潜んでいたリスクを可視化する
クラウド診断サービスで
安全かつ最適なクラウド運用が実現
今や多くの企業がオンプレミスからクラウドにシフトし、クラウドアプリケーションが企業の情報基盤になりつつあります。そこで考えなければならないのがセキュリティです。ワークロードが多様化し、また、ワークロードが動作するクラウド環境が多様化する中で、オンプレミスで行ってきた防御とは異なる新たな防御を検討する必要が出てきました。その中で注目されているのが「CWPP」のソリューションです。
CWPPとは
CWPP(Cloud Workload Protection Platform)とは、オンプレミス、IaaS、PaaS上の仮想マシン、コンテナ、アプリケーション、データといったワークロードを全て可視化し、脅威から保護することを目的としたソリューションです。
そもそもワークロードにはどのようなものがあるかをまずご紹介したいと思います。サーバーのワークロードだけでもこれだけの種類があります。
●仮想マシン(VM:Virtual Machine)
物理サーバーに構築したソフトウェア上で展開される仮想化されたマシンです。サーバーワークロードでは現時点で最も普及していると言えます。CPU、メモリなどを複数の仮想マシンで共有することで、資源を効率的に使えるのがメリットです。
パブリッククラウドの場合は、Amazon EC2やGoogle Compute Engineのように、クラウドサービス事業者のデータセンターにあるサーバーのCPU、メモリ、ストレージを利用して仮想サーバー(インスタンス)を構築するサービスが提供されています。
●コンテナ
物理サーバーのコンテナエンジン上で動作する軽量な仮想環境のことです。定義ファイルをもとにコンテナイメージを生成し、個々のコンテナ環境を起動します。仮想マシンのように個々の環境にゲストOSが必要ないため、CPUやメモリを無駄に消費することなく、高速に起動・処理できます。
コンテナの実装でデファクトスダンダートとなっているのがオープンソースの「Docker」です。パブリッククラウドの場合は、仮想マシン上にDockerを構築してコンテナを起動するといった方法を取ります。
●CaaS(Container as a service)
コンテナはより少ないリソースで大量の環境を作ることができます。規模が大きくなると、複数のコンテナを管理する必要があり、Kubernetesのようなオーケストレーションツールが登場しましたが、コンテナ展開や運用の複雑さが課題となっていました。そこでオーケストレーションサービスが持つコンテナ展開・管理機能も含めてCaaSとして提供されるようになりました。代表的なサービスとしては、Amazon Elastic Container ServiceやGoogle Kubernetes Engine等があります。
●サーバーレス
開発者がアプリケーションのソースコードをアップロードすると、実行時に自動でインスタンス化します。利用者側はコンテナイメージやOSコンポーネントを用意する必要がありません。代表的なサービスにはAmazon LambdaやAzure Functions等があります。他のコンテナプラットフォームでは実行できません。
●サーバーレスのコンテナ
コンテナをサーバーレスで実行できる環境です。前項でご紹介したコンテナは利用者がサーバー上にコンテナ環境を構築しますが、サーバーレスのコンテナの場合、コンテナ環境をどのサーバー上に構築するかはサービス提供事業者に任されます。そのためサーバーレスのコンテナについてはサーバーの構築や保守が不要になり、アプリケーションの構築に集中できます。代表的なサービスにはAWS FargateやAzure Container Instances等があります。
今後はご紹介したワークロードが混在する「ハイブリッド環境」が主流になると言われています。複数のクラウド環境における様々なサーバーワークロードを脅威から守ることがCWPPの役割です。
CWPPの仕組み
CWPPは従来のインフラストラクチャーを対象とした制御ではなく、ワークロードを対象として制御を行います。CWPPの主な機能として次のようなものがあります。
●ランタイムセキュリティ
コンテナ等のランタイムについてセキュリティ侵害や異常な振る舞いを検出します。
●イメージスキャン
コンテナホストやイメージに含まれるアプリケーションやライブラリに脆弱性がないかを検出します。
●ネットワークセキュリティ
アプリケーションとサービス間の全てのネットワーク通信を可視化し、異常なネットワークアクティビティを検出します。
●フォレンジック
コンテナ、オーケストレーション、クラウドにおけるフォレンジックを取得します。
●継続的なコンプライアンス検証
コンテナ、オーケストレーション、クラウドに対し、PCI、NIST、SOC2といったガイドラインへのコンプライアンスを検証します。
クラウドワークロード保護が重要な背景
クラウドワークロードの保護の重要性が高まったのは、クラウド上のワークロードが多様化していることにあります。以前は物理サーバーにOSやミドルウェア、アプリケーションをインストールしてシステムを構築していました。次第に物理サーバー上に複数の仮想サーバーを定義する仮想マシンを運用するケースが増えていきました。
クラウド環境も当初は仮想マシンが中心でした。しかし次第に利用者が構築したいシステムに合ったワークロードを選ぶニーズが高まり、前章でご紹介したような様々なワークロードが登場しました。
これは「マイクロサービスアーキテクチャー」の概念が登場したこととも無縁ではありません。アプリケーションの機能同士が密接に関連している従来の「モノリシックサービス」とは異なり、マイクロサービスアーキテクチャーは複数の独立したサービスを組み合わせて一つのアプリケーションを構築する仕組みです。
この仕組みにより、ある部分に障害が発生した場合でもアプリケーション全体が停止することがなくなるというメリットがあります。マイクロサービスアーキテクチャーでは大量にある個々のサービスごとに独立した環境を割り当てるため、軽量なコンテナやサーバーレスが用途に合ってきます。
ワークロードが多様化したとしても、オンプレミスの場合はFWやIPS/IDSといった通信を監視する技術で保護していたため、システム内部まで侵入されるリスクが比較的低く、ワークロードに焦点を当てた保護の重要性はそれほど認識されていませんでした。
しかしクラウドシフトが進むにつれて、従来のセキュリティ対策では防御できないということが明らかになりました。もちろんクラウドサービスのプロバイダーもオンプレミス環境とは比較にならないほど強力なサイバーセキュリティを提供しています。
しかし通常プロバイダーは責任共有モデルを採用しており、クラウド上に存在するアプリケーション、サーバー、データの各々の通信については、利用者が責任を負います。利用者がインフラストラクチャーを意識せずに環境を構築しているため、従来のようにインフラストラクチャーの通信を制御することが困難です。
そのためインフラストラクチャーの通信にフォーカスするのではなく、ワークロードの検証を行うことで一貫した防御が実現できるCWPPが注目されるようになりました。
クラウド環境も当初は仮想マシンが中心でした。しかし次第に利用者が構築したいシステムに合ったワークロードを選ぶニーズが高まり、前章でご紹介したような様々なワークロードが登場しました。
これは「マイクロサービスアーキテクチャー」の概念が登場したこととも無縁ではありません。アプリケーションの機能同士が密接に関連している従来の「モノリシックサービス」とは異なり、マイクロサービスアーキテクチャーは複数の独立したサービスを組み合わせて一つのアプリケーションを構築する仕組みです。
この仕組みにより、ある部分に障害が発生した場合でもアプリケーション全体が停止することがなくなるというメリットがあります。マイクロサービスアーキテクチャーでは大量にある個々のサービスごとに独立した環境を割り当てるため、軽量なコンテナやサーバーレスが用途に合ってきます。
ワークロードが多様化したとしても、オンプレミスの場合はFWやIPS/IDSといった通信を監視する技術で保護していたため、システム内部まで侵入されるリスクが比較的低く、ワークロードに焦点を当てた保護の重要性はそれほど認識されていませんでした。
しかしクラウドシフトが進むにつれて、従来のセキュリティ対策では防御できないということが明らかになりました。もちろんクラウドサービスのプロバイダーもオンプレミス環境とは比較にならないほど強力なサイバーセキュリティを提供しています。
しかし通常プロバイダーは責任共有モデルを採用しており、クラウド上に存在するアプリケーション、サーバー、データの各々の通信については、利用者が責任を負います。利用者がインフラストラクチャーを意識せずに環境を構築しているため、従来のようにインフラストラクチャーの通信を制御することが困難です。
そのためインフラストラクチャーの通信にフォーカスするのではなく、ワークロードの検証を行うことで一貫した防御が実現できるCWPPが注目されるようになりました。
ワークロード保護のメリット
複雑さが加速するクラウド環境だけでなく、オンプレミスも含めてワークロードを保護するメリットは次のようなものがあります。
●追跡・保護を簡素化
サーバーのワークロードが多様化するに従って、追跡・保護が必要なデータポイントが増えて複雑になってきました。そのためアプリケーションの通信環境ではなく、アプリケーション自体を保護することで、追跡・保護を簡素化できます。
●一貫性のある保護
これまで通信の検証で用いられてきたIPアドレス、ポート、プロトコルといった場所に縛られる制御はインフラストラクチャーとの結合が弱いクラウド環境には適していません。そこでワークロードのプロパティに基づいて保護することにより、ワークロードが稼働している場所を選ばずに一貫性のある保護が可能です。
●継続的なリスクの評価
複雑なクラウド環境において、自社の環境の脆弱性がどの程度のリスクをもたらすのかを定量的に把握できていないケースも少なくありません。ワークロードの保護によって、ネットワークの攻撃対象領域をリアルタイムで測定し、どのワークロードがどのように通信しているのかを把握できます。
ワークロード保護はいつ検討するべき?
CWPPは比較的新しいソリューションです。クラウド化が加速する中でCWPPの重要性は高まっていますが、どのタイミングで導入するべきなのか、決めかねている企業も多いのではないでしょうか。
タイミングとして考えられるのが、新たなワークロードの導入時です。現時点でのワークロードは物理マシン、仮想マシンが多くを占めていますが、コンテナやサーバーレスを新たに利用する場合は、すでに導入しているセキュリティ製品が対応していない場合もあります。CWPPの運用が不安な場合は、ベンダーの提供する支援サービスを活用する方法もあります。
デジタルトランスフォーメーション(DX)の進展によって、より速くサービスを立ち上げるためにクラウドの活用が進むでしょう。ワークロードの多様化が進む中で従来のセキュリティの考え方では最新の脅威に対応できないのは明らかであり、CWPPの重要性がより高まることは間違いありません。自社のワークロードの状況を把握しつつ、より効果的なセキュリティソリューションを選択していきましょう。
タイミングとして考えられるのが、新たなワークロードの導入時です。現時点でのワークロードは物理マシン、仮想マシンが多くを占めていますが、コンテナやサーバーレスを新たに利用する場合は、すでに導入しているセキュリティ製品が対応していない場合もあります。CWPPの運用が不安な場合は、ベンダーの提供する支援サービスを活用する方法もあります。
デジタルトランスフォーメーション(DX)の進展によって、より速くサービスを立ち上げるためにクラウドの活用が進むでしょう。ワークロードの多様化が進む中で従来のセキュリティの考え方では最新の脅威に対応できないのは明らかであり、CWPPの重要性がより高まることは間違いありません。自社のワークロードの状況を把握しつつ、より効果的なセキュリティソリューションを選択していきましょう。
関連してよく読まれているページ
DOWNLOAD
資料ダウンロード
関連サービス
カテゴリー
資料ダウンロードランキング
-
AWS導入・移行に関する実態調査レポート2023年版資料ダウンロード
-
AWSを検討している情シス担当者の方、必見!資料ダウンロード
-
クラウド移行に課題を感じているお客様に!資料ダウンロード
-
クラウドサービス(AWS)を安全・効果的に使えているか
診断したいというお客様へ!資料ダウンロード
-
コンテナ利用によるセキュリティリスクに
不安があるというお客様に!資料ダウンロード
-
クラウドサービスの利用拡大によるセキュリティリスクの増加に
不安があるというお客様に!資料ダウンロード
-
安心のテレワーク環境をすばやく整備!資料ダウンロード
-
AWSのクラウドサービスってどのようなサービスがあるの?という方へ資料ダウンロード
-
クラウドサービスにセキュアで接続したいお客様へ!資料ダウンロード