Cloud Security Magazine
CWPPとは?クラウドセキュリティに欠かせないCWPPの機能、種類、選び方を解説
AWS
クラウドワークロードの保護を行うプロダクトの総称であるCWPP。企業のクラウド活用が一般化した今、クラウド環境のセキュリティ対策は、情報漏洩や不正アクセスを防ぐうえで欠かせないものとなっています。その対策として大きな注目を集めているのがCWPPです。今回はCWPPの概要や主な機能を説明したうえで、具体的な種類やCWPP製品の選び方をお伝えします。クラウドセキュリティ強化を検討している企業のシステム担当者の方はぜひ、参考にしてください。
CWPPとは?
CWPPとは、Cloud Workload Protection Platformの略称です。VM(仮想マシン)、コンテナ、サーバレス関数を対象に、これらのワークロードを一元的に管理することでリスクを検知し、迅速な対応をサポートします。
クラウドワークロードとは?
ワークロードとは、仕事量や作業負荷などを意味する言葉です。しかし、クラウドセキュリティにおけるワークロードとは、通常前述したVM(仮想マシン)、コンテナ、サーバレス関数など、アプリケーションが作動する環境を指します。
AWSの場合、仮想マシンがEC2 インスタンス、コンテナがECS・EKSなど、そしてサーバレス関数がLambdaなどです。AzureやGCPにおいても同様の環境が存在しています。
これらのサービスを利用して開発を行うには何らかのプログラミング言語を使用しますが、その際、アプリケーションやOSなどに脆弱性が含まれていないかの監視は欠かせません。ほかにもマルウェアの脅威を検出して防御することもリスク管理として重要であり、それを実行する機能を持つのがCWPPです。
CWPPの必要性
近年、クラウドサービスを利用する企業が増加したのに合わせ、クラウドサービスを狙ったサイバー攻撃も増加しています。また、クラウドサービスは、責任共有モデルといってベンダーとユーザーがともにセキュリティやネットワーク保護の責任を持つのが一般的です。
すべてをベンダーに任せることはできず、ユーザーは自身の責任が生じる範囲については自身で対策を行わなければなりません。そうした意味でもクラウド環境のワークロードを保護するCWPPはクラウド活用において必須のプラットフォームだといえます。
責任共有モデルについては「AWSのセキュリティ対策を知る!安全運用のための情報を解説」をご覧ください。
CSPMとの違い
CWPPと混同しやすいものとして挙げられるCSPMは、Cloud Security Posture Managementの略称です。
CWPPがクラウド環境のワークロードを保護するものであるのに対し、CSPMは、クラウド環境全体の設定を監視・管理するものです。言い換えれば、CWPPがクラウド内部のワークロードを対象に脆弱性の対策を実行するものであるなら、CSPMはクラウド外部から、不適切な設定への対策を実行します。
これらのことから、CWPPとCSPMを組み合わせて使用すれば、クラウドセキュリティ対策がさらに万全なものになるといえるでしょう。
CSPMについて詳しくは、「CSPMとは?クラウドセキュリティ管理強化に役立つ情報をまとめて解説」をご覧ください。
CWPPの主な機能
CWPPにはさまざまな機能がありますが、なかでも主な機能としては次のようなものが挙げられます。
マルウェア対策スキャン
クラウドのワークロードに埋め込まれたマルウェア(悪意のあるソフトウェア)を検出する機能です。
脅威の検知
サーバやアプリケーションに対する脅威を検知して迅速に対応する機能です。
脆弱性検知
ワークロードでの OS や 、OS のパッケージの脆弱性、アプリケーションで利用しているパッケージの脆弱性を検知する機能です。
侵入防止
外部からサーバへの侵入を防止する機能です。
可視化
時系列のアラートやイベント、脅威の検出結果、リスクレベルのほか、セキュリティポリシー違反の有無を可視化し、一元的な管理と制御を可能にする機能です。
アプリケーション制御
アプリケーションのアクセス権限を設定し、アクセスを許可していない者がアプリケーションにアクセスすることを制御する機能です。
CWPPの種類
CWPPの種類は、「エージェント型」「エージェントレス型」の2種類です。ここでは、それぞれの概要や特徴について解説します。
エージェント型
必要な各ワークロードにソフトウェアエージェントをインストールしてセキュリティを保護するタイプです。情報収集量が多く保護範囲が広いことと、従来のサーバ監視よりも計算リソースに近い箇所のセキュリティを保護できることがメリットです。監視対象の全てのワークロードにエージェントをインストールする必要があるため、マシンのCPUやメモリを圧迫するデメリットがあります。
エージェントレス型
ワークロードにソフトウェアエージェントをインストールすることなく、セキュリティ保護を実行するタイプです。CWPPの管理コンソールからAPIを活用してクラウド インフラストラクチャ全体を保護します。エージェント型に比べ、導入や運用がシンプルなメリットがある一方、保護範囲が限定されるため、収集できる情報量が少なくなってしまうのがデメリットです。
CWPP製品の選び方
自社に合ったCWPP製品を導入する際に必要な主な選択ポイントを解説します。
CWPP導入目的の明確化
自社がクラウド活用するうえで必要なセキュリティ要件を明確にし、その対策を実現する機能を有したCWPPを選択することが重要です。AWS、Azure、GCPなど自社が現時点で利用するクラウドプロバイダに対応しているかどうかも重要ですが、将来的な視点も必要です。今後マルチクラウドを検討している場合は、複数プロバイダに対応しているかどうかも確認しましょう。
また、CWPPの種類については、目的にもよるものの、導入が簡単で物理的なCPUやメモリを圧迫しないエージェントレス型を軸に検討するのがおすすめです。
連携機能の確認
CWPPはCSPMと組み合わせて活用することでさらに高レベルのセキュリティ対策が実現します。そのため、CSPMの導入も同時に検討する必要があります。その際、双方に連携機能があるかどうかを必ず確認してください。
サポート体制の確認
CWPPは海外製も多く、種類が豊富です。しかし海外製にはサポートが英語のみであったり、メールでしかサポート対応していなかったりする場合もあります。万が一の際に迅速な対応をするためには、日本語に対応していて、なおかつサポート体制が充実している製品を選択するのがよいでしょう。
クラウドセキュリティ強化はCWPPとCSPMとの連携がおすすめ
多くの企業でAWS, GCP, Azureなどのパブリッククラウドの活用が進むなか、クラウド側のセキュリティ不安も増えています。
クラウド内部のワークロードを対象にセキュリティの監視・保護を行うCWPPと、クラウド環境全体のセキュリティとコンプライアンスの監視・保護を行うCSPMを連携させることで、企業のクラウド管理が強固かつ容易になります。
CWPPを選択する際のポイントは、目的を明確にすることと、必要なサポート体制であるか見極めること、そしてCSPMとの連携の良さです。特にCSPMと連携機能できるか否かは、クラウドセキュリティ対策をさらに強化するためにも重要です。
そこでおすすめしたいのが、国産CSPMであり日本語のドキュメントが豊富な「Cloudbase」です。クラウド利用企業、クラウドへの移行を予定する企業をセキュリティの面でサポートしておりますので、CWPPと同時にCSPM導入を検討の際はぜひ、ご相談ください。
参考:
