Tenable Cloud Securityが提供する包括的なCNAPPソリューション

クラウドネイティブ時代のセキュリティ：Tenable Cloud Securityが提供する包括的なCNAPPソリューション

Tenable Cloud Security が提供するクラウドセキュリティについて詳細はこちらから

現代のクラウド環境は、その動的な性質と急速な進化により、セキュリティの複雑性が増しています。この複雑性に対処し、効果的なセキュリティを維持するために不可欠なのが、CNAPP（Cloud-Native Application Protection Platform） という統合されたセキュリティアプローチです。Tenable Cloud Securityは、このCNAPPの理念を具現化し、お客様のマルチクラウドおよびオンプレミス環境をエンドツーエンドで保護する強力なプラットフォームとして機能します。

Tenable Cloud Securityは、以下の主要なCNAPP機能群を単一のプラットフォーム上で提供し、クラウドセキュリティ管理の課題を簡素化します。

1. クラウドセキュリティポスチャ管理（CSPM）

Tenable Cloud SecurityのCSPM機能は、クラウド環境の設定を継続的にスキャンし、誤設定やコンプライアンス違反を特定します。

• 全てのクラウド資産の可視化
  マルチクラウド環境全体のセキュリティリスクを包括的に理解し、管理することができます。また、シャドーリソースのような管理されてない資産も全て抽出することができます。

• 豊富なコンプライアンスカバレッジ
  AWS Foundational Security Best Practices、CIS、CSA CCMといった業界標準のセキュリティベストプラクティスに加え、NIST 800、ISO 27001、PCIDSSなど、多様なコンプライアンスに準拠しているかを確認できます。

• ポリシーの適用とカスタマイズ
  ID、ネットワーク、データ、コンピューティングリスクに関する予防的セキュリティポリシーを強制し、不正アクセスを防ぐための自動化されたガードレールを定義できます。また、カスタムコンプライアンス標準を作成し、テンプレートをカスタマイズして、より正確なコンプライアンススコアを確保できます。

• 詳細なレポート
  コンプライアンスアカウントサマリーレポートを生成することで、組織全体のセキュリティポスチャの概要を把握し、関連するフレームワークに対して迅速な評価とパフォーマンス比較を行うことができます。

2. クラウドワークロード保護（CWP）

Tenable Cloud SecurityのCWPは、仮想マシン、コンテナ、サーバーレス機能などのワークロードを対象に、脆弱性、マルウェア、設定ミスをスキャンし、様々なコンテキストをもとに重要なリスクを検出します。

• エージェントレススキャン
  クラウド環境のワークロードに対しては、エージェントレススキャンを行います。マシンのストレージボリュームのスナップショットを抽出し、脆弱性、ソフトウェア、マルウェアを検出します。

• コンテナイメージスキャン
  CI/CDパイプラインやコンテナリポジトリ内のコンテナイメージの脆弱性もスキャンし、開発段階でリスクを特定できます。

• オンプレミスK8s/OpenShiftスキャン
  オンプレミス環境のKubernetesおよびOpenShiftワークロードのスキャンをサポートしています。これはエージェントベースのスキャンによって実現され、Helm Chartを通じてクラスターノードにセンサーがインストールされます。このエージェントはKubernetesノードとその上で実行されているコンテナイメージの脆弱性、ソフトウェア、マルウェアを分析します。

• AMIスキャン: プライベートイメージを含むAmazon Machine Image（AMI）のスキャンが可能です。これにより、多くのランタイムマシンをスキャンするコストを削減し、脆弱性を早期に検出するシフトレフトのアプローチが可能になります。

• マルウェアスキャン
  LinuxとWindowsの仮想マシンに対してマルウェアスキャンをサポートしています。実行ファイルをスキャンし、ハッシュをVirusTotalに送信してマルウェアのレピュテーションを判断します。ファイル自体が第三者に共有されることはありません。

• 脆弱性評価メトリック
  脆弱性関連のファインディングの深刻度を計算するために使用するメトリックを、CVSSまたはTenable Vulnerability Definition Language (TVDL) に基づくVPRから選択できます。TenableはVPRの使用を推奨しています。

• ServiceNow Vulnerability Response連携
  Tenableの脆弱性情報をServiceNow VRプラットフォームに自動的に取り込み、クラウドネイティブおよびコンテナ化された環境全体で最も重要な脆弱性をトリアージ、割り当て、解決する修復ワークフローを可能にします。

• OS EOL検知
  オペレーティングシステムのEOL（End-of-Life）を検知します。また、OSの推奨バージョン閾値をカスタマイズできます。

3. クラウドインフラストラクチャ権限管理（CIEM）

Tenable Cloud Securityは、アイデンティティを最優先するアプローチで、クラウドのアイデンティティと権限に焦点を当てます。過剰な権限付与、危険な組み合わせ、特権昇格などのIAMリスクを可視化し、最小特権アクセス（Least Privilege Access）の適用を支援します。
また、サードパーティーのアイデンティやクラウドやアカウントを跨いだ権限設定なども洗い出すことができます。

• Just-in-Time (JIT) アクセス
  ユーザーがアクセスを必要とする期間だけ一時的なアクセスを付与できる機能です。これにより、クラウドの攻撃対象領域を最小化します。

  • 定期的なアクセスリクエスト（Recurring Access Requests） も可能で、日常的なルーチン作業のための繰り返しの手動リクエストが不要になります。
  • JITは、アクセス要求時に正当な理由を要求する機能
  • クラウドクレデンシャルの付与だけでなく、Entra ID、Google Workspace、Okta、OneLogin、PingなどのSaaSアクセス権限の付与にも対応しています。

• IAMダッシュボード
  過剰な権限を持つアイデンティティを含む、過剰権限のアイデンティティのトレンドグラフを提供します。

• アクセスレベルの再設計
  権限のアクセスレベルを内部（Internal）、クロスアカウント（Cross Account）、外部（External）、公開（Public）の4レベルで表示できます。

• 使用されていない権限セット
  使用されていないSSO権限セットの検出できます。学習期間を追加することで、誤検知を減らし、ファインディングの関連性の精度を向上させます。

4. データセキュリティポスチャ管理（DSPM）

DSPM機能により、環境内の新しいデータリソースを継続的に監視し、機密データをスキャンして分類します。これにより、データの機密性レベルとコンテキストを理解し、業界標準への準拠を確保するのに役立ちます。

• オブジェクトストレージバケット
  AWS S3 Bucket、Azure Blob Container、GCP Strage Bucket、OCI Object Strage Bucketに対応しています。

• マネージドデータベース
  AWS RDS cluster/instances、AWS DynamoDB tables、Azure SQL、GCP BigQuery datasets、GCP SQL instancesに対応しています。

• スキャンプロセス
  Tenable Cloud Securityは、データスキャンに直接スキャンと間接スキャンの2つのプロセスを使用します。どちらのプロセスも、機密データが環境外に保存されないようにします。

  • 直接スキャンはAPIを利用してオブジェクトストレージや管理対象データベースをスキャンします。
  • 間接スキャンはスナップショットやバックアップを利用してデータをスキャンします。

5. Infrastructure-as-Code (IaC) セキュリティ

IaCセキュリティは、IaCコード内の誤設定やその他のリスクを開発の早い段階（「Shift Left」）で発見し、クラウドインフラストラクチャ環境を強化します。

• サポートしているIaC
  • Terraform、CloudFormation、Azure ARMとBicepに対応しています。
• CI/CDパイプラインとの統合
  • Github、GitLab、JenkinsおよびGenericのCI/CDパイプラインと連携できます（Shift-Left）。
• IaCファインディングレポート
  • コードリポジトリスキャンで発見されたファインディングのサマリーレポートをCSV形式で生成できます。
• Cloud to Code
  • クラウド資産とそのIaCコード間の関連性を追跡できます。

6. クラウド検出と対応（CDR）

CDR機能は、継続的な行動分析と異常検出を適用し、クラウドの脅威を迅速に特定および調査します。アクティビティログを分析し、アイデンティティによる権限の実際の使用状況を可視化します。

• アクティビティログ
  ユーザーがTenableコンソール内で実行したアクションに関する監査ログ情報を返すAPIクエリが提供されています。

7. Kubernetesポスチャ管理（KSPM）

KSPMは、Kubernetesクラスターがデフォルトで安全であることを保証し、誤設定が検出された場合には、関連する関係者に迅速に問題を軽減するよう能動的に警告します。

• Kubernetes環境の可視化と保護:

  • Tenable Cloud Securityは、AWS、Azure、GCP、OCIなどのクラウドマネージドKubernetesクラスター（EKS、AKS、GKE、OKE）と、セルフマネージドおよびオンプレミスのKubernetesクラスターの両方に対して完全な可視性を提供します。
  • クラスターのノードプール、Kubernetesバージョン、関連するクラスター、イメージ、ノード、クラスタータイプなどの詳細な情報を表示します。

• Admission Controller:

  • Kubernetesクラスター内で作成または変更されるリソースに対して重要な制御レイヤーを提供します。
  • APIリクエストを傍受し、管理者が設定したポリシーを強制することを可能にします。

• 脆弱性管理:

  • クラスターのバージョンがEnd-of-Life（EOL）に達した場合に警告します。
  • 既知の悪用に関連するクリティカルなCVEs（共通脆弱性識別子）を可視化し、優先順位付けに役立てます。

8. プラットフォームとフロントエンド

Tenable Cloud Securityのプラットフォームとフロントエンドは、ユーザーエクスペリエンスと機能性を向上させるための継続的な改善が行われています。

• プロジェクト機能
  リソースをビジネスユニット、製品グループ、または環境（開発 vs. 本番）ごとに論理的にグループ化できます。これにより、プロジェクト固有のレポートやAPIクエリ、ライセンスデータによるクラウドの可視性が向上し、ユーザーが必要なリソースのみにアクセスできます。
• 統合検索とアプリ内ドキュメント
  リソース、ポリシー、ページ、ドキュメント、脆弱性を横断して検索できる統合検索バーと、製品内で直接ドキュメントにアクセスできます。
• レポート機能の強化
  リソース所有者ごとにファインディングレポートを送信したり、オープンファインディングのSLAトラッキングが可能です。
• 多言語対応
  日本語ローカライズされています。

まとめ

Tenable Cloud Securityは、CNAPPの包括的なアプローチを通じて、クラウドとオンプレミス環境のセキュリティを統合的に管理する強力なソリューションです。マルチクラウドの可視性、アイデンティティのセキュリティ、ワークロード保護、IaCセキュリティ、データ保護、脅威検出・対応能力により、お客様のクラウドネイティブな資産を効果的に保護し、複雑なコンプライアンス要件を満たすことを支援します。