を確保し、ランタイムセキュリティ問題を積極的に排除する必要があります。権限昇格やコンテナ脱走などのリスクを回避するため、CWPソリューションはランタイム保護のためのセキュリティ機能を提供しなければなりません。
• ロールベースアクセス制御（RBAC）: 自動化されたセキュリティチェックはCI/CDパイプラインを保護できる一方、DevOpsチームによる潜在的なセキュリティ上の不備を防ぐためにも必要です。したがって、CWPがDevOpsと真に統合されるためには、そのロールベースアクセス制御機能がDevOpsチームの重要なクラウドワークロードへのアクセスを制限しなければなりません。

クラウドワークロード保護の将来動向

2023年時点で、クラウドワークロード保護市場は年平均成長率（CAGR）24.4%で拡大しており、当時の市場規模は約67億米ドルと予測されていました。これは、CWPがCNAPP、CSPM、XDR などです。

また、CWP ソリューションは DevOps と容易に統合できるため、DevSecOps のトレンドを取り込むための有力な候補でもあります。マルチクラウドおよびハイブリッドクラウド環境を保護する能力を備えたCWPは、クラウドセキュリティ分野で発展する実用的基盤を持ちながら、CISOやその他のビジネス意思決定者に信頼性の高いセキュリティ機能を提供します。

深い可視性、リアルタイムの脅威検知、そしてプロアクティブなセキュリティ対応を総合すると、CWP はソフトウェアセキュリティ市場において長きにわたって存在感を維持していくでしょう。

結論

クラウドのダイナミズムは、ビジネスリーダーが製品やサービスに抱くデジタル野望を実現するために不可欠です。クラウドワークロード保護（CWP）は、コンテナ、データベース、ネットワーク、アプリケーションなどあらゆるクラウドワークロードを多角的に保護することで、このダイナミズムの守護者となります。ハイブリッドクラウドやマルチクラウドを含む多様なクラウド環境に対し、深い可視性、リアルタイム保護、高度な脅威インテリジェンスを提供することで、CWPソリューションは潜在的な脅威を検知するだけでなく、積極的に対応します。

セキュリティ要件に効果的にCWPを導入するには、まず自社のクラウドインフラを理解し、ビジネスが直面する脅威を評価した上で、組織に適したCWPソリューションを選択する必要があります。既存のDevOpsプロセスを維持し、それらと統合できるCWPであることも不可欠です。

これらの評価方法や適切なCWPソリューションの選定に不安がある場合は、SentinelOne Singularity Cloud SecurityのようなAI駆動型のエージェントレスクラウドセキュリティソリューションを選択できます。SentinelOneは、リアルタイムのAIによるクラウドワークロード保護だけでなく、CSPM、CNAPP、IaCスキャンなど、クラウドセキュリティの他の側面にも役立ちます。

"