// シス担のミカタ
クラウドセキュリティ

CWPP(Cloud Workload Protection Platform) しーだぶりゅーぴーぴー

クラウドワークロードコンテナセキュリティ脆弱性スキャンランタイム保護CSPMゼロトラスト
CWPPについて教えて

簡単に言うとこんな感じ!

クラウドで動かしているアプリやサーバー(=ワークロード)を守るためのセキュリティ専門ツールだよ!「クラウド上の用心棒」みたいな存在で、脆弱性のチェックから動作中の不審な動きの検知まで、ワークロードをまるごと守ってくれるんだ!

CWPPとは

CWPP(Cloud Workload Protection Platform) とは、クラウド環境で動作するアプリケーションやサーバーなどの「ワークロード」を保護するためのセキュリティプラットフォームです。仮想マシン・コンテナ・サーバーレス関数など、クラウド特有の多様な実行形態に対応しており、それぞれに適した防御を提供します。

従来のオンプレミス向けセキュリティツールはクラウドの柔軟な構造に追いつけないケースが多く、クラウドネイティブ脅威への対応に特化したツールが求められるようになりました。CWPPはまさにそのギャップを埋める存在です。ガートナー社が2017年に定義・命名し、現在では多くのクラウドセキュリティ製品の標準的なカテゴリとして認知されています。

実務的には、開発チームが新しいコンテナをデプロイするたびに自動でセキュリティスキャンを走らせたり、本番稼働中のワークロードへの不正アクセスをリアルタイムで検知したりといった用途で使われます。「作る前」「動かす前」「動かしている最中」の3フェーズすべてをカバーするのがCWPPの特徴です。

CWPPが守る対象と主な機能

CWPPが保護するワークロードの種類と、それぞれに提供する機能を整理すると以下のようになります。

保護対象具体例主な機能
仮想マシン(VM)EC2、Azure VM脆弱性スキャンマルウェア検知、パッチ管理
コンテナDockerKubernetes Podイメージスキャン、ランタイム保護、ネットワーク制御
サーバーレスAWS Lambda、Azure Functions権限の最小化、インジェクション攻撃の防止
物理サーバーオンプレミスとのハイブリッド環境エンドポイント保護、ログ収集

CWPPの機能を「時系列」で覚える

CWPPの機能は 「Shift Left(左シフト)=開発の早い段階に検知を前倒し」 というキーワードで理解すると整理しやすいです。

[開発フェーズ]   [デプロイ前]     [本番稼働中]
     │               │                │
コードの          イメージの        ランタイムの
脆弱性スキャン    整合性チェック    異常検知・遮断
     │               │                │
  Shift Left ──────────────────▶ Runtime Protection

主要機能の一覧

  • 脆弱性スキャン — OSやライブラリの既知の脆弱性(CVE)を検出
  • ランタイム保護(RASP) — 実行中のプロセスを監視し、不審な動きをブロック
  • ネットワークマイクロセグメンテーション — ワークロード間の通信を細かく制御
  • 整合性監視 — ファイルや設定が勝手に変更されていないかを監視
  • マルウェア対策 — クラウド環境向けのアンチウイルスEDR連携
  • CIパイプライン統合DevSecOpsとしてCI/CDに組み込み、自動チェックを実現

歴史と背景

  • 2010年代前半 — クラウド移行が加速。従来のアンチウイルスや侵入検知システム(IDS)はクラウドの動的な環境に対応しきれないという問題が顕在化
  • 2017年 — ガートナー社がCWPPという概念を定義・命名。クラウドワークロードに特化したセキュリティカテゴリとして業界に広まる
  • 2018〜2019年 — Kubernetes・コンテナの普及に伴い、コンテナ特化のセキュリティ機能がCWPPの主戦場に。Aqua Security、Twistlock(後のPrisma Cloud)などの専業ベンダーが台頭
  • 2020年 — ガートナーがCNAPP(Cloud-Native Application Protection Platform)という上位概念を提唱。CWPPとCSPMを統合したプラットフォームへの進化が始まる
  • 2021年以降 — AWS・Azure・GCPが自社プラットフォームにCWPP機能を標準搭載し始め、「クラウド標準のセキュリティ機能」として普及が加速

CWPPと関連ツールの比較・位置づけ

クラウドセキュリティには似た名前のツールが多く、混乱しやすいのが悩みのタネです。以下で整理しましょう。

ツール正式名称守る対象一言で言うと
CWPPCloud Workload Protection Platformワークロード(VM・コンテナなど)「動くもの」を守る
CSPMCloud Security Posture Managementクラウドの設定・構成「設定ミス」を見つける
CIEMCloud Infrastructure Entitlement ManagementIAMの権限・アクセス管理「権限の過剰付与」を防ぐ
CNAPPCloud-Native Application Protection Platform上記すべてを統合クラウドセキュリティの「全部入り」

CWPP・CSPM・CNAPPの関係図

CNAPP(Cloud-Native Application Protection Platform) クラウドセキュリティの「全部入り」統合プラットフォーム CWPP ワークロード保護 • VM・コンテナ・サーバーレス • 脆弱性スキャン • ランタイム保護 CSPM クラウド設定管理 • 設定ミス・誤構成の検出 • コンプライアンス管理 • ベストプラクティス監査 CIEM IAM権限・エンタイトルメント管理 • 過剰な権限の検出と是正

関連する規格・RFC

規格・フレームワーク内容
CIS Benchmarksクラウドワークロードのセキュリティ設定ベースライン。CWPPのスキャン基準として広く使われる
NIST SP 800-190コンテナ技術のセキュリティガイドライン。CWPPのコンテナ保護機能の設計根拠になる
SOC 2クラウドサービスの信頼性基準。CWPPの導入が監査証跡として活用されることがある
CSA STARクラウドセキュリティの認証フレームワーク。CWPPはその要件を満たすための手段の一つ

関連用語

  • CSPM — クラウドの設定ミスや構成の誤りを検出・修正するポスチャー管理ツール
  • CNAPP — CWPPとCSPMなどを統合したクラウドネイティブアプリ保護プラットフォーム
  • コンテナ — アプリを軽量に隔離して実行する技術。CWPPの主要な保護対象
  • Kubernetes — コンテナのオーケストレーションツール。CWPP導入の代表的な場面
  • DevSecOps — 開発・運用・セキュリティを一体化させる開発文化。CWPPをCIに組み込む際の考え方
  • ゼロトラスト — 「すべてを疑う」セキュリティ設計思想。CWPPのマイクロセグメンテーションと連携する