CNAPPとは?徹底解説 - クラウドネイティブ時代のセキュリティプラットフォーム完全ガイド
はじめに
クラウドネイティブアプリケーションの普及に伴い、セキュリティの複雑性は飛躍的に増大しています。従来のCSPMやCWPPといった個別のセキュリティツールでは、クラウド環境全体を包括的に保護することが困難になってきました。
そこで登場したのが CNAPP(Cloud Native Application Protection Platform) です。本記事では、CNAPPの基礎から実践的な活用方法まで、2025年最新の情報を交えて徹底解説します。
対象読者
- クラウドセキュリティの全体像を理解したい方
- CSPM、CWPP、CIEMなどの用語に混乱している方
- CNAPPの導入を検討している方
- DevSecOpsを推進したい方
- セキュリティツールの統合を検討している方
この記事で学べること
- CNAPPの定義と誕生の背景
- CSPM、CWPP、CIEMなど関連技術との違い
- CNAPPの主要な7つの機能
- 2025年のトレンドとベストプラクティス
- 主要ベンダーの比較
- 実際の導入ステップと成功のポイント
目次
- CNAPPとは
- CNAPPが生まれた背景
- 従来のセキュリティソリューションとの違い
- CNAPPの7つの主要機能
- CNAPPのメリット
- 2025年のCNAPPトレンド
- 主要ベンダー比較
- 導入ステップ
- まとめ
CNAPPとは
定義
CNAPP(Cloud Native Application Protection Platform) は、クラウドネイティブアプリケーションを包括的に保護するための統合セキュリティプラットフォームです。
CNAPP = CSPM + CWPP + CIEM + その他のクラウドセキュリティ機能
Gartnerによる定義(2021年):
CNAPPは、クラウドネイティブスタック全体(インフラストラクチャからアプリケーション、データまで)にわたって統合セキュリティを提供する、エンドツーエンドのクラウドネイティブセキュリティソリューションである。
特徴
CNAPPの最大の特徴は、複数のセキュリティ機能を単一のプラットフォームに統合することです。
┌─────────────────────────────────────────────────────────┐
│ CNAPP Platform │
├──────────────┬──────────────┬──────────────┬────────────┤
│ CSPM │ CWPP │ CIEM │ IaC Scan │
│ (ポスチャ管理)│ (ワークロード) │ (権限管理) │ (コード) │
├──────────────┼──────────────┼──────────────┼────────────┤
│ KSPM │ Container │ Secrets │ SBOM │
│(Kubernetes) │ Security │ Management │ (依存関係) │
├──────────────┴──────────────┴──────────────┴────────────┤
│ AI-powered Risk Prioritization │
│ Runtime Threat Detection & Response │
└─────────────────────────────────────────────────────────┘
CNAPPが生まれた背景
クラウドセキュリティの課題
1. ツールの乱立(Tool Sprawl)
従来のクラウドセキュリティでは、多数の専門ツールを個別に導入していました:
| ツール | 目的 | 課題 |
|---|---|---|
| CSPM | クラウド設定の管理 | 静的なチェックのみ |
| CWPP | ワークロード保護 | 実行時の保護のみ |
| CIEM | 権限管理 | アイデンティティに限定 |
| Container Security | コンテナスキャン | コンテナのみ対象 |
| SAST/DAST | アプリケーション脆弱性 | 開発フェーズに限定 |
問題点:
- 各ツールが独立して動作(サイロ化)
- アラート疲れ(Alert Fatigue)
- コンテキスト不足による誤検知
- 運用の複雑性とコスト増加
- セキュリティチーム間の連携不足
2. クラウドネイティブの複雑性
従来のアプリケーション:
┌──────────────┐
│ Monolithic │
│ Application │
│ on VM/PM │
└──────────────┘
クラウドネイティブアプリケーション:
┌─────────────────────────────────────────────────┐
│ Microservices (50+ services) │
├─────┬─────┬─────┬─────┬─────┬─────┬─────┬──────┤
│ K8s │ ECS │Lambda│ API │ S3 │ RDS │Queue│ ... │
├─────┴─────┴─────┴─────┴─────┴─────┴─────┴──────┤
│ Multi-Cloud (AWS, Azure, GCP) │
└─────────────────────────────────────────────────┘
複雑化の要因:
- マイクロサービスアーキテクチャ
- コンテナとオーケストレーション(Kubernetes)
- サーバーレス(Lambda、Cloud Functions)
- マルチクラウド・ハイブリッドクラウド
- IaC(Infrastructure as Code)
- CI/CDパイプラインの高速化
3. 2021年 Gartnerの提唱
Gartnerは2021年に、これらの課題を解決する統合プラットフォームとして CNAPP を提唱しました。
Gartnerの予測(2025年):
2029年までに、統合されたCNAPPソリューションをデプロイしない企業の60%は、クラウド攻撃面への広範な可視性を欠き、ゼロトラストの目標達成に失敗する。
従来のセキュリティソリューションとの違い
CSPM(Cloud Security Posture Management)
定義
CSPM(クラウドセキュリティポスチャ管理) は、クラウドインフラストラクチャの設定を継続的に監視・管理するソリューションです。
主な機能
- クラウドリソースの設定ミスの検出
- コンプライアンス監視(CIS Benchmark、PCI-DSS、HIPAA等)
- セキュリティベストプラクティスのチェック
- 自動修復(Auto-remediation)
対象範囲
┌─────────────────────────────────────────┐
│ CSPM の対象範囲 │
├─────────────────────────────────────────┤
│ ✓ IAM ロールとポリシー │
│ ✓ S3 バケットの公開設定 │
│ ✓ セキュリティグループ │
│ ✓ ネットワーク設定(VPC、Subnet) │
│ ✓ 暗号化設定 │
│ ✓ ログ設定(CloudTrail、GuardDuty) │
│ ✗ ランタイムの脅威検出(対象外) │
│ ✗ アプリケーション層(対象外) │
└─────────────────────────────────────────┘
限界
- 静的なチェック: 設定の状態を確認するのみ
- ランタイム保護なし: 実際の攻撃や異常動作は検出できない
- ワークロード内部は不可視: コンテナやVMの中身は見えない
CWPP(Cloud Workload Protection Platform)
定義
CWPP(クラウドワークロード保護プラットフォーム) は、クラウド上で実行されるワークロード(VM、コンテナ、サーバーレス)を保護するソリューションです。
主な機能
- ランタイム脅威検出
- 脆弱性スキャン
- マルウェア対策
- ファイル整合性監視(FIM)
- アプリケーション制御
- ネットワークセグメンテーション
対象範囲
┌─────────────────────────────────────────┐
│ CWPP の対象範囲 │
├─────────────────────────────────────────┤
│ ✓ VM / コンテナ / サーバーレス │
│ ✓ OS レベルのセキュリティ │
│ ✓ プロセスの監視 │
│ ✓ ネットワークトラフィックの分析 │
│ ✓ ランタイム脅威検出 │
│ ✗ クラウドインフラ設定(対象外) │
│ ✗ IaC / CI/CD パイプライン(対象外) │
└─────────────────────────────────────────┘
限界
- インフラ設定は対象外: クラウドリソースの設定ミスは検出できない
- 開発段階は不可視: コードレベルの脆弱性は見えない
- 権限管理は限定的: IAMやRBACの包括的な管理は難しい
CIEM(Cloud Infrastructure Entitlement Management)
定義
CIEM(クラウドインフラストラクチャ権限管理) は、クラウド環境における過剰な権限やアクセスリスクを管理するソリューションです。
主な機能
- 過剰な権限の検出(Least Privilege原則)
- 未使用の権限の特定
- アクセス権限の可視化
- Just-In-Timeアクセス管理
- 権限の推奨事項
対象範囲
┌─────────────────────────────────────────┐
│ CIEM の対象範囲 │
├─────────────────────────────────────────┤
│ ✓ IAM ユーザー・ロール・ポリシー │
│ ✓ サービスアカウントの権限 │
│ ✓ Kubernetes RBAC │
│ ✓ 過剰な権限の検出 │
│ ✓ アクセスパスの分析 │
│ ✗ ワークロードの脆弱性(対象外) │
│ ✗ ランタイム脅威(対象外) │
└─────────────────────────────────────────┘
限界
- アイデンティティに特化: 他のセキュリティ領域はカバーしない
- 単独では不完全: 脅威検出やポスチャ管理との統合が必要
CNAPPとの比較表
| 項目 | CSPM | CWPP | CIEM | CNAPP |
|---|---|---|---|---|
| 対象フェーズ | デプロイ後 | ランタイム | 全フェーズ | 開発〜ランタイム |
| インフラ設定 | ◎ | △ | △ | ◎ |
| ワークロード保護 | × | ◎ | × | ◎ |
| 権限管理 | △ | × | ◎ | ◎ |
| 脆弱性管理 | × | ○ | × | ◎ |
| IaCスキャン | × | × | × | ◎ |
| コンテナセキュリティ | × | ○ | × | ◎ |
| Kubernetesセキュリティ | △ | ○ | △ | ◎ |
| ランタイム脅威検出 | × | ◎ | × | ◎ |
| リスク優先順位付け | △ | △ | △ | ◎(AIベース) |
| 統合ダッシュボード | 個別 | 個別 | 個別 | 統合 |
| コンテキスト分析 | 限定的 | 限定的 | 限定的 | 包括的 |
凡例:
- ◎: 完全サポート
- ○: 基本サポート
- △: 限定的サポート
- ×: サポートなし
図解: 従来の個別ツール vs CNAPP
従来のアプローチ(個別ツール)
┌─────────────────────────────────────────────────────────┐
│ クラウド環境 │
├────────┬────────┬────────┬────────┬─────────────────────┤
│ Code │ Build │ Deploy │Runtime │ Management │
└────────┴────────┴────────┴────────┴─────────────────────┘
↓ ↓ ↓ ↓ ↓
┌────────┐┌────────┐┌────────┐┌────────┐┌────────────────┐
│ SAST ││Container││ CSPM ││ CWPP ││ CIEM │
│ Tool ││Security││ ││ ││ │
└────────┘└────────┘└────────┘└────────┘└────────────────┘
↓ ↓ ↓ ↓ ↓
┌──────────────────────────────────────────────────────────┐
│ 問題点: │
│ • サイロ化したアラート(数千〜数万件/日) │
│ • コンテキスト不足で優先順位が不明 │
│ • ツール間の連携なし │
│ • 運用の複雑性が高い │
│ • セキュリティチーム間の情報断絶 │
└──────────────────────────────────────────────────────────┘
CNAPPアプローチ(統合プラットフォーム)
┌─────────────────────────────────────────────────────────┐
│ クラウド環境 │
├────────┬────────┬────────┬────────┬─────────────────────┤
│ Code │ Build │ Deploy │Runtime │ Management │
└────────┴────────┴────────┴────────┴─────────────────────┘
↓
┌────────────────────────────────────┐
│ CNAPP Platform │
├────────────────────────────────────┤
│ • IaC Scanning │
│ • Container Security │
│ • CSPM (Posture Management) │
│ • CWPP (Workload Protection) │
│ • CIEM (Entitlement Management) │
│ • KSPM (Kubernetes Security) │
│ • Runtime Threat Detection │
├────────────────────────────────────┤
│ AI-Powered Risk Prioritization │
│ (コンテキスト分析 + リスクスコア) │
└────────────────────────────────────┘
↓
┌────────────────────────────────────┐
│ 統合ダッシュボード │
│ • 優先度付けされたアラート │
│ • 攻撃パス分析 │
│ • 自動修復ガイダンス │
│ • コンプライアンスレポート │
└────────────────────────────────────┘
メリット:
- アラート数を90%以上削減(AIによる優先順位付け)
- 攻撃パス全体を可視化
- コンテキストに基づいた正確なリスク評価
- 単一のダッシュボードで全体を管理
- セキュリティチーム全体の連携強化
CNAPPの7つの主要機能
1. クラウドセキュリティポスチャ管理(CSPM)
機能概要
クラウドインフラストラクチャの設定を継続的に監視し、設定ミスやコンプライアンス違反を検出します。
具体例
# 危険な設定の例: S3バケットがパブリックに公開
resource "aws_s3_bucket" "example" {
bucket = "my-bucket"
acl = "public-read" # ⚠️ CSPMが検出
}
# CSPMのアラート:
# 🔴 HIGH: S3 bucket is publicly accessible
# リスク: データ漏洩の可能性
# 推奨: ACLを"private"に変更
チェック項目の例
- S3バケットの公開設定
- セキュリティグループの0.0.0.0/0許可
- ルートアカウントのMFA未設定
- 暗号化されていないRDSインスタンス
- CloudTrailログの無効化
2. クラウドワークロード保護(CWPP)
機能概要
実行中のワークロード(VM、コンテナ、サーバーレス)をランタイムで保護します。
具体例
# Kubernetes Pod
apiVersion: v1
kind: Pod
metadata:
name: app
spec:
containers:
- name: app
image: nginx:1.19
# CWPPが検出:
# • 脆弱性: CVE-2021-23017 (High)
# • 異常なプロセス起動: /bin/sh
# • 不審なネットワーク接続: 外部IPへのアクセス
監視項目
- プロセスの実行監視
- ファイルシステムの変更検知
- ネットワーク接続の分析
- システムコールの監視
- マルウェアの検出
3. クラウドインフラストラクチャ権限管理(CIEM)
機能概要
過剰な権限やアクセスリスクを特定し、最小権限の原則を実現します。
具体例
// IAMポリシー: 過剰な権限
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*", // ⚠️ CIEMが検出: すべての権限
"Resource": "*"
}
]
}
// CIEMの推奨:
// 🔴 CRITICAL: Overly permissive IAM policy
// 実際の使用: s3:GetObject, s3:PutObject のみ
// 推奨: 必要な権限のみに制限
検出内容
- 未使用の権限
- 過剰な権限を持つロール
- 長期間未使用のアクセスキー
- サービスアカウントの権限過多
- クロスアカウントアクセスのリスク
4. Infrastructure as Code(IaC)スキャン
機能概要
デプロイ前にTerraform、CloudFormation、Kubernetesマニフェストなどをスキャンし、セキュリティ問題を検出します。
具体例
# Terraform コード
resource "aws_security_group" "web" {
name = "web-sg"
ingress {
from_port = 22
to_port = 22
protocol = "tcp"
cidr_blocks = ["0.0.0.0/0"] # ⚠️ IaC Scanが検出
}
}
# IaC Scanの結果:
# 🔴 HIGH: SSH port open to the internet
# ファイル: main.tf:8
# リスク: 不正アクセスの可能性
# 推奨: 特定のIPアドレスに制限
スキャン対象
- Terraform(.tf)
- CloudFormation(.yaml/.json)
- Kubernetes(.yaml)
- Helm Charts
- Dockerfiles
5. コンテナ・Kubernetesセキュリティ(KSPM)
機能概要
コンテナイメージの脆弱性スキャン、Kubernetesクラスタの設定監査、ランタイム保護を提供します。
具体例
# Kubernetes Deployment
apiVersion: apps/v1
kind: Deployment
metadata:
name: app
spec:
template:
spec:
containers:
- name: app
image: myapp:latest
securityContext:
privileged: true # ⚠️ KSPMが検出
runAsUser: 0 # ⚠️ Rootユーザー
# KSPMのアラート:
# 🔴 CRITICAL: Container running as privileged
# 🔴 HIGH: Container running as root (UID 0)
# リスク: コンテナエスケープの可能性
# 推奨: 非特権コンテナに変更、非rootユーザーで実行
チェック項目
- コンテナイメージの脆弱性(CVE)
- Kubernetes設定のベストプラクティス(CIS Benchmark)
- Pod Security Standards違反
- Network Policyの不備
- Secretsの平文保存
6. ランタイム脅威検出・対応(CDR: Cloud Detection and Response)
機能概要
クラウド環境で実行中のリソースに対する攻撃や異常な動作をリアルタイムで検出し、自動対応します。
具体例
# 検出される脅威の例
# 1. クリプトマイニング
# 異常なCPU使用率 + 外部マイニングプールへの接続
🔴 CRITICAL: Cryptomining activity detected
Process: xmrig, CPU: 95%, Network: pool.minexmr.com:4444
# 2. データ漏洩の試み
# 大量のS3オブジェクトへのアクセス
🔴 HIGH: Unusual data exfiltration pattern
S3 GetObject calls: 10,000 in 5 minutes (baseline: 100/5min)
# 3. 横展開の試み
# 内部ネットワークスキャン
🔴 CRITICAL: Internal network scanning detected
Source: 10.0.1.50, Scanned ports: 22, 3389, 445 on 254 hosts
# 4. 認証情報の不正使用
# 異常な地理的位置からのアクセス
🔴 HIGH: Suspicious IAM activity
User: admin, Location: Russia (usual: Japan), Action: s3:ListBuckets
対応アクション
- アラートの送信(Slack、PagerDuty、SIEM連携)
- 自動隔離(ネットワークの切断)
- インスタンスの停止
- IAMクレデンシャルの無効化
- フォレンジック用のスナップショット取得
7. AIによるリスク優先順位付け
機能概要
数千〜数万のアラートの中から、実際にビジネスリスクが高いものをAIが特定し、優先順位を付けます。
具体例
従来のツール(個別アラート):
🔴 HIGH: S3 bucket is public (1,234件)
🔴 HIGH: Container has CVE-2021-12345 (5,678件)
🔴 MEDIUM: Unused IAM role (890件)
...
合計: 10,000+ アラート ← 優先順位不明
CNAPP(AIによる優先順位付け):
┌────────────────────────────────────────────────────────┐
│ 🔴 CRITICAL - 即座に対応が必要(5件) │
├────────────────────────────────────────────────────────┤
│ 1. 公開S3バケット + 機密データ含有 + 外部アクセスあり │
│ リスクスコア: 95/100 │
│ ビジネス影響: データ漏洩、コンプライアンス違反 │
│ 攻撃パス: Internet → S3 → Customer PII │
│ 推奨アクション: バケットを即座にプライベートに変更 │
├────────────────────────────────────────────────────────┤
│ 2. 本番DBへの過剰な権限 + 最近の異常アクセス │
│ リスクスコア: 92/100 │
│ ビジネス影響: データベース侵害 │
│ 攻撃パス: Compromised IAM → RDS → Customer Data │
│ 推奨アクション: IAM権限を最小化、MFA有効化 │
└────────────────────────────────────────────────────────┘
┌────────────────────────────────────────────────────────┐
│ 🟠 HIGH - 24時間以内に対応(20件) │
├────────────────────────────────────────────────────────┤
│ 3. Critical CVE in production container │
│ リスクスコア: 78/100 │
│ ビジネス影響: RCE可能性 │
│ 推奨アクション: イメージをパッチ版に更新 │
└────────────────────────────────────────────────────────┘
┌────────────────────────────────────────────────────────┐
│ 🟡 MEDIUM - 1週間以内に対応(150件) │
└────────────────────────────────────────────────────────┘
┌────────────────────────────────────────────────────────┐
│ ⚪ LOW - 計画的に対応(9,825件) │
└────────────────────────────────────────────────────────┘
AIが考慮する要素
- 脆弱性の深刻度: CVSS スコア
- エクスプロイトの可用性: 実際の攻撃コードの有無
- 資産の重要度: 本番環境か、開発環境か
- データの機密性: PII、クレジットカード情報などの有無
- 攻撃パスの存在: インターネットから到達可能か
- 現在の活動: 実際にアクセスされているか
- ビジネスコンテキスト: 収益に直結するサービスか
CNAPPのメリット
1. セキュリティの向上
包括的な保護
┌──────────────────────────────────────────────────────┐
│ 開発から運用までのフルカバレッジ │
├──────┬─────┬──────┬──────┬──────┬─────────────────┤
│ Code │Build│Deploy│Run │Manage│ │
├──────┼─────┼──────┼──────┼──────┼─────────────────┤
│ IaC │Image│CSPM │CWPP │CIEM │ All Covered │
│ Scan │Scan │Check │Guard │Audit │ by CNAPP │
└──────┴─────┴──────┴──────┴──────┴─────────────────┘
攻撃パスの可視化
CNAPPは、攻撃者がどのような経路で重要な資産に到達できるかを可視化します。
例: 攻撃パスの分析
[Internet]
↓ (Public IP)
[EC2 Instance with vulnerable SSH]
↓ (IAM Role with excessive permissions)
[S3 Bucket with customer data]
🔴 CRITICAL Attack Path Detected!
リスクスコア: 98/100
推奨対策:
1. SSH を特定IPに制限
2. IAM Role を最小権限に変更
3. S3 Bucket Policyを強化
2. 運用効率の向上
アラート疲れの解消
従来:
セキュリティチームが毎日直面する状況:
┌───────────────────────────────────────┐
│ 新しいアラート: 10,547件 │
│ • CSPM: 3,456件 │
│ • CWPP: 5,234件 │
│ • Container Scan: 1,857件 │
├───────────────────────────────────────┤
│ 優先順位不明、どこから手をつけるべきか│
│ セキュリティチームは疲弊... │
└───────────────────────────────────────┘
CNAPP導入後:
AIによる優先順位付け:
┌───────────────────────────────────────┐
│ 対応が必要なアラート: 8件 │
│ 🔴 CRITICAL: 3件(今すぐ対応) │
│ 🟠 HIGH: 5件(24時間以内) │
├───────────────────────────────────────┤
│ 自動修復可能: 1,234件(ワンクリック) │
│ リスク低: 9,310件(計画的に対応) │
└───────────────────────────────────────┘
結果: アラート対応時間 90%削減
自動修復(Auto-remediation)
# 自動修復の例
# 検出: S3バケットが公開状態
🔴 S3 bucket "customer-data" is publicly accessible
# CNAPP の自動対応:
import boto3
s3 = boto3.client('s3')
# 1. バケットACLをプライベートに変更
s3.put_bucket_acl(
Bucket='customer-data',
ACL='private'
)
# 2. パブリックアクセスブロックを有効化
s3.put_public_access_block(
Bucket='customer-data',
PublicAccessBlockConfiguration={
'BlockPublicAcls': True,
'IgnorePublicAcls': True,
'BlockPublicPolicy': True,
'RestrictPublicBuckets': True
}
)
# 3. 監査ログに記録
# 4. セキュリティチームに通知
✅ 修復完了(自動実行時間: 3秒)
3. コスト削減
ツール統合によるコスト削減
従来(個別ツール):
┌──────────────────────────────────────────┐
│ 年間セキュリティツールコスト │
├──────────────────────────────────────────┤
│ CSPM: $50,000 │
│ CWPP: $80,000 │
│ Container Security: $40,000 │
│ CIEM: $30,000 │
│ Vulnerability Scanner: $35,000 │
│ SIEM Integration費用: $20,000 │
├──────────────────────────────────────────┤
│ 合計: $255,000/年 │
└──────────────────────────────────────────┘
運用コスト:
• 複数ツールの管理: 年間500時間
• トレーニングコスト: $15,000
• ツール間連携の開発: 年間200時間
CNAPP導入後:
┌──────────────────────────────────────────┐
│ 年間CNAPPコスト │
├──────────────────────────────────────────┤
│ CNAPP Platform: $120,000 │
├──────────────────────────────────────────┤
│ 年間削減額: $135,000 (53%削減) │
└──────────────────────────────────────────┘
運用コスト削減:
• 統合ダッシュボード: 管理時間70%削減
• トレーニングコスト: 60%削減
• 自動化による効率化: 80%削減
4. DevSecOpsの促進
Shift-Leftセキュリティ
CNAPPは、開発の早い段階(コードを書く時点)でセキュリティ問題を検出します。
┌─────────────────────────────────────────────────────────┐
│ 従来のセキュリティ(Shift-Right) │
├───────┬─────┬──────┬──────┬───────────────────────────┤
│ Code │Build│Deploy│Run │ Problem Discovery │
│ │ │ │ ✓ │ ← 本番環境で問題発覚 │
│ │ │ │ │ コスト: 最大 │
└───────┴─────┴──────┴──────┴───────────────────────────┘
┌─────────────────────────────────────────────────────────┐
│ CNAPP(Shift-Left) │
├───────┬─────┬──────┬──────┬───────────────────────────┤
│ Code │Build│Deploy│Run │ Problem Discovery │
│ ✓ │ ✓ │ ✓ │ ✓ │ ← 全段階で検出 │
│ IaC │Image│CSPM │CWPP │ コスト: 最小 │
│ Scan │Scan │ │ │ │
└───────┴─────┴──────┴──────┴───────────────────────────┘
修正コストの比較:
• コード段階: $100
• ビルド段階: $500
• デプロイ段階: $2,000
• 本番環境: $10,000+
CI/CDパイプライン統合
# GitHub Actions での CNAPP 統合例
name: Security Scan
on:
push:
branches: [main]
pull_request:
branches: [main]
jobs:
security-scan:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v2
# 1. IaC スキャン(Terraform)
- name: CNAPP IaC Scan
run: |
cnapp scan iac --path ./terraform
# 検出: 3 High, 5 Medium issues
# 2. コンテナイメージスキャン
- name: CNAPP Image Scan
run: |
docker build -t myapp:${{ github.sha }} .
cnapp scan image myapp:${{ github.sha }}
# 検出: 2 Critical CVEs
# 3. 脆弱性が見つかった場合、PRをブロック
- name: Check Results
run: |
if [ $CRITICAL_COUNT -gt 0 ]; then
echo "❌ Critical vulnerabilities found!"
exit 1
fi
# 結果: セキュリティ問題がある場合、マージ不可
5. コンプライアンス対応の簡素化
複数のフレームワークに対応
┌──────────────────────────────────────────────────────┐
│ CNAPP Compliance Dashboard │
├──────────────────────────────────────────────────────┤
│ CIS AWS Benchmark: 87% compliant (↑ 12%) │
│ ├─ IAM: 92% │
│ ├─ Logging: 95% │
│ ├─ Monitoring: 78% ⚠️ │
│ └─ Networking: 85% │
├──────────────────────────────────────────────────────┤
│ PCI-DSS: 91% compliant (↑ 8%) │
│ HIPAA: 89% compliant (↑ 15%) │
│ SOC 2: 93% compliant (↑ 5%) │
│ GDPR: 88% compliant (↑ 10%) │
├──────────────────────────────────────────────────────┤
│ 📊 Compliance Report (PDF) │
│ 📧 Auto-send to Auditors (Monthly) │
└──────────────────────────────────────────────────────┘
監査証跡の自動生成
監査レポートの自動生成:
┌────────────────────────────────────────┐
│ 2025年Q1 セキュリティ監査レポート │
├────────────────────────────────────────┤
│ • 検出された問題: 1,234件 │
│ • 修復完了: 1,180件 (95%) │
│ • 平均修復時間: 2.3日 │
│ • コンプライアンススコア: 91% │
│ • リスク低減率: 78% │
├────────────────────────────────────────┤
│ 主な改善項目: │
│ 1. IAM権限の最小化(完了) │
│ 2. 暗号化の全面適用(完了) │
│ 3. ログ監視の強化(進行中) │
└────────────────────────────────────────┘
2025年のCNAPPトレンド
1. AI/機械学習の進化
2025年の最新動向
Sysdig Sage(2025年):
- 自律型AIエージェント: 人間のように考え、推論し、対応
- セマンティック分析: クラウドインフラとワークロードの意味論的な分析
- ビジネスコンテキストの理解: 収益への影響を自動評価
従来のCNAPP:
┌───────────────────────────────────┐
│ 検出: S3 bucket is public │
│ リスク: High │
└───────────────────────────────────┘
2025年のAI-powered CNAPP:
┌───────────────────────────────────────────────────────┐
│ 検出: S3 bucket "customer-payments" is public │
│ AI分析: │
│ • バケット内容: 顧客のクレジットカード情報(PII) │
│ • ビジネス機能: 決済処理システムの一部 │
│ • アクセス状況: 過去7日間で外部からの3,456回アクセス │
│ • 影響範囲: 12,345人の顧客データが漏洩リスク │
│ • 規制: PCI-DSS違反、GDPR違反の可能性 │
│ • 推定損失: $2.5M - $5M(罰金+評判損失) │
│ リスクスコア: 98/100 🔴 CRITICAL │
│ 推奨対応: 即座にバケットをプライベートに変更 │
│ 自動修復: 可能(ワンクリック) │
└───────────────────────────────────────────────────────┘
AIによる攻撃予測
# AI による攻撃シナリオの予測
🤖 Sysdig AI Analysis:
"現在の環境設定から、以下の攻撃シナリオが可能です:"
攻撃シナリオ #1 (確率: 87%)
┌─────────────────────────────────────────────┐
│ 1. 公開されたEC2インスタンス(SSH脆弱性) │
│ ↓ (exploit CVE-2024-12345) │
│ 2. EC2のIAMロールを取得 │
│ ↓ (ec2:DescribeInstances権限を悪用) │
│ 3. 他のEC2インスタンスを列挙 │
│ ↓ (横展開) │
│ 4. RDS Databaseへの接続情報を取得 │
│ ↓ (過剰な権限により可能) │
│ 5. 顧客データベースへアクセス │
│ │
│ 推定攻撃所要時間: 2-4時間 │
│ ビジネス影響: データベース侵害 │
└─────────────────────────────────────────────┘
推奨対策(優先順位順):
✅ 1. EC2のSSHを特定IPに制限(即時)
✅ 2. IAMロールを最小権限に変更(24時間以内)
✅ 3. Network Segmentationを実装(1週間以内)
2. ランタイムセキュリティの重視
Gartner 2025 Market Guideによると、「ランタイムの可視性はもはやオプションではない」と明言されています。
ランタイムファーストアプローチ
┌──────────────────────────────────────────────────────┐
│ 従来のアプローチ: 静的分析中心 │
├──────────────────────────────────────────────────────┤
│ Code → Build → Deploy → [Run] │
│ ✓ ✓ ✓ ? │
│ 静的スキャン 実際の動作は不明 │
└──────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────┐
│ 2025年: ランタイムファーストアプローチ │
├──────────────────────────────────────────────────────┤
│ Code → Build → Deploy → [Run] ← ここが最重要 │
│ ✓ ✓ ✓ ✓✓✓ │
│ ↓ │
│ リアルタイムで脅威を検出 │
│ 実際の攻撃を防御 │
└──────────────────────────────────────────────────────┘
理由:
- 静的スキャンでは検出できない攻撃が増加
- ゼロデイ脆弱性への対応
- サプライチェーン攻撃の増加
- 実行時の動作異常検出が必須
3. ゼロトラスト統合
CNAPPとゼロトラストの統合
┌────────────────────────────────────────────────────────┐
│ ゼロトラストの原則 │
├────────────────────────────────────────────────────────┤
│ 1. 決して信頼せず、常に検証する │
│ 2. 最小権限アクセス │
│ 3. 侵害を前提とした設計 │
└────────────────────────────────────────────────────────┘
↓ CNAPPが実現
┌────────────────────────────────────────────────────────┐
│ CNAPPによるゼロトラストの実装 │
├────────────────────────────────────────────────────────┤
│ • CIEM: 最小権限の自動実施 │
│ • CSPM: 設定の継続的な検証 │
│ • CWPP: ワークロードの動作を常に監視 │
│ • CDR: 侵害を即座に検出・対応 │
│ • Network Segmentation: マイクロセグメンテーション │
└────────────────────────────────────────────────────────┘
Gartnerの予測(再掲)
2029年までに、統合されたCNAPPソリューションをデプロイしない企業の60%は、クラウド攻撃面への広範な可視性を欠き、ゼロトラストの目標達成に失敗する。
4. AIワークロードのセキュリティ
AI時代の新たなリスク
Wiz State of AI in the Cloud 2025:
- 85%の企業がAIサービスやツールを使用
- AIアプリケーションの普及により、新たな攻撃面が拡大
AIワークロードの脅威:
┌────────────────────────────────────────────┐
│ 1. モデルの盗難 │
│ • 学習済みモデルへの不正アクセス │
│ • 企業の競争優位性の喪失 │
│ │
│ 2. データポイズニング │
│ • 学習データの改ざん │
│ • モデルの精度低下、バックドア挿入 │
│ │
│ 3. プロンプトインジェクション │
│ • LLMへの悪意のある入力 │
│ • 機密情報の漏洩 │
│ │
│ 4. 過剰な権限 │
│ • AIサービスへの広範なアクセス権限 │
│ • 侵害時の影響範囲拡大 │
└────────────────────────────────────────────┘
CNAPPによるAIワークロードの保護
# AI/MLワークロードのセキュリティ例(SageMaker)
# CNAPPが検出する問題:
🔴 CRITICAL: SageMaker notebook has public access
🔴 HIGH: Training data in S3 is unencrypted
🔴 HIGH: Model endpoint allows access from 0.0.0.0/0
🟠 MEDIUM: IAM role has excessive permissions
# CNAPPの推奨対策:
✅ 1. Notebook を VPC 内に配置
✅ 2. S3 データの暗号化を有効化(SSE-KMS)
✅ 3. エンドポイントをVPC Endpointに制限
✅ 4. IAMロールを最小権限に変更
✅ 5. モデルのアクセスログを有効化
Sysdig CNAPP の特徴(2025年)
1. AI-Powered CNAPP with Sysdig Sage
┌──────────────────────────────────────────────────────┐
│ Sysdig Sage: AI エージェント │
├──────────────────────────────────────────────────────┤
│ • セマンティック分析: クラウド環境の意味論的理解 │
│ • ビジネスコンテキスト: 収益への影響を自動評価 │
│ • 攻撃経路分析: 複雑な攻撃パスを可視化 │
│ • 自動修復ガイダンス: ステップバイステップの手順 │
│ • リスク優先順位付け: ビジネスリスクベースの評価 │
└──────────────────────────────────────────────────────┘
2. ランタイムファースト
Sysdig のアプローチ:
┌────────────────────────────────────────┐
│ Runtime Insights (実際の動作) │
│ ↓ │
│ Risk Prioritization (リスク評価) │
│ ↓ │
│ Code to Cloud (全体の可視性) │
└────────────────────────────────────────┘
メリット:
• 実際に動作している脅威を優先
• 誤検知を大幅に削減
• インシデント対応時間の短縮
3. eBPF技術
eBPF (extended Berkeley Packet Filter):
┌────────────────────────────────────────┐
│ カーネルレベルで動作 │
│ • システムコールの監視 │
│ • ネットワークトラフィックの分析 │
│ • ファイルシステムの監視 │
│ • プロセスの実行追跡 │
├────────────────────────────────────────┤
│ メリット: │
│ ✓ 低オーバーヘッド(< 1% CPU) │
│ ✓ カーネルモジュール不要 │
│ ✓ 安全性(サンドボックス実行) │
│ ✓ リアルタイム可視性 │
└────────────────────────────────────────┘
4. 包括的なカバレッジ
Sysdig Platform Coverage:
┌────────────────────────────────────────────────────┐
│ Code Stage │
│ ✓ IaC Scanning (Terraform, CloudFormation) │
│ ✓ CI/CD Integration (GitHub, GitLab, Jenkins) │
├────────────────────────────────────────────────────┤
│ Build Stage │
│ ✓ Container Image Scanning │
│ ✓ SBOM Generation │
│ ✓ Vulnerability Database (実時間更新) │
├────────────────────────────────────────────────────┤
│ Deploy Stage │
│ ✓ CSPM (AWS, Azure, GCP, OCI) │
│ ✓ KSPM (Kubernetes Security) │
│ ✓ Compliance Checks │
├────────────────────────────────────────────────────┤
│ Runtime Stage │
│ ✓ CWPP (eBPF-based monitoring) │
│ ✓ CDR (Cloud Detection & Response) │
│ ✓ Forensics (インシデント調査) │
├────────────────────────────────────────────────────┤
│ Management │
│ ✓ CIEM (Entitlement Management) │
│ ✓ Drift Detection (設定の変更検知) │
│ ✓ AI-powered Risk Prioritization │
└────────────────────────────────────────────────────┘
5. 受賞歴(2025年)
- IDC MarketScape Leader (2025): Worldwide CNAPP Vendor Assessment
- Gartner Market Guide (2025): 推奨ベンダーとして掲載
- SC Award (2025): Best Cloud Workload Protection Solution
導入ステップ
Step 1: 現状分析
現在のクラウドセキュリティ状況の評価
チェックリスト:
┌────────────────────────────────────────────┐
│ 現状のセキュリティツール │
│ □ CSPM: __________ │
│ □ CWPP: __________ │
│ □ Container Security: __________ │
│ □ CIEM: __________ │
│ □ その他: __________ │
├────────────────────────────────────────────┤
│ 現在の課題 │
│ □ アラートが多すぎる │
│ □ 優先順位が不明 │
│ □ ツールが多すぎて管理が大変 │
│ □ セキュリティチーム間の連携不足 │
│ □ DevSecOpsが機能していない │
│ □ コンプライアンス対応が困難 │
├────────────────────────────────────────────┤
│ ビジネス要件 │
│ □ 対象クラウド: AWS / Azure / GCP │
│ □ ワークロード: VM / Container / Serverless│
│ □ コンプライアンス: PCI-DSS / HIPAA / etc │
│ □ 予算: __________ │
└────────────────────────────────────────────┘
Step 2: ベンダー選定
評価項目
| 評価項目 | 重要度 | チェックポイント |
|---|---|---|
| 対応クラウド | 高 | AWS、Azure、GCP、マルチクラウド対応 |
| ランタイム保護 | 高 | eBPF、エージェントベース、エージェントレス |
| AI/機械学習 | 中 | リスク優先順位付け、攻撃経路分析 |
| 統合性 | 高 | SIEM、SOAR、CI/CD統合 |
| コンプライアンス | 高 | 対応フレームワーク(CIS、PCI-DSS、HIPAA等) |
| コスト | 高 | 価格モデル、スケーラビリティ |
| サポート | 中 | 日本語サポート、ドキュメント |
| 導入の容易さ | 中 | エージェントレス、自動検出 |
POC(Proof of Concept)の実施
POC計画(4週間):
┌──────────────────────────────────────────┐
│ Week 1: 環境構築とエージェント導入 │
│ • 開発環境で試験的に導入 │
│ • 基本的な可視性の確認 │
├──────────────────────────────────────────┤
│ Week 2: アラートとリスク評価 │
│ • 検出されたアラートの確認 │
│ • 誤検知率の測定 │
│ • リスク優先順位付けの精度評価 │
├──────────────────────────────────────────┤
│ Week 3: 統合とワークフロー │
│ • SIEM連携(Splunk、Elastic等) │
│ • CI/CD統合(GitHub Actions等) │
│ • 自動修復の試験 │
├──────────────────────────────────────────┤
│ Week 4: 評価とレポート │
│ • ROI計算 │
│ • セキュリティチームのフィードバック │
│ • 本番導入計画の策定 │
└──────────────────────────────────────────┘
Step 3: 段階的な導入
フェーズ1: 可視性の確立(1-2ヶ月)
目標: クラウド環境全体の可視化
┌────────────────────────────────────────┐
│ 1. エージェント/スキャナーのデプロイ │
│ • CSPMの有効化 │
│ • 全リソースの自動検出 │
│ │
│ 2. ベースライン構築 │
│ • 現在のセキュリティポスチャ評価 │
│ • コンプライアンススコア測定 │
│ │
│ 3. ダッシュボード構築 │
│ • セキュリティチーム向け │
│ • 経営層向けレポート │
└────────────────────────────────────────┘
KPI:
✓ 全クラウドアカウントの可視化: 100%
✓ 全ワークロードの検出: > 95%
✓ ダッシュボードへの日次アクセス: > 80%
フェーズ2: ワークロード保護(2-3ヶ月)
目標: ランタイム保護の有効化
┌────────────────────────────────────────┐
│ 1. CWPPエージェントのデプロイ │
│ • 重要なワークロードから開始 │
│ • 段階的に全ワークロードに拡大 │
│ │
│ 2. コンテナセキュリティ │
│ • イメージスキャンの自動化 │
│ • Kubernetes監視の有効化 │
│ │
│ 3. 脅威検出ルールの調整 │
│ • 環境に合わせたチューニング │
│ • 誤検知の削減 │
└────────────────────────────────────────┘
KPI:
✓ ワークロード保護率: > 90%
✓ 脅威検出の精度: > 95%
✓ 平均検出時間(MTTD): < 5分
フェーズ3: 自動化と統合(3-4ヶ月)
目標: DevSecOpsの実現
┌────────────────────────────────────────┐
│ 1. CI/CD統合 │
│ • IaCスキャンの自動化 │
│ • イメージスキャンのパイプライン統合 │
│ • ポリシーゲートの設定 │
│ │
│ 2. 自動修復の有効化 │
│ • 低リスク項目の自動修復 │
│ • 承認ワークフローの設定 │
│ │
│ 3. SIEM/SOAR連携 │
│ • アラートの自動転送 │
│ • インシデント対応の自動化 │
└────────────────────────────────────────┘
KPI:
✓ CI/CDでの自動スキャン率: 100%
✓ 自動修復率: > 70%
✓ 平均対応時間(MTTR): < 1時間
フェーズ4: 最適化と拡張(継続的)
目標: 継続的な改善
┌────────────────────────────────────────┐
│ 1. ポリシーの最適化 │
│ • 誤検知の継続的な削減 │
│ • カスタムルールの追加 │
│ │
│ 2. 新機能の活用 │
│ • AI機能の活用拡大 │
│ • 新しいクラウドサービスへの対応 │
│ │
│ 3. チームのスキルアップ │
│ • トレーニングの実施 │
│ • ベストプラクティスの共有 │
└────────────────────────────────────────┘
KPI:
✓ セキュリティポスチャスコア: > 90%
✓ コンプライアンススコア: > 95%
✓ セキュリティインシデント: 前年比50%減
Step 4: 成功のポイント
1. 経営層のサポート獲得
経営層向けプレゼンテーション:
┌────────────────────────────────────────┐
│ CNAPPのビジネス価値 │
├────────────────────────────────────────┤
│ 💰 コスト削減 │
│ • セキュリティツールの統合: -53% │
│ • 運用工数の削減: -70% │
│ │
│ 🔒 リスク低減 │
│ • セキュリティインシデント: -50% │
│ • データ漏洩リスク: -80% │
│ │
│ ⚡ ビジネス加速 │
│ • デプロイ速度: +40% │
│ • 開発者の生産性: +30% │
│ │
│ ✅ コンプライアンス │
│ • 監査対応時間: -60% │
│ • コンプライアンススコア: +20% │
└────────────────────────────────────────┘
2. セキュリティチームの巻き込み
チーム体制:
┌────────────────────────────────────────┐
│ CNAPPチャンピオン │
│ ├─ セキュリティリード(1名) │
│ │ • 全体統括、戦略策定 │
│ │ │
│ ├─ CSPM担当(1-2名) │
│ │ • ポスチャ管理、コンプライアンス │
│ │ │
│ ├─ CWPP担当(1-2名) │
│ │ • ワークロード保護、脅威対応 │
│ │ │
│ ├─ DevSecOps担当(1-2名) │
│ │ • CI/CD統合、開発者サポート │
│ │ │
│ └─ インシデント対応(2-3名) │
│ • 24/7監視、インシデント調査 │
└────────────────────────────────────────┘
3. 開発チームとの協力
DevSecOpsの実践:
┌────────────────────────────────────────┐
│ 開発者向けトレーニング │
│ • CNAPPの基本操作(2時間) │
│ • セキュアコーディング(4時間) │
│ • インシデント対応(2時間) │
├────────────────────────────────────────┤
│ 開発プロセスへの統合 │
│ • PR作成時の自動スキャン │
│ • 脆弱性の早期検出とフィードバック │
│ • セキュリティチャンピオン制度 │
├────────────────────────────────────────┤
│ KPI │
│ • セキュアコーディングトレーニング参加率│
│ • セキュリティ問題の平均修正時間 │
│ • 本番環境でのセキュリティインシデント │
└────────────────────────────────────────┘
まとめ
CNAPPとは何か?
CNAPP(Cloud Native Application Protection Platform) は、クラウドネイティブアプリケーションを包括的に保護する統合セキュリティプラットフォームです。
┌──────────────────────────────────────────────────────┐
│ CNAPP = 統合プラットフォーム │
├──────────────────────────────────────────────────────┤
│ • CSPM: クラウド設定の管理 │
│ • CWPP: ワークロード保護 │
│ • CIEM: 権限管理 │
│ • IaC Scanning: コードレベルのセキュリティ │
│ • KSPM: Kubernetesセキュリティ │
│ • Runtime Protection: ランタイム脅威検出 │
│ • AI-powered Risk Prioritization: リスク優先順位付け │
└──────────────────────────────────────────────────────┘
なぜ今CNAPPが必要なのか?
1. クラウドネイティブの複雑性
マイクロサービス、コンテナ、サーバーレス、マルチクラウドにより、従来のツールでは対応しきれなくなっています。
2. ツールの乱立による疲弊
個別のセキュリティツールによるアラート疲れと、サイロ化した運用が課題です。
3. Gartnerの予測
2029年までに、CNAPPを導入しない企業の60%はゼロトラストの目標達成に失敗すると予測されています。
CNAPPがもたらす価値
✅ セキュリティの向上
- 開発から運用まで全フェーズでの保護
- 攻撃パスの可視化
- リアルタイム脅威検出
✅ 運用効率の向上
- アラート数の90%削減
- 自動修復による工数削減
- 統合ダッシュボード
✅ コスト削減
- ツール統合による50%以上のコスト削減
- 運用工数の70%削減
✅ DevSecOpsの実現
- Shift-Leftセキュリティ
- CI/CD統合
- 開発速度の向上
✅ コンプライアンス対応
- 複数フレームワークへの対応
- 自動レポート生成
- 監査工数の削減
2025年のトレンド
🤖 AI/機械学習の進化
Sysdig Sageのような自律型AIエージェントが、ビジネスコンテキストを理解してリスクを評価します。
🔍 ランタイムセキュリティの重視
静的スキャンだけでなく、ランタイムでの脅威検出が必須となっています。
🔐 ゼロトラスト統合
CNAPPはゼロトラスト実現の重要な基盤となります。
🧠 AIワークロードの保護
AI/MLワークロードの増加に伴う新たなセキュリティリスクへの対応が求められます。
次のステップ
- 現状分析: 現在のセキュリティツールと課題を洗い出す
- ベンダー評価: POCを実施して自社に合ったCNAPPを選定
- 段階的導入: 可視性 → 保護 → 自動化の順に進める
- 継続的改善: ポリシーを最適化し、新機能を活用
参考リンク
公式ドキュメント
関連記事
クラウドセキュリティベストプラクティス
- AWS Well-Architected Framework - Security Pillar
- Azure Security Best Practices
- GCP Security Best Practices
この記事が役に立ったら、いいねとストックをお願いします!
質問やフィードバックがあれば、コメント欄でお気軽にどうぞ!