ゼロトラスト実現への道筋:
SASEとCNAPPが果たす重要な役割とは?
- #ゼロトラスト
- #セキュリティー
2024年12月20日
デジタライゼーションの進展に伴い、クラウドシフト、テレワークの普及、クラウドを介した関係会社・取引先等とのコラボレーション、サイバー攻撃の高度化などのビジネス環境の変化が生じ、多くの企業は「SASE」の導入を進め、最小限のアクセス権限付与とユーザ(ID)単位でのアクセス制御を行い、ゼロトラストセキュリティーの実装を進めようとしています。他方、SASEと同様にクラウドネイティブな環境下におけるアプリケーションの保護を目的に「CNAPP」という概念が提唱され注目を集めています。ここでは企業のクラウドセキュリティー対策で必要となるSASEとCNAPPをその役割と共に解説します。
SASEで実現するセキュアなクラウドアクセス
SASE(Secure Access Service Edge)とは、ネットワークとセキュリティー機能を組み合わせて安全なクラウドアクセスを実現するフレームワークです。企業はゼロトラストセキュリティーをベースとしたIT戦略により、ネットワーク機能とセキュリティー機能をSASEに集約移行しつつあります。従来の境界型セキュリティーモデルでは防ぎきれない高度化されたサイバー攻撃のリスクを防止する観点からも急速にSASEを導入する企業が増加しています。
クラウド上の情報資産におけるセキュリティーリスク
しかしながら、SASEでクラウドアクセスをセキュアなものにさせるだけでは不十分です。多岐に渡るクラウドサービスの利用により新たなセキュリティー課題が浮上しています。
①マルチクラウド化による可視性の低下
AWSやAzureといったIaaS/PaaSに加え、SaaSも含めたマルチクラウド化が進む中、クラウド上のデータの公開範囲を誤ったり、適切なアクセス権限を付与しなかったりすることで、情報漏えいが発生するリスクが高まっています。1つの設定ミスや不注意が重大なセキュリティーインシデントを引き起こす可能性があります。さらに、ユーザが外部ベンダーに設定を委託する場合、自社のセキュリティーポリシーに沿った正しい設定が行われているかどうかを確認することが難しくなっています。
②クラウドサービスのネイティブツールの違い
マルチクラウド環境では、各クラウドサービスのネイティブツールの違いが管理の難しさを増しています。年間数百から数千のアップデートが行われるため、手作業での管理は現実的ではありません。これにより、管理の複雑さが増し、セキュリティーリスクが高まる可能性があります。
また、クラウドサービスを利用する際にはクラウド事業者とユーザの責任範囲も注意しなくてはなりません。クラウドサービスによって責任範囲は異なりますが、往々にしてアプリケーション上のデータ管理はユーザ責任となることが多いです。マルチクラウド化した今、ユーザは全てのクラウドサービスの設定や脆弱性を可視化して管理することができないジレンマを抱えています。
CNAPPによるクラウドセキュリティー管理
このようなセキュリティーリスクに対し、2021年に新たなプラットフォームとしてCNAPP(Cloud Native Application Protection Platform)が提唱されました。CNAPPは、機能追加やバージョンアップなど日々変化するクラウドサービスに追随し、ユーザに代わってクラウド環境のセキュリティーリスクを可視化し設定ミスによるセキュリティー事故の発生を抑止するソリューションです。
これを実現する機能を一部ご紹介いたします。
①CSPM(Cloud Security Posture Management)
クラウド環境の設定ミスやセキュリティーポリシーの違反を検出し、修正するためのツールです。これにより、クラウドインフラのセキュリティー状態を継続的に監視し、リスクを最小限に抑えることができます。
②CWPP(Cloud Workload Protection Platform)
CWPPは、クラウド上のワークロード(アプリケーションやデータ)を保護するためのプラットフォームです。
これには、マルウェア対策、脆弱性管理、ランタイム保護などが含まれ、クラウド環境でのセキュリティーを強化します。
③CIEM(Cloud Infrastructure Entitlement Management)
CIEMは、クラウドインフラの権限管理を行うツールです。過剰な権限の付与を防ぎ、適切なアクセス制御を実現することで、セキュリティーリスクを軽減します。
④SSPM(SaaS Security Posture Management)
SSPMは、SaaSアプリケーションのセキュリティー状態を管理するためのツールです。SaaSアプリケーションの設定やアクセス権限を監視し、セキュリティーポリシーに準拠しているかを確認します。
ゼロトラストセキュリティー実装のための柱として
ゼロトラストは今後さらに重要性を増していくセキュリティーモデルである一方で、企業ごとにポリシーが異なることやソリューションの選択肢が多岐に渡ることから、自社だけで比較・検討し導入を進めていくことは非常に困難です。まずは現在ゼロトラストの中核を成すSASEとCNAPPの2つのプラットフォームの導入に着手し、強固なネットワークセキュリティーを実現しながらクラウド環境のセキュリティーリスクを最小化することを、当社では推奨しています。
当社ではSASEをはじめとしたゼロトラスト関連ソリューションに加え、CNAPPの中からCSPMとSSPMのご提案が可能になりました。ゼロトラストについて情報収集されているお客様はぜひお気軽にご相談ください。課題の抽出からご要望に沿ったご提案、導入後の安定稼働まで、当社はお客様の一番のパートナーとしてご支援させていただきます。
- SASE(Secure Access Service Edge)
ネットワークの機能とセキュリティーの機能を一体として提供するクラウドサービス、またはその考え方・概念を表す言葉 - SWG(Secure Web Gateway)
Web通信を監視・分析し、不審サイトへアクセスする前に通信を制御するソリューション - FWaaS(Firewall as a Service)
ネットワークやコンピュータを外部の攻撃から保護するファイアウォールをクラウドサービスとして実装・提供するもの - ZTNA (Zero Trust Network Access)
すべてのアクセスを信頼せず、安全性を検証する「ゼロトラスト」の概念に基づいたネットワークセキュリティーの考え方 - CASB(Cloud Access Security Broker)
クラウドサービスへのアクセス可視化や、セキュリティーポリシーに基づきアクセス制御を行うソリューション - DLP(Data Loss Prevention)
企業や組織が保有する情報の漏洩や消失を防ぐための、セキュリティーシステム
関連サービス
メールマガジン
「BizConnect」ご案内
メールマガジン「BizConnect」は、最新トレンド、新製品・サービスなど広いテーマ情報をお届けします。
きっとお客様の仕事の質の向上に繋がる気づきがありますので、ぜひご登録ください。
-
オンライン/オフラインのイベントやセミナーの開催情報をいち早くご案内いたします。
-
製品・サービスのご紹介や、新製品のリリース案内、キャンペーン情報などをご案内いたします。
-
市場トレンドや、業務改善のポイントなど、今知っておきたい情報をお届けします。
ひと息つけるコンテンツも!
