CNAPPがクラウドセキュリティを制限する5つの理由

クラウドアプリケーションは、特にここ数年の急速なデジタルトランスフォーメーションにおいて、組織の生命線となっています。これらのアプリケーションは、物理サーバーと仮想サーバー、コンテナ、サーバーレス コンピューティングのクラウドで実行され、前例のない俊敏性と拡張性を提供します。  

しかし、それらは新たなセキュリティ上の課題ももたらします。多くの組織は、防御を強化するためにクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)に目を向けています。CNAPPはクラウド専用に構築されている場合がありますが、セキュリティを提供できるのはここまでです。  

CNAPP ツールがクラウド セキュリティを制限している可能性があります。ゼロトラストセグメンテーションが包括的なクラウドセキュリティ戦略に不可欠である理由をご覧ください。

今すぐクラウドセキュリティに注意を払う必要があります

収益性と事業継続性を保護するために、これまで以上に多くの組織がクラウドでの運用を望んでいます。実際、Vanson BourneがCloud Security Index 2023 に発表した調査によると、調査対象となった組織の100%がクラウドを使用しており、98%が現在機密データをクラウドに保持しています。

クラウドの可能性に興奮しているにもかかわらず、脅威アクターは緩いクラウドセキュリティを利用しています。Vanson Bourneは、過去1年間に発生したすべてのデータ侵害のうち、47%がクラウドから発生したことを発見し、クラウドがセキュリティの弱点であることを浮き彫りにしました。さらに悪いことに、過去1年間にクラウド侵害に見舞われた組織は、平均で410万ドル近くの損失を被った。

これは、使用しているクラウドセキュリティツールに注意を払うことがこれまで以上に重要になっていることを意味します。特にCNAPPを導入している組織は、その制限とそれに伴うセキュリティギャップに驚くかもしれません。  

CNAPPがクラウドセキュリティを制限するのはなぜですか?

クラウドネイティブ環境特有のセキュリティニーズを認識し、これらの課題に対処するためにクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)が登場しました。

Gartner は CNAPP を次のように定義しています。

開発と本番全体でクラウドネイティブ アプリケーションをセキュリティで保護するように設計された、統合された緊密に統合されたセキュリティおよびコンプライアンス機能のセット。CNAPPは、コンテナスキャン、クラウドセキュリティポスチャー管理、Infrastructure-as-Codeスキャン、クラウドインフラストラクチャエンタイトルメント管理、ランタイムクラウドワークロード保護、ランタイム脆弱性/構成スキャンなど、これまでサイロ化されていた多数の機能を統合します。

CNAPPは、クラウド環境専用に構築され、既存のセキュリティプラットフォームや開発プロセスと統合し、組織がより多くのワークロードをクラウドに移行するにつれて拡張できるため、クラウドセキュリティにとって当然の選択肢のように思えます。

しかし、これらの機能は、CNAPPをクラウドセキュリティにとって最良の選択にするものではありません。これにより、セキュリティチームはクラウドを保護する際に大きな課題を抱えています。

CNAPPの5つの制限

• クラウドのセキュリティ — 次のもののみ:CNAPPはクラウドアプリケーションのセキュリティのみに焦点を当てており、インフラストラクチャの他の部分で実行されているアプリケーションに対する包括的な保護は提供しません。これにより、ワークロードが異なる環境間を移動する際にセキュリティギャップが残り、攻撃者がクラウド環境内を横方向に移動しやすくなります。

• ベンダーロックインによるセキュリティサイロ化: 各クラウドベンダーのセキュリティツールは、プラットフォームにローカルです。たとえば、AWS セキュリティ ツールが Azure セキュリティ ツールと統合される可能性は低いです。これにより、セキュリティサイロが形成され、脆弱性にさらされたままになり、侵害後の復旧が遅くなる可能性があります。  
• リスクの高いサードパーティ統合: クラウド環境では、サードパーティのサービスやアプリケーションとの統合が一般的であり、通常、CNAPPの最大の利点として挙げられています。ただし、適切なセグメンテーションとセキュリティ対策を講じずにこれを行うと、クラウドインフラストラクチャが外部の脅威にさらされる可能性があります。
• コンプライアンス要件を満たすには不十分です。 規制やコンプライアンスの要件を満たすには、多くの場合、アプリケーションのセキュリティを確保するだけでなく、CNAPP では提供されない機能であるユーザー アクセスとネットワーク セグメンテーションの制御を実証する必要があります。  

• 重要な学習曲線: CNAPPを採用するには、クラウドテクノロジーに関する専門知識が必要であり、従来のITセキュリティチームにとっては学習曲線となる可能性があります。

ゼロトラストセグメンテーションは包括的なクラウドセキュリティを提供します

CNAPPはクラウド環境にのみ適用されますが、 ゼロトラストセグメンテーション(ZTS)は 、ネットワーク内のどこにあるかに関係なく、すべてのワークロードを保護します。  

マイクロセグメンテーションとも呼ばれるZTSは、ネットワークをより小さなきめ細かなセグメントに分割し、一連のセキュアゾーンを作成します。これは、ZTSがネットワークセグメントごとに独自のセキュリティ体制を提供することで、クラウドだけでなくハイブリッド攻撃対象領域全体にわたって正確で柔軟なセキュリティを提供できることを意味します。各セグメントは、特定のアクセス制御で調整でき、横方向の動きを封じ込め、侵害が避けられない場合の潜在的な損害を制限します。

ZTSは、「侵害を想定する」という ゼロトラストの考え方 から出発し、いつでもどこでも一貫したコンテキストベースの可視性を獲得することを優先しています。その可視性の基盤を利用して、セキュリティを継続的に向上させるための反復プロセスを提供します。

クラウドセキュリティのためのゼロトラストセグメンテーションの5つの利点

ZTSは、ネットワーク露出のリスクを軽減し、クラウド全体で最小権限のアクセスを維持することで、クラウドセキュリティの課題に正面から取り組む。

• リアルタイムの可視性: イルミオのアプリケーション依存関係マップは 、ハイブリッドクラウドとマルチクラウドにわたるすべてのワークロードにわたるトラフィックフローテレメトリをリアルタイムで可視化します。アプリケーションのデプロイ、リソース、トラフィックフロー、メタデータのインタラクティブなマップを使用して洞察を収集します。この包括的な可視性により、潜在的な脅威、異常な動作、脆弱性を特定して理解し、プロアクティブなセキュリティ対策を迅速に実装できます。

• 柔軟なセキュリティポリシー: イルミオは、クラウド環境内の変化に応じてセキュリティポリシーを自動的に適応させます。クラウドインフラストラクチャが拡張および進化するにつれて、イルミオはセキュリティ対策が効果的であり続けることを保証し、手動のポリシー更新の負担を軽減し、クラウドでの人的エラーを減らします。

• マイクロセグメンテーション クラウドの場合: イルミオのZTS機能を使用すると、クラウドインフラストラクチャ内にきめ細かなセキュリティゾーンを作成できます。このアプローチにより、ネットワーク内のラテラルムーブメントを阻止し、ランサムウェアや侵害が避けられない場合に封じ込め、侵害の影響を最小限に抑えてビジネス継続性を確保します。
• クラウド間で一貫したセキュリティ: ワークロードが異なるクラウド ベンダー間 (Azure から AWS など) に移動すると、あるベンダーのセキュリティが次のベンダーに変換されることはめったにありません。これにより、クラウドの脆弱性が生じ、チームの作業が増えます。イルミオは、クラウド間でワークロードをセグメンテーションするための一貫したソリューションを可能にし、ワークロードがスタンドアロンのベンダー固有のセキュリティソリューションに依存することを回避します。
• 簡単なサードパーティ アプリの統合: イルミオは、AWS セキュリティ グループや Azure ネットワーク セキュリティ グループなどのさまざまなクラウドネイティブ サービスとシームレスに統合するための堅牢なサードパーティ パートナーシップ エコシステムを提供します。この互換性により、実装プロセスが合理化され、複数のクラウド環境間で一貫したセキュリティ ポリシーが可能になります。  

ゼロトラストセグメンテーションを始めてクラウド環境を保護

クラウドは現代のビジネス運営の中心ですが、独自のセキュリティ上の課題が伴います。ゼロトラストセグメンテーションをクラウドセキュリティ戦略に統合することで、クラウドでより包括的で堅牢なセキュリティ体制を確立できます。  

Illumio CloudSecureを使用したクラウドでのゼロトラストセグメンテーションの実装の詳細については、今すぐお問い合わせください。