CNAPP(Cloud-Native Application Protection Platform) しーえぬえーぴーぴー
簡単に言うとこんな感じ!
クラウドで動くアプリを守るためのセキュリティツールを「1つのプラットフォームにまとめたもの」だよ!バラバラに買っていたセキュリティ製品を一本化して、開発から運用まで一気通貫でリスクを検出・管理できるんだ!
CNAPPとは
CNAPP(Cloud-Native Application Protection Platform) とは、クラウドネイティブなアプリケーション・インフラ全体を保護するために設計された統合セキュリティプラットフォームです。従来は CSPM(クラウド設定管理)・CWPP(クラウドワークロード保護)・CIEM(クラウド権限管理) などがそれぞれ別製品として存在していましたが、CNAPPはこれらを一元化することで、「点」ではなく「面」でクラウドのリスクを把握・対処できるようにします。
2021年にガートナー社が提唱した概念で、特にコンテナ・サーバーレス・マイクロサービスといったクラウドネイティブな技術スタックに最適化されています。開発フェーズから本番環境まで、ライフサイクル全体をカバーする点が最大の特徴です。
実務上は「複数のセキュリティツールを使っているが、アラートが多すぎてどれが本当に危ないのかわからない」という課題を解消するために導入されるケースが多く、コンテキストを組み合わせてリスクに優先順位をつけることが大きな価値とされています。
CNAPPの構成要素と役割
CNAPPは複数のセキュリティ機能を統合しています。主要コンポーネントは以下のとおりです。
| コンポーネント | 正式名称 | 主な役割 |
|---|---|---|
| CSPM | Cloud Security Posture Management | クラウド設定ミス・コンプライアンス違反の検出 |
| CWPP | Cloud Workload Protection Platform | VM・コンテナ・サーバーレスのワークロード保護 |
| CIEM | Cloud Infrastructure Entitlement Management | IAM権限の過剰付与・不審アクセスの管理 |
| KSPM | Kubernetes Security Posture Management | Kubernetes設定・ポリシーの監査 |
| IaC スキャン | Infrastructure as Code Scanning | TerraformなどのコードからリスクをCI/CDで検出 |
| CDR | Cloud Detection & Response | 実行時の脅威検出・インシデント対応 |
覚え方:「クラウドの番人が6人チームを組んだ」
CSPM(設定番人)・CWPP(中身の番人)・CIEM(鍵の番人)・KSPM(K8sの番人)・IaCスキャン(設計図の番人)・CDR(現場の番人)——6つの番人が1つのチームとして動くのがCNAPPです。
CNAPPが解決する「ツール乱立問題」
クラウドセキュリティ製品を個別導入すると以下の問題が起きます。
【導入前:バラバラ管理の課題】
CSPM ──→ アラートA(設定ミス)
CWPP ──→ アラートB(脆弱性)
CIEM ──→ アラートC(過剰権限)
↑
それぞれのダッシュボードを別々に確認
「この3つが組み合わさると超危険」がわからない!
【導入後:CNAPPで統合】
CSPM + CWPP + CIEM ──→ 「設定ミス+脆弱性+過剰権限が
同一リソースに重複 → 最優先対応!」
↑
コンテキストを組み合わせてリスクスコアを計算歴史と背景
- 2018年頃:クラウド移行加速とともに、設定ミスによるデータ漏洩事故が急増。CSPMという概念が登場
- 2019年:コンテナ・Kubernetesの本番利用が広がり、CWPPの需要が高まる
- 2020年:IAM権限の過剰付与が攻撃に悪用されるケースが増加し、CIEMが注目される
- 2021年:ガートナーがCSPM・CWPPなどを統合した概念として CNAPP を正式に定義・命名
- 2022〜2023年:Palo Alto Networks(Prisma Cloud)・Wiz・Orca Security・Microsoft Defender for Cloudなど主要ベンダーがCNAAPとして製品を再定義・統合
- 2024年〜:AI/MLによるリスク優先付けや、ASPM(アプリケーションセキュリティ態勢管理) との統合が進む
関連技術との比較・位置づけ
CNAPPは既存のクラウドセキュリティカテゴリをどう包含しているかを整理します。
主要CNAPPベンダー比較
| ベンダー | 製品名 | 特徴 |
|---|---|---|
| Palo Alto Networks | Prisma Cloud | 国内実績豊富・機能網羅性が高い |
| Wiz | Wiz | エージェントレス・導入の手軽さで急成長 |
| Orca Security | Orca Platform | SideScanning技術でエージェント不要 |
| Microsoft | Defender for Cloud | Azure利用企業との親和性が高い |
| CrowdStrike | Falcon Cloud Security | EDRとの統合が強み |
関連用語
- CSPM — クラウドインフラの設定ミスやコンプライアンス違反を継続的に検出・修正するツール
- CWPP — VM・コンテナ・サーバーレスなどクラウドワークロードをランタイムレベルで保護するプラットフォーム
- CIEM — クラウド環境のIAM権限の過剰付与や不審なアクセスを管理するソリューション
- DevSecOps — 開発・セキュリティ・運用を統合し、開発初期からセキュリティを組み込む手法
- ゼロトラスト — 「社内にいても信頼しない」を前提にしたセキュリティモデル
- コンテナ — アプリケーションを軽量な独立環境にパッケージ化する技術(DockerやKubernetesで使われる)
- IaC(Infrastructure as Code) — インフラ構成をコードで管理する手法。TerraformやCloudFormationが代表例
- シフトレフト — セキュリティテストを開発工程の早い段階(左側)に移動させる考え方