0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@mito_tenableinTenable Network Security Japan

CNAPP界隈のベンダー比較

0
Last updated at Posted at 2025-07-31

Cloud Security Showdownというイベントが2025年6月5日にオンラインで開催されました。このイベントでは、主要なクラウドネイティブアプリケーション保護プラットフォーム(CNAPP)が、セールストークなしで連続して製品デモを披露しました。各プラットフォームの機能について明確な理解を提供することを目的としており、CNAPPとは何か、また市場が統合プラットフォームへとどのように進化したかについての解説も行われました。

クラウドセキュリティの世界は常に進化しており、現在のデジタル環境では、脅威がより頻繁かつ複雑になるにつれて、堅牢なクラウドセキュリティ戦略を持つことが不可欠です。

このイベントで登壇した各ベンターの特徴を以下にまとめました。

Armo(アーモ)

Armoは、オープンソースの「Kubescape」プロジェクト(Cloud Native Computing FoundationおよびLinux Foundationに寄贈済み)を基盤としています。彼らのプラットフォームは、ランタイムとオープンソースによって駆動され、環境にデプロイされるすべての要素がKubescapeに基づいています。

  • 行動ベースのAIモデル: 各アセットに行動ベースのAIモデルを構築し、それを用いて脅威の検出と対応を行うだけでなく、予防ポリシー、対応ポリシー、スマートな修復アドバイスも提供します。

  • トップリスクへの焦点: 環境内のトップリスクに焦点を当て、設定ミス、ランタイム情報、脆弱性を組み合わせてセキュリティ問題を特定します。

  • 詳細な可視性: すべてのクラウド環境アセットをスキャンし、各アセットのリアルタイムかつ詳細なランタイムビューを提供します。アプリケーションの行動プロファイル(プロセス、ファイルアクセス、API使用、ネットワークトラフィックなど)を深く分析し、異常検出に活用します。

  • 攻撃経路分析と修復: MITRE ATT&CKフレームワークに基づき、攻撃者が組織に侵入するために取りうるさまざまなステップを可視化します。ネットワークポリシーの推奨など、具体的な修復策を提供し、攻撃の連鎖を断ち切ることを目指します。

  • スマートな修復: 脆弱性や設定ミスに対し、アプリケーションを壊さずにセキュリティとコンプライアンスを強化するためのスマートな修復アドバイスを提供します。

Lacework / Fortinet(レースワーク / フォーティネット)

旧LaceworkであるFortinet(現FortiCNAP)は、クラウドとネットワークセキュリティが融合する領域に特化したプラットフォームです。彼らは、単一の検出エンジン(異常ベースおよび静的ルールベース)を強調し、ハイブリッドおよびマルチクラウド環境全体で深い可視性を提供します。

  • リスクと脅威の統合: クラウドセキュリティをリスク(予防的措置、設定ミス、脆弱なコード、過剰な権限などの削減)と脅威(既にシステムに侵入した攻撃者への対応)の2つの側面に分けてアプローチします。

  • コンプライアンス管理: 設定データをさまざまなコンプライアンスフレームワークに統合し、監査対応を簡素化します。

  • コードセキュリティ: ランタイムだけでなく、コードレベルでの脆弱性(例: log4j)を特定し、優先順位付けの重要性を強調します。Smart Fix機能により、既知の脆弱性がない依存関係のバージョンを推奨し、開発者の修正作業を効率化します。

  • ID管理: アイデンティティの最終使用時期、割り当てられた権限、使用状況などを監視し、過剰にプロビジョニングされたアイデンティティに関連するリスクを特定します。

  • 統合された攻撃経路分析(Explore/Exposure Polygraphs): 複数のシステムからのデータを統合し、パブリックインターネットから脆弱なアセット、そしてその背後にある他のアセットへの接続をグラフで可視化します。これにより、個々の問題を見るだけでは分からない文脈的なリスクの重要性を強調します。

  • 異常検知: ハードコードされたルールに頼るだけでなく、システムにおける通常の振る舞いをベースライン化し、新たな振る舞いや関係性が見られた場合にのみ通知することで、アラート量を削減します。

Orca Security(オルカセキュリティ)

Orcaは、エージェントレスアプローチの先駆者として知られ、コンテキスト豊かなクラウドセキュリティプラットフォームを提供しています。

  • エージェントレス技術(サイドスキャンニング): 独自のサイドスキャンニング技術を通じて、ワークロード、データベース、ストレージバケットなどのコンポーネントをスキャンし、エージェントなしでデータを収集します。

  • 脅威インテリジェンスとの連携: ニュースソースやOrcaの研究チームからの最新の脆弱性情報(例: Apache Tomcatの脆弱性)をクロスリファレンスし、組織がその脆弱性によって影響を受けているかどうかを迅速に特定します。

  • AIによる修復計画: OrcaのAIを活用して、発見された脆弱性に対する修復計画を自動生成し、必要に応じてTerraformスクリプトなどのコードレベルでの具体的な修正案を提供します。

  • セキュリティスコア: 疑わしいアクティビティ、リスクのあるデータ、脆弱性管理、チームの対応性といった主要な領域において組織のセキュリティ状態を評価する独自のセキュリティスコアを提供し、ベンチマークと比較して進捗を追跡できます。

  • 攻撃経路分析: 複数のリスク要因を組み合わせて、単一のリスクが環境にどのように影響するかだけでなく、何に接続されているかを理解するのに役立つ攻撃経路分析ダッシュボードを提供します。特に「放置されたアセット」が攻撃者に足がかりを与えるリスクを強調します。

  • アプリケーションセキュリティとCloud-to-Dev: Gitリポジトリの設定ミスやコード内の脆弱性(SCA、オープンソースライセンススキャンなど)をスキャンし、CI/CDから本番環境までのリスクと脆弱性をソースにまで追跡できるCloud-to-Dev機能により、セキュリティチームの時間を節約します。

  • クラウド検出と対応(CDR): クラウド監査ログデータとOrcaセンサーからのデータを組み合わせて、不審なアクティビティ、マルウェア、アクティブな攻撃などをリアルタイムで検出します。

Sweet Security(スイートセキュリティ)

Sweetは、従来のCNAPが「Code to Cloud」であるのに対し、「Cloud to Code」ランタイムファーストのアプローチを提唱しています。これにより、アプリケーションがライブになった後に実際にランタイムで何が起きているかから分析を始めます。

  • ホリスティックなランタイム検出: クラウド攻撃のすべてのレイヤー(アプリケーション、ワークロード、マネージドサービス)をカバーする包括的なランタイムアプローチを持ち、予測できない攻撃者のエントリーポイントに対応します。

  • インシデントの集約(Stories): 時間、行動、場所などに基づいて複数の検出結果を**「インシデント」として集約**し、攻撃の全体像を提供します。AI駆動のストーリーテラー機能により、インシデントの自然言語サマリーを自動生成し、平均解決時間(MTR)を大幅に短縮します。

  • 統合グラフ: クラウドインフラ、アプリケーション、ワークロードの3つの攻撃レイヤーにわたる検出を統合されたグラフで可視化します。手動セッションの可視化や、個人(例: Barack)が関与したアクティビティの追跡も可能です。

  • ランタイム脆弱性管理: EBPFセンサーを利用して、脆弱なパッケージが実際にメモリにロードされているか、脆弱な機能が使用されているかを特定し、開発チームが対処すべき脆弱性の数を大幅に削減します。また、**「Sweet Score」**という独自のAIエンジンを活用したスコアリングで、脆弱性の実際の関連性を評価します。

  • APIセキュリティ: EBPFセンサーにより、トラフィックミラーリングやVPCフローログなしでAPIテレメトリを収集します。公開されたAPIの脆弱性を能動的にテストし、OSトップ10などの既知の弱点に基づいて脆弱性を特定します。リアルタイムでの攻撃試行を検出し、ファイアウォールブロックリストへの追加など、即時対応を支援します。

  • リアルタイム設定ミス監視: SlomiがS3バケットを公開するなどの設定変更をリアルタイムで監視し、即座にアラートを発生させます。

Sysdig(シズディグ)

Sysdigは、そのオープンソースのルーツ(FalcoやStratosharkなど)に深く根ざしたプラットフォームであり、データの可視化とセキュリティに焦点を当てています。

  • データ中心のアプローチ: セキュリティをデータの問題と捉え、クラウド環境内の膨大な情報を意味のある形で可視化することに注力しています。

  • 統合された攻撃経路ビュー: 脅威とリスクの全体像を提供し、脆弱性、設定ミス、露出したリソースなど、さまざまな要素を組み合わせて攻撃経路を可視化します。

  • DevOpsに焦点を当てた修復: 修復プロセスをDevOpsのワークフローに統合し、YAMLスペックの提供やプルリクエストの直接オープンなど、開発者が修正を適用しやすい形式でガイダンスを提供します。

  • Sage Search (AI活用): Sage Search機能により、自然言語でクエリを入力することで、ユーザーが独自の範囲のリスクを構築し、それらをカスタマイズされたリスクとして保存できるようにします。

  • 柔軟な検出ルール: 検出ルールが完全に公開されており、ユーザーがルールをカスタマイズし、ノイズを調整できるようにすることで、検出の柔軟性を高めます。

  • 広範なOSおよびワークロードサポート: Linux、Windows、Fargateなど、幅広いOSおよびワークロードタイプをサポートし、エージェントレスおよびエージェントベースのスキャン機能を提供します。Falcoを通じて、クラウドネイティブ環境のIDSとして機能します。

SentinelOne(センチネルワン)

SentinelOneは、自律型AIと統合されたデータレイクアプローチを特徴とし、エンドポイント、クラウド、アイデンティティにわたる統一されたセキュリティプラットフォームを提供します。

  • 統合されたデータレイク: エンドポイント、クラウド、アイデンティティからのテレメトリを単一のバックエンドデータレイクに統合することで、攻撃対象領域全体にわたる脅威を包括的に把握します。

  • オフェンシブセキュリティエンジン: 公開されたエクスポージャーに対する定義済みペイロードを送信し、本当に悪用可能な脆弱性を**「検証済み公開エクスポージャー」**として特定します。これにより、注目すべきリスクの数を大幅に削減し、最も重要な脅威に焦点を当てることができます。

  • シークレットスキャン: 約800種類のシークレットタイプをスキャンし、検出されたシークレットがまだ有効であるかをバックエンドAPIと通信して確認します。

  • 脆弱性管理の焦点: 脆弱性をEPSSスコア(30日以内に悪用される可能性)やエクスプロイトの成熟度(使用の容易さ)に基づいて優先順位付けし、修正が利用可能であるかどうかも示します。

  • コンプライアンス管理: CISベンチマーク、PCI、HIPAA、GDPR、ISO 27001など、100以上のコンプライアンスフレームワークをサポートし、環境全体のスコアを可視化します。

  • コンテナセキュリティと停止能力: Kubernetes環境での脅威を検出、可視化するだけでなく、リアルタイムでの停止能力(プロセスやコンテナの終了)を提供します。

  • クラウド検出と対応(CDR): クラウドログソース(CloudTrailなど)からのイベントを監視し、不審なコントロールプレーンイベントやリアルタイムの変更を検出するための600以上のプリセットルールを提供します。

  • Hyperautomation: APIを持つあらゆるシステム(クラウドサービスプロバイダー、セキュリティベンダーなど)と統合し、アラートに基づいて自動化された応答ワークフローを作成することを可能にします。

  • Purple AI: 生成AIを活用してアラートや調査結果の要約を生成し、脅威ハンティング活動を強化します。

Tenable Cloud Security(テナブルクラウドセキュリティ)

Tenable Cloud Securityは、アイデンティティを最優先するアプローチを特徴とし、マルチクラウド環境におけるアイデンティティとアクセス管理をセキュリティの「要」と見なします。

  • アイデンティティファーストのアプローチ: クラウドにおける問題の80%以上がアイデンティティとエンタイトルメントの管理ミスに起因するという考えに基づき、アイデンティティとアクセス管理(IAM)をセキュリティの中心に据えます。

  • 発信者(Originator) の追跡: 組織のアイデンティティプロバイダー(Okta、Entra ID, Google workspaceなど)と連携し、AWSの単一ロールを使用する多数の開発者の中から、誰が、いつ、どのアセットで何を行ったかを特定します。

  • 包括的なリスク評価: アイデンティティとアクセス、クラウド設定、脆弱性、Kubernetes環境、データリソースなど、CNAPのすべての側面をカバーします。特に有害な組み合わせ(例: 公開されたワークロードに存在するクリティカルな脆弱性とダウンストリームのアクセス)に焦点を当てます。

  • 動的なリスク割り当て: 検出された問題に対し、コンテキストに基づいて動的にリスクを割り当てます。例えば、使用されていないまたは過剰な権限を持つロールが攻撃者に悪用される可能性を強調します。

  • 最小特権ポリシーの自動生成: アクティビティに基づいて、最小特権(Principal of least privilege) ポリシーを自動的に生成する機能を提供し、過剰な権限を削減する具体的なステップを提供します。

  • ジャストインタイム(JIT)アクセス: 必要な時にのみアクセスを許可する JITプログラムの実装を支援し、定常的な特権を削減します。SlackやTeamsとの統合、専用のJITポータルも提供します。

  • Tenable脆弱性データベースとの連携: Tenableの巨大な脆弱性データベースを活用し、エージェントレスまたはエージェントベースのアプローチでクラウド脆弱性評価を実施します。独自の 脆弱性優先順位評価(VPR) スコアを使用し、悪用される可能性が高い脆弱性に焦点を当てます。

  • コードからクラウドへの修復: 設定ミスや過剰な権限を持つリソースを特定した場合、関連するコードに直接修復を提案し、開発ライフサイクルの初期段階で問題を解決する「Cloud to Code」アプローチをサポートします。

まとめ

クラウドセキュリティは、もはや単一のツールやアプローチで完結するものではありません。Armoのオープンソースと行動ベースAI、Lacework/Fortinetの統合された脅威・リスク管理、OrcaのエージェントレスとAI活用、Sweetのランタイムファーストと詳細な攻撃ストーリー、SysdigのオープンソースとDevOps連携、SentinelOneの統合データレイクとプロアクティブな脅威対策、そしてTenable Cloud Securityのアイデンティティ・ファーストのアプローチは、それぞれがクラウドセキュリティの複雑な課題に対して独自の、そして強力な解決策を提供しています。
これらの革新的なソリューションは、企業がクラウド環境を保護し、進化するデジタル脅威に効果的に対抗するための重要なツールとなるでしょう。

ぜひ当社にお声がけください!こちらまで!

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?