前回は、CSPMについて解説しましたが、今回はCWPPについて解説を行います。
CSPMをご存知ない方は、先に前回のCSPMの記事をご覧ください。
CWPPとは?
CWPPとは、Cloud Workload Protection Platform(クラウドワークロードプロテクションプラットフォーム)で、日本語訳は「クラウドワークロード保護プラットフォーム」と訳されています。
クラウドワークロードとは、クラウドサービス上で実行される業務処理や作業(タスク)を意味し、具体的には、仮想マシン(IaaS)や、PaaS、コンテナ、サーバレス環境などで実行される処理やタスクのことです。
つまり、CWPPは、クラウドサービス上の仮想マシン(VM)などのIaaS、データベースなどのPaaS、コンテナ、サーバレスなどに対して、セキュリティパッチ適用や脆弱性対策に不備がないかの監視を行い、リスクを検出した場合に、設定変更のアドバイスや、実際の設定変更を行うソリューションとなります。
CWPPは、CSPMとクラウドセキュリティのツールとしては同じですが、CSPMはクラウドサービスの利用環境全体の保護を目的に、IaaS/PaaS環境におけるアカウントやサービスを対象にしていますが、CWPPは、クラウドワークロード保護を目的として、仮想マシン(VM)、コンテナ、サーバレスなど、IaaS/PaaSに限定せずに、様々なワークロードを対象にしています。
また、CSPMはクラウドサービスの提供するAPIを用いて設定情報やログを取得し、設定の確認をするのに対して、CWPPは、仮想マシンやコンテナなどにエージェントを導入し、セキュリティの監視をする場合が多いです。
セキュリティ設定不備や、OSのセキュリティパッチ適用状況、ミドルウェアの脆弱性有無、アンチマルウェアソフトのパターンファイル更新状況やスキャン状況をチェックします。
CWPPの背景
これまでのモノリシック(一枚岩)なサービス開発ではなく、最近のマイクロサービスアーキテクチャでは、複数の小規模かつ軽量で、互いに独立したサービスを組み合わせて実装する手法となっており、アプリケーションは、仮想マシンではなく、より利用するリソースが少ないコンテナ上で稼働する事例が増えてきています。
そのため、これまでのオンプレミスのサーバや、仮想マシンとは比較にならないほど多くのコンテナが稼働するようになっています。
コンテナは、パッケージ化が容易で、実行場所を選ばず、1台の仮想マシン上に、複数のコンテナを展開できることも可能となっており、仮想マシンから準備することも可能ですが、CaaS(Container as a Serice)としてクラウドサービスとして提供されています。
次に、サーバレスアーキテクチャも増えています。サーバレスは、FaaS(Function as a Service)とも言われますが、AWSの「Lambda(ラムダ)」、Azureの「Azure Functions」、GCPの「Google Cloud Functions」に代表されるこれまでの仮想マシンを利用せずに、アプリケーション開発を行う手法となります。
通常は、プログラムを実行するサーバが常に稼働し続けている必要がありますが、サーバレスでは、サーバを必要としないため、サーバ自体のコストが掛からず、運用や保守、利用のための準備期間の短縮が行えます。
サーバレスは、実際に仮想マシンを使っていない訳ではなく、クラウドサービスプロバイダー側が準備する仮想マシンを一時的に利用する形態となります。
このようなマイクロサービスのような開発手法の変化や、クラウドサービスの進化により、コンテナやサーバレスの利用が増加しています。
コンテナやサーバレスは、仮想マシンと大きくアーキテクチャが異なり、コンテナは常に稼働している訳ではなく、次々と新たに作成され、不要になるとすぐに削除されます。また、サーバレスはクラウドサービスプロバイダが準備する仮想マシンのため、利用者が管理することができないため、これまでのIT運用担当者の運用方法で対応が難しい場合が多いです。
IT運用者が管理ができず、脅威が見えなくなっても、セキュリティリスクは変わりません。
コンテナやサーバレスについても、責任は、前回CSPMで記載したように「責任共有モデル」改め「責任分担モデル」にて、きちんと責任分界点が設定されており、殆どの責任については、利用者側が負うことになっています。
攻撃者により悪意のあるコンテナイメージがパブリックなレポジトリに登録され、それに気づかずに利用し、攻撃者が容易に不正侵入を許してしまう、コンテナの脆弱性をついて、ホストOSへアクセスされ不正プログラムを実行されることもあります。
コンテナ環境のKubernetesの設定ミスからホストOSを乗っ取られた事例もあります。
サーバレスでは、AWS Lambdaで提供されている脆弱性のあるWebサイトにて、URLに特定文字列を入れAWS Lambdaの情報を取得、さらにAWS Lambdaの環境変数を見るスクリプトでクレデンシャル情報(認証ID/パスワード、アクセスキー)を取得し、そのクレデンシャル情報を利用して管理者権限を付与すれば、AWS S3の情報を閲覧する可能となります。
AWS Lambdaは、これまでのように仮想マシンに、従来のセキュリティ対策ソフトウェアをインストールして仮想マシンごと守る方法は行えません。なぜなら責任分担モデルに則り、利用者は、クラウドサービスプロバイダーのAWS Lambdaの提供する仮想マシン(サーバレイヤ)にソフトウェアをインストールできないからです。
CWPPの5つの特徴
クラウドサービスのセキュリティ不備によるリスクを低減させるCWPPの主な機能としては、以下の5つとなります。
1. マルチクラウド対応
AWSだけではなく、Azure、GCPなどの複数のクラウドサービスプロバイダーをサポートしています。
マルチクラウド環境のクラウドワークロード(仮想マシン、コンテナ、サーバレス等)をサポートしており、管理コンソールか統一したポリシーにより一元的に管理することが可能です。
2.脆弱性管理
クラウドワークロードに存在する脆弱性を定期的に監視し、特定のセキュリティホールや問題を検出し、分析・管理を行う。
ソリューションによっては問題を修復する機能も含まれます。
3.侵入検知とランタイム防御
クラウドワークロードに対する不正アクセスや攻撃、疑わしい動作や、悪意のある動作・トラフィックを検出し、適切な対策、防御を行う。
4.コンプライアンス管理
様々な法規制や企業のセキュリティポリシーに従ってワークロードが運用されているかを監視し、ポリシー違反がないかを監視・管理します。また、今後新しく施行されるルールにもいち早く対応を行うことが可能になります。
5. 自動化とオーケストレーション
セキュリティプロセスや対応策の自動化が組み込まれており、人手の対応を最小限に抑えつつ、効率的なセキュリティの実現が可能です。
イベントの自動対応やセキュリティタスクのオーケストレーションにより、迅速な対応が実現されます。
参考)クラウドセキュリティにおいて、CSPMを合わせてよく出現する言葉
CWPPと合わせてよく使われる言葉としては以下があります。CWPP、CIEM、CNAPPについては、別途改めて記事にする予定です。
・CSPM(Cloud Security Posture Manabement):クラウドサービスの態勢(状態)の管理
・CIEM (Cloud Infrastructure Entitlement Management) :クラウドサービスのアクセス権限の監視/管理
・CNAPP(Cloud Native Application Protection Platform):CSPM/CIEM/CWPPを含むプラットフォーム。シーナップと呼ばれます。
・CASB(Cloud Access Security Broker):クラウドサービスの利用を可視化/監視/適切なアクセス制限を実施。キャスビーと呼ばれます。
まとめ
前回CSPMについては、導入をいきなり検討するのではなく、脆弱性診断のようにまずはCSPMを利用したサービスを一度スポットでご利用されるのが良いのではないかと考えており、SCSKでは、Palo Alto Networks(パロアルトネットワークス)社のCSPM「Prisma Cloud」を採用したマネージドサービスを提供しておりますとお伝えしました。
CWPPについては、エージェント導入が必要なこともあり、現時点では残念ながらスポットでの診断サービス提供はしておりませんが、同じく「Prisma Cloud」がCWPPもサポートしておりますので、マネージドサービスを提供しております。
「Smart One Cloud Security」として、常時監視(Monitoring)するマネージドサービスをご提供しておりますので、ご興味をもたれた方は是非、お問い合わせください。
前回の繰り返しですが、CSPMについては「マルチクラウド設定診断サービス with CSPM」として、スポットでの診断サービス(30万円~)を提供しておりますので、まずは自社のクラウドサービスの脆弱性診断(=クラウド設定診断)を実施されてみるのが良いと思います。
定期的(半年や四半期毎)にスポット診断を実施することも可能ですし、もちろん常時監視するサービスもご提供しており、以下のサービス紹介ページに当社オリジナルの日本語での診断レポートサンプルもございますので、ご興味を持たれた方は、是非ダウンロードをお願いします。
また、CSPM、CWPPなどクラウドセキュリティをご紹介するセミナーを随時開催しておりますので、是非ご参画ください。
以下は、「情報セキュリティマネジメントフォーラム2024」にて『DX推進にかかせないクラウド利用、そのセキュリティ対策とは? ~事例で学ぶ、ガバナンス強化手法と運用のポイント!~』で講演を行います。
