サイバーセキュリティの一分野である「クラウドセキュリティ」は、クラウドコンピューティングインフラを保護します。ウェブベースのプラットフォーム、インフラストラクチャ、アプリケーション全体でのデータセキュリティとプライバシーの維持は特に重要です。クラウドサービスプロバイダーと顧客(個人、中小企業、大企業を問わず)は、これらのシステムを保護するために協力しなければなりません。
クラウドサービスプロバイダーは常にインターネット接続を利用し、自社サーバー上でサービスをホストします。クラウドセキュリティソリューションを活用することで、顧客データは非公開かつ安全に保たれます。企業の成功は消費者の信頼に依存しているためです。とはいえ、クラウドセキュリティにはクライアント側にも一定の責任が伴います。成功するクラウドセキュリティソリューションを構築するには、双方の責任範囲を十分に理解する必要があります。
本記事では、クラウドワークロード保護プログラム(CWPP)、クラウドセキュリティポスチャ管理、およびCWPPとCSPMの違い(CWPP vs CSPM)について解説します。
CWPPとは?
クラウドワークロード保護プラットフォーム(CWPP) は、最新のクラウドおよびデータセンター環境におけるクラウドワークロードの保護を目的として開発されたセキュリティソリューションです。サーバーレスワークロード、仮想マシン、コンテナ、あらゆる場所の物理マシンに対して、強力なCWPPは標準的なセキュリティ制御と可視性を提供します。デプロイされたワークロードに対し、CWPPは脆弱性チェックを実行した後、ホストベース侵入防止、IDベースのマイクロセグメンテーション、オプションのマルウェア対策などの手段で保護します。
CWPPの特徴:
- プロセス早期段階での脆弱性発見能力
- エクスプロイト及びライブ脅威の検知
- インシデント解決のための強化された調査・コンテキスト機能
CWPPのユースケースシナリオ:
- 様々な環境におけるワークロードの発見とインベントリ
- 仮想マシン内のアプリケーションのシステム整合性保証とホワイトリスト登録
- ワークロードの動作監視および脅威検知・防止ツール
- コンテナおよびKubernetesの保護
- サーバーレス保護
CSPMとは?
クラウドにおける設定ミスやコンプライアンスリスクを発見するため、ITセキュリティ技術はクラウドセキュリティポスチャ管理(CSPM)という市場分野を創出しましたセキュリティポリシーの実施における不整合は、CSPMの助けを借りてクラウドインフラ上で継続的にチェックされます。可視化、継続的モニタリング、脅威検知、修復ワークフローを自動化することで、クラウドセキュリティポスチャ管理(CSPM)は、以下のような様々なクラウド環境やアーキテクチャにおける設定ミスを検出し、リスクを特定・排除します:
IaaS(Infrastructure as a Service)、SaaS(Software as a Service)、PaaS(Platform as a Service)は、CSPMが提供するサービスのほんの一例です。インシデント対応の処理、是正措置の推奨、コンプライアンスの監視、ハイブリッドおよびマルチクラウドプラットフォーム・インフラストラクチャへのDevOpsの統合に加え、CSPMテクノロジーは他にも複数のタスクを実行します。侵害が発生する前に、特定のCSPMソリューションはセキュリティチームがクラウドシステムの脆弱性を事前に特定し修正するのを支援します。
CSPMの特徴:
- Oracle、AWS、Azure、GCPなどのアカウントを一元管理。
- リソース配分とコスト管理
- クラウド移行、バックアップ、復旧
- クラウドインフラへの継続的な移行の効果的な管理
- CIS、NIST、HIPPAなど様々な要件への準拠、および設定ミスによるセキュリティ問題への対応
CSPMのユースケース:
- 複数のクラウド環境におけるセキュリティ対策の継続的監視と適用
- クラウドワークロードとサービスの発見・特定
- 脅威検知と通知の優先順位付け
- クラウド環境における優先順位付け、可視化、リスク管理
- 地域および業界固有の規則への継続的なコンプライアンス監視
CWPPとCSPMの違い
CSPMとCWPPシステムには多くの共通点がありますが、主な違いはその適用範囲にあります。
CSPMの目的は、クラウドインフラストラクチャとアプリケーションのセキュリティ可視化を提供しつつ、是正措置と自動化のための推奨事項を提示することです。クラウドリソースをセキュリティのベストプラクティスと比較することで、CSPMソリューションはデータの保護と機密リソースへのアクセス制限を確保します。
CWPPは、クラウド環境で動作するアプリケーションおよびサービスワークロードのセキュリティを優先し、マルウェア対策を提供し、アクセス制御を管理し、異常な動作を監視します。CSPMと同様に、CWPPテクノロジーは、企業がクラウドで実行されるワークロードに関する規制要件を満たし、コンプライアンスを証明するのに役立ちます。
CSPMは、クラウド環境が安全に構成されていることを確認することに重点を置いています。一方CWPPは、両者に多くの共通点があるにもかかわらず、その環境内で実行されるワークロードの保護に重点を置いています。
CWPP vs CSPM:主な相違点
CWPPとCSPMの重要な相違点をご覧ください。
| パラメータ | CWPP | CSPM |
|---|---|---|
| 定義 | ハイブリッドデータセンターにおけるサーバーワークロード保護の特定のニーズに焦点を当てたホスト中心のソリューション | ベストプラクティスやセキュリティ違反に対してクラウド環境を評価し、多くの場合自動化を通じて必要な是正措置を提案するソリューション |
| 可視性 | ワークロードの追跡と発見 | 複数のクラウド展開にわたるセキュリティ対策の継続的な監視と適用 |
| データ保護 | アプリケーションのホワイトリスト登録と完全性の保証 | クラウドワークロードとサービスの発見と位置特定 |
| 脅威対策 | ワークロードの動作監視と脅威の検知 | アラートの優先順位付けと脅威の特定 |
| ポリシー | コンテナおよびKubernetesの保護 | クラウド上でのリスク優先順位付け、リスク可視化、および管理 |
| データ主権 | サーバーレス防御を提供 | GDPRやFISMAなど、業界および地域固有の要件に対する継続的なコンプライアンスの監視 |
| 製品 | Sentinelone、Trend Micro Security、IaaS、Prisma Cloud、Symantec | Sentinelone、Zscaler、Lacework、Amazon Web Services、CloudPassage |
結論
CNAPPバイヤーズ・ガイド本記事では、CWPPとCSPMの比較について解説しました。CSPMやCWPPといったツールは、現代のクラウド環境を保護する上で不可欠です。機能面での重複はあるものの、各ソリューションには独自の強みと適用範囲があり、完全なセキュリティソリューションを提供するために連携すべき理想的なパートナー技術です。プラットフォームがビジネスにどのように役立つか詳しく知りたい場合は、デモをリクエストする。
"CWPPとCSPMのFAQ
CSPM は、クラウド環境の設定ミスやポリシー違反を継続的にチェックする一連のツールとプロセスです。ストレージバケット、IDロール、ネットワークルールなどのリソース設定をスキャンし、ベストプラクティスやコンプライアンス基準とのギャップをフラグ付けします。
CSPMを活用することで、クラウドアカウントの可視性を確保し、一貫したセキュリティ制御を実施し、悪用される前にリスクのある設定を修正できます。
"CSPMツールはクラウド資産を自動的にマッピングし、設定したポリシーや業界ベンチマークに基づいて構成を評価します。公開されたストレージバケット、過度に許可されたロール、暗号化されていないデータベースなどの問題を通知します。
時間の経過に伴うコンプライアンス状況を追跡し、修正手順のガイダンスを取得し、監査担当者向けのレポートを生成できます。多くのCSPMソリューションは、チケット管理システムや自動化システムと連携し、大規模な修正展開を実現します。
"CWPPは、軽量エージェントのインストールやクラウドネイティブAPIの活用により、クラウド内で実行されるワークロード(仮想マシン、コンテナ、サーバーレス関数)を防御します。ホストまたはコンテナレベルでのアクティビティを監視し、プロセスの動作を検査し、マルウェアや不審な動作をリアルタイムでブロックします。
CWPPは、境界防御をすり抜けたりネットワーク制御を回避したりする脅威から、コンピューティングインスタンスを安全に保ちます。
"CWPPソリューションは、各ワークロードに対して実行時保護、ファイル整合性監視、脆弱性スキャンを提供します。異常なプロセス、メモリ内エクスプロイト、不正なバイナリなど脅威の挙動を検知し、悪意のある活動を隔離または強制終了します。多くのソリューションは、イメージ内のソフトウェアバージョンや既知のCVEを追跡するため、パッチ適用時期を把握できます。攻撃が成功した場合、一部のCWPPは既知の正常状態へ変更をロールバック可能です。
"CSPMはクラウド構成とアカウントの保護に焦点を当て、ワークロードが実行される前に問題を検出します。CWPPは実行中のワークロード自体を保護し、仮想マシンやコンテナ内の脅威を阻止します。CSPMはドアや窓の施錠を確認する作業と捉えられ、CWPPは内部に侵入した侵入者を監視し、シャットダウンする役割です。
"CSPMは、特に迅速なプロビジョニングやスケールアップ時に、クラウドインフラがセキュリティポリシーやコンプライアンス要件を遵守していることを確認するために使用します。監査対応の準備や設定ミスによるリスクの防止に最適です。
CWPPは稼働中のワークロードを保護し、マルウェアや不審なプロセスを実行時に検知します。高リスクアプリケーション、動的なコンテナ環境、デプロイ後の脅威ハンティングに適しています。
"CSPMは、ポリシー違反や不安全な設定が実際の脅威となる前に検知し、アラートと修復ガイダンスを提供します。一方、CWPPは実行時に実際の悪意のある動作(メモリ悪用、不正なコード実行、ファイル改ざんなど)を検知し、即座にブロックまたは隔離できます。
CSPMは予防的な態勢管理であり、CWPPはワークロード内部でのアクティブな脅威防御です。
"クラウドアカウントを立ち上げた初期段階でCSPMを導入し、設定ミスを初日から捕捉してください。ワークロード(VM、コンテナ、関数)を起動したら、CWPPを追加してリアルタイムで監視・保護します。両者は並行して実行可能ですが、実行時ガードなしのポスチャーチェックでは稼働中のワークロードが露出され、適切な設定制御なしの実行時保護は不要なリスクを伴います。
SentinelOne Singularity™ Cloud SecurityはCWPPとCSPMの両方を包含するため、組織はこれを導入できます。SentinelOneは、専用のSingularity™ Cloud Security Posture ManagementおよびSingularity™ Cloud Workload Securityソリューションも提供しています。
CSPMとCWPPはクラウドライフサイクルの異なる段階をカバーします。CSPMは設定上のセキュリティホールが侵害につながる前に阻止します。CWPPは、セキュリティホールが侵入を許したり、実行中に後から発生したりした場合に脅威を捕捉します。両方を併用することで、エンドツーエンドの防御を実現します。つまり、ロックダウンされた構成とワークロードのアクティブなシールドにより、設定ミスによるリスクを軽減し、生じている攻撃に隙間なく対応できるのです。
"