CNAPPとCWPPの違い

現代のクラウド環境は、リアルタイムのリソーススケーリング、マイクロサービス、コンテナ、APIエンドポイントを特徴とする、非常にダイナミックな環境になっています。開発ライフサイクルから展開までのライフサイクル全体を通して、急速に進化するこれらのコンポーネントを効果的に管理し、セキュリティを確保するには、統合された包括的なセキュリティソリューションが必要です。

クラウドセキュリティの世界には、数え切れないほど多くのツールや略語が存在します。中でも特によく目にするものとして、CNAPP（クラウドネイティブアプリケーション保護プラットフォーム）とクラウドワークロード保護プラットフォーム (CWPP) が挙げられます。CNAPPとCWPPはどちらもクラウドセキュリティにとって不可欠ですが、それぞれ異なる目的を果たすため、混同すべきではありません。この記事では、CWPPとCNAPPの具体的な役割と用途について詳しく説明し、CrowdStrike Falcon® Cloud Securityのようなソリューションが、どのようにこれらをシームレスに統合し、包括的な保護を提供するのかを解説します。

CNAPPについて

CNAPPは、クラウドセキュリティとコンプライアンスのための包括的なプラットフォームであり、チームが安全なクラウドネイティブアプリケーションを構築、展開、実行し、脅威や脆弱性に対処するのに役立ちます。クラウドネイティブアプリケーションのスタック内では、さまざまな種類のワークロードとポリシーが、開発、展開、運用においてそれぞれ固有のニーズを持っています。環境全体を保護するには、ワークロードモニタリング、コンプライアンス監査、アイデンティティ管理など、個々の要件に対応する専用のツールが必要です。 

CNAPPの主要コンポーネント

CNAPPはさまざまなコンポーネントで構成されており、セキュリティカバレッジにおける盲点やギャップにつながることが多い断片化を取り除きます。CNAPPは、複数のツールを包括的なソリューションに統合することで、DevOpsチームとDevSecOpsチームの複雑さを最小限に抑え、運用を効率化することを目指しています。

CSPM（クラウドセキュリティポスチャ管理）

CSPMはクラウド環境を継続的に監視し、設定ミスや、セキュリティとコンプライアンスのリスクを特定して修正します。クラウドインフラストラクチャがベストプラクティスと規制要件に準拠していることを保証することで、CSPMは安全な環境の維持を支援します。CSPMは、コンプライアンス違反のリソースを検出すると、セキュリティチームに警告し、問題を効果的に軽減するためのガイダンスを提供します。

ランタイム前の「シフトレフト」セキュリティ

ランタイム前セキュリティは、しばしば「シフトレフト」セキュリティとも呼ばれ、実行段階に達する前にコードの問題を特定して対処します。このアプローチでは、IaC（コードとしてのインフラストラクチャ）テンプレートを活用して、一貫性と反復性に優れたインフラストラクチャの展開を確保します。しかし、適切なセキュリティ対策を講じないと、IaCテンプレート自体が脆弱性をもたらし、クラウド環境全体を危険にさらす可能性があります。これを防ぐため、IaCセキュリティツールは開発サイクルの早い段階で設定ファイルをスキャンし、コンプライアンスリスク、ネットワークの脆弱性、最小特権の原則違反を検出することで、セキュリティリスクをプロアクティブに軽減します。

CWPP

CWPPはCNAPPの一部として動作し、VM、データベース、コンテナ、Kubernetesクラスターなどのクラウドワークロードを保護します。 

CIEM（クラウドインフラストラクチャエンタイトルメント管理）

従来のIAM（アイデンティティおよびアクセス管理）ソリューションは動的なクラウド環境では機能しにくいため、セキュリティチームはCIEMへの依存度を高めています。CIEMソリューションは、クラウド環境内のアイデンティティ、権限、アクセス制御を管理および保護します。違反を検知し、セキュリティチームに報告して迅速な解決を図ることで、不正アクセスを防止し、不正な権限昇格のリスクを最小限に抑えます。

ASPM（アプリケーションセキュリティポスチャ管理）

アプリケーションが複雑になるにつれて、組織は一貫したセキュリティプラクティスを実装し、各アプリケーションのリスクポスチャを把握し、コンプライアンスを維持することに困難に感じています。ASPMは、アプリケーションのセキュリティの継続的な可視性とモニタリング機能を提供し、アプリケーションのライフサイクル全体を通じて脆弱性を特定して対処することで、これらの課題に対処します。ASPMは、組織が機密データを保護し、侵害を防止し、業界の規制に準拠するのに役立ちます。 

CNAPPの利点

CNAPPは、その包括的な統合アプローチにより多くの利点を提供する強力なクラウドセキュリティソリューションです。  

• 包括的なセキュリティ：CNAPPは、コンテナ、データベース、VM、APIなど、あらゆる種類のクラウドリソースを開発環境から本番環境まで保護します。実行中のワークロードを保護し、ネットワークの設定ミス、IaCコードの脆弱性、アクセス違反に対処します。
• DevSecOpsとの統合：CNAPPソリューションは、継続的インテグレーション/継続的デリバリー (CI/CD) パイプラインにシームレスに統合され、開発プロセス全体にわたってセキュリティが確実に組み込まれます。この統合により、アプリケーションライフサイクルの早い段階でセキュリティ上の問題を特定して軽減することができます。
• 統一された可視性：CNAPPは、セキュリティのあらゆる側面に対応する包括的なソリューションをチームに提供し、クラウド環境全体で統一された可視性を提供することを可能にします。統一されたソリューションにより、DevOpsチームとDevSecOpsチームの業務の複雑性が軽減され、効率が向上し、セキュリティをより効果的に管理できるようになります。

CWPPについて

CWPPは、VMやコンテナなどのクラウドワークロードを継続的に監視し、リアルタイムの脅威検知と対応を提供するソリューションです。アクティブなワークロードは攻撃の主要な標的となるため、これはクラウドセキュリティにとって非常に重要です。これらのワークロードを保護することで、侵害やダウンタイムを防止できます。

CWPPは、セキュリティチームがクラウド環境のセキュリティ確保を目指す上で、いくつかのメリットをもたらします。主なメリットは次のとおりです。

• プレランタイム保護：CWPPは、クラウドワークロードを展開する前に保護し、CI/CDパイプラインの早期段階で脆弱性を特定して軽減します。これには、イメージ評価やIaCセキュリティなどの手法が含まれます。
• ランタイム保護：これらのソリューションは、不正なアクティビティや侵害の発生を即座に防止します。CWPPはワークロードを継続的に分析して異常を特定し、セキュリティポリシーを適用することで、疑わしいアクションをリアルタイムでブロックします。
• 脅威の検知と対応：CWPPは脅威、脆弱性、異常をスキャンし、問題を解決するためのガイダンスを提供します。また、侵害されたワークロードを隔離したり、攻撃トラフィックをブロックしたり、セキュリティパッチを適用したりすることで、特定の脅威に自動的に対応できるため、チームは人間の介入が必要な問題に集中することができます。
• ワークロードとコンテナの可視性：CWPPはワークロードのアクティビティに関する包括的なインサイトを提供し、パフォーマンスの追跡、疑わしい振る舞いの検出、セキュリティポリシーの効果的な適用を可能にします。 

CNAPPとCWPPの比較

CNAPPとCWPPはどちらもクラウド環境を保護しますが、そのスコープは大きく異なります。CNAPPはアプリケーションのライフサイクル全体にわたる広範なセキュリティを提供するのに対し、CWPPはランタイム保護に特化しており、特にアクティブなワークロードとコンテナのセキュリティに重点を置いています。

カバレッジのスコープ

• CNAPP：開発、CI/CD、本番環境を含むワークロードのライフサイクル全体を、さまざまなセキュリティドメインにわたってカバーします。CNAPPは、CIEM、ASPM、DSPM（データセキュリティポスチャ管理）、CSPMなどのコンポーネントも組み込むことで、より広範で包括的なセキュリティを提供します。
• CWPP：仮想マシン、コンテナ、サーバーレス環境全体にわたって継続的な可視性、脅威検知、自動保護を提供し、ワークロードが展開される場所に関係なく、一貫したセキュリティポスチャを確保します。

統合と自動化

• CNAPP：既存のCI/CDワークフローおよびDevSecOpsツール（CWPPを含む）と統合し、開発ライフサイクル全体にわたる保護を実現し、運用を効率化します。
• CWPP：ワークロードのランタイム保護を提供し、クラウド環境に展開されたリソースのオペレーショナルセキュリティを確保します。 

主な焦点

• CNAPP：IaCセキュリティ、コンプライアンスモニタリング、アイデンティティ管理など、クラウド環境全体にセキュリティを提供します。 
• CWPP：実行中のアプリケーションとマイクロサービスに対してリアルタイムの脅威検知と対応機能を提供することで、実行中のワークロードを保護します。

CNAPPの一部としてのCWPP

CNAPPは、単一のプラットフォームの傘の下に複数のセキュリティツールをまとめることにより、クラウドネイティブアプリケーションに包括的なセキュリティを提供します。CNAPPの脅威検知および対応機能の一部は、脆弱性と異常なアクティビティの継続的モニタリングを強化するCWPPによって有効になります。これにより、潜在的な脅威へのアラート通知とリアルタイム対応が可能になります。

CNAPPは、開発環境から本番環境まで、あらゆるドメインをカバーする統合セキュリティアプローチに焦点を当てていますそのスコープの一部には、運用効率を確保するためのクラウドワークロードのプレランタイム保護とランタイム保護が含まれます。これは、CNAPPの重要なコンポーネントであるCWPPによって管理されます。

CWPPは、リアルタイムの脅威検知を行うことで実行中のアプリケーションを保護できる特殊なソリューションです。一方、CNAPPは、CSPM、CIEM、ASPM、CWPPなどの主要コンポーネントを統合することで、クラウドセキュリティの複数の側面に対応する統合ソリューションです。

CWPPを備えたCNAPPを活用する利点

CNAPPとCWPPはそれぞれ異なるユースケースに基づいてクラウドセキュリティを提供します。CrowdStrike Falcon® Cloud Securityは、CWPP機能を備えたCNAPPであり、リアルタイムの脅威検知、継続的モニタリング、自動対応により、組織がより広範なセキュリティ保護を実現するのに役立ちます。統合プラットフォームであるFalcon Cloud Securityは、コードからクラウドまで包括的な保護を提供します。詳細については、インタラクティブデモをお試しいただくか、今すぐ当社の専門家チームまでお問い合わせください。