CNAppsがクラウドセキュリティを制限している5つの理由

クラウドアプリケーションは、特に過去数年間の急速なデジタル変革において、組織の生命線となっています。これらのアプリケーションは、物理サーバーと仮想サーバー、コンテナ、サーバーレスコンピューティングのクラウド上で実行され、これまでにない俊敏性と拡張性を実現します。

しかし、それらは新たなセキュリティ上の課題ももたらします。多くの組織が、防御を強化するためにクラウドネイティブなアプリケーション保護プラットフォーム (cNApps) を採用しています。cNAppsはクラウド専用に構築されているかもしれませんが、セキュリティを確保できるのはそこまでです。

CNAPP ツールがクラウドセキュリティを制限している可能性があります。ゼロトラストセグメンテーションが包括的なクラウドセキュリティ戦略に不可欠である理由をご覧ください。

今、クラウドセキュリティに注目すべきです

収益性と事業継続性を守るために、クラウドでの運用を希望する組織はかつてないほど増えています。実際、ヴァンソン・ボーンの調査は クラウドセキュリティインデックス 2023 調査対象の組織の 100% がクラウドを使用しており、98% が現在機密データをクラウドに保存していることがわかりました。

クラウドの可能性に期待を寄せているにもかかわらず、脅威アクターは緩いクラウドセキュリティを利用しています。Vanson Bourneは、過去1年間に発生したすべてのデータ侵害のうち、47％がクラウドから発生していることを発見し、セキュリティの弱点としてクラウドが浮き彫りになりました。さらに悪いことに、過去1年間にクラウド侵害を受けた組織は、平均で410万ドル近くの損失を被りました。

つまり、使用しているクラウドセキュリティツールに注意を払うことがこれまで以上に重要になっています。特にcNAppsを導入している組織は、その制限とそれに伴うセキュリティギャップに驚くかもしれません。

CNAppsがクラウドセキュリティを制限するのはなぜですか？

クラウドネイティブ環境固有のセキュリティニーズを認識し、これらの課題に対処するクラウドネイティブアプリケーション保護プラットフォーム（cNApps）が登場しました。

ガートナー CNAppsは次のように定義されています。

開発から本番環境まで、クラウドネイティブ・アプリケーションを保護するために設計された、統合され緊密に統合された一連のセキュリティおよびコンプライアンス機能です。cNAppsは、コンテナスキャン、クラウドセキュリティポスチャ管理、Infrastructure-as-Codeスキャン、クラウドインフラストラクチャ資格管理、ランタイムクラウドワークロード保護、ランタイム脆弱性/設定スキャンなど、以前はサイロ化されていた多数の機能を統合します。

cNAppsはクラウドセキュリティにとって当然の選択肢のように思えます。クラウド環境専用に構築され、既存のセキュリティプラットフォームや開発プロセスと統合され、組織がより多くのワークロードをクラウドに移行するにつれて拡張できます。

しかし、これらの機能があるからといって、cNAppsがクラウドセキュリティに最適な選択肢になるわけではありません。これにより、セキュリティチームはクラウドを保護する際に重大な課題に直面することになります。

CNAppsの 5 つの制限事項

• ‍クラウドのセキュリティ — のみ: cNAppsはクラウドアプリケーションのセキュリティのみに焦点を当てており、インフラストラクチャの他の部分で実行されているアプリケーションを包括的に保護することはできません。これにより、ワークロードが異なる環境間を移動する際にセキュリティ上のギャップが生じ、攻撃者がクラウド環境内を横方向に移動しやすくなります。

• ベンダーロックインによるセキュリティサイロ: 各クラウドベンダーのセキュリティツールは、それぞれのプラットフォームに固有のものです。たとえば、AWS セキュリティツールが Azure セキュリティツールと統合される可能性はほとんどありません。これにより、セキュリティサイロが生じ、脆弱性にさらされやすくなり、侵害後の復旧が遅くなる可能性があります。
• リスクの高いサードパーティ統合: サードパーティのサービスやアプリケーションとの統合はクラウド環境では一般的であり、一般的にcNAppsの最大のメリットとして挙げられています。ただし、適切なセグメンテーションやセキュリティ対策を行わずにこれを行うと、クラウドインフラストラクチャが外部の脅威にさらされる可能性があります。
• コンプライアンス要件を満たすには不十分: 規制やコンプライアンスの要件を満たすには、多くの場合、アプリケーションの保護だけでなく、cNAppsにはないユーザーアクセスやネットワークのセグメンテーションの制御を実証する必要があります。

• 重要な学習曲線: cNAppsを採用するには、クラウドテクノロジーに関する専門知識が必要であり、従来のITセキュリティチームにとっては習得に時間がかかる可能性があります。

ゼロトラストセグメンテーションは包括的なクラウドセキュリティを提供します

CNAppsはクラウド環境にのみ適用されますが、 ゼロトラストセグメンテーション (ZTS) ネットワーク内のどこにあっても、すべてのワークロードを保護します。

ZTSはマイクロセグメンテーションとも呼ばれ、ネットワークをより小さくきめ細かなセグメントに分割し、一連の安全なゾーンを作成します。つまり、ZTSはネットワークセグメントごとに独自のセキュリティ体制を提供することで、クラウドだけでなくハイブリッドアタックサーフェス全体にわたって正確で柔軟なセキュリティを提供できるということです。各セグメントは特定のアクセス制御に合わせて調整でき、横方向の動きを抑え、侵害が避けられない場合の潜在的な被害を抑えることができます。

から始める ゼロトラスト・マインドセット 「侵害を想定する」という点では、ZTSは、いつでもどこでも一貫したコンテキストベースの可視性を得ることを優先しています。この可視性の基盤を利用して、セキュリティを絶えず改善するための反復的なプロセスを提供しています。

クラウドセキュリティにおけるゼロトラストセグメンテーションの 5 つのメリット

ZTSは、ネットワークが危険にさらされるリスクを軽減し、クラウド全体でのアクセス権限を最小限に抑えることで、クラウドセキュリティの課題に正面から取り組んでいます。

• リアルタイムの可視性: Illumio のアプリケーション依存関係マップ ハイブリッドクラウドとマルチクラウドのすべてのワークロードにわたるトラフィックフローのテレメトリをリアルタイムで可視化します。アプリケーションデプロイ、リソース、トラフィックフロー、メタデータのインタラクティブマップでインサイトを集めることができます。この包括的な可視性により、潜在的な脅威、異常な動作、脆弱性を特定して理解できるようになり、プロアクティブなセキュリティ対策を迅速に実施できるようになります。

• 柔軟なセキュリティポリシー: Illumioは、クラウド環境内の変化に応じてセキュリティポリシーを自動的に適応させます。クラウド・インフラストラクチャーが拡大し進化しても、イルミオはセキュリティ対策の効果を維持し、手動によるポリシー更新の負担を軽減し、クラウドにおける人為的ミスを減らします。

• マイクロセグメンテーション クラウド用: IllumioのZTS機能により、クラウドインフラストラクチャ内にきめ細かいセキュリティゾーンを作成できます。このアプローチは、ネットワーク内のラテラルムーブメントを阻止し、ランサムウェアや侵害が不可避的に発生する場合はそれを封じ込め、侵害の影響を最小限に抑えて事業継続性を確保します。
• クラウド全体で一貫したセキュリティ: ワークロードがさまざまなクラウドベンダー (たとえば Azure から AWS へ) に移動するため、あるベンダーのセキュリティが次のベンダーのセキュリティに移行することはほとんどありません。これにより、クラウドの脆弱性が生まれ、チームの作業量が増えます。Illumioは、ワークロードがスタンドアロンのベンダー固有のセキュリティソリューションに依存することを回避し、クラウド間のワークロードセグメンテーションの一貫したソリューションを可能にします。
• サードパーティアプリとの簡単な統合: Illumioは、AWSセキュリティグループやAzureネットワークセキュリティグループなどのさまざまなクラウドネイティブサービスとシームレスに統合するための堅牢なサードパーティパートナーシップエコシステムを提供しています。この互換性により、実装プロセスが合理化され、複数のクラウド環境にわたって一貫したセキュリティポリシーが可能になります。

クラウド環境を保護するためにゼロトラストセグメンテーションを始めましょう

クラウドは現代の事業運営の中心ですが、独自のセキュリティ上の課題が伴います。ゼロトラストセグメンテーションをクラウドセキュリティ戦略に統合することで、クラウドにおけるより包括的で強固なセキュリティ体制を確立できます。

今すぐお問い合わせ Illumio CloudSecure を使用してクラウドにゼロトラストセグメンテーションを実装する方法の詳細については、こちらをご覧ください。