Prisma Cloud ぷりずまくらうど
CSPMCWPPクラウドセキュリティPalo Alto NetworksコンプライアンスDevSecOps
Prisma Cloudについて教えて
Prisma Cloudとは
Prisma Cloudは、Palo Alto Networksが提供するクラウドネイティブ向けの統合セキュリティプラットフォームです。AWS・Microsoft Azure・Google Cloud Platform(GCP)など複数のパブリッククラウドをまたいで、設定ミス・脅威・脆弱性・コンプライアンス違反をリアルタイムに検知・管理できます。
クラウド利用が広がるにつれ、「どのクラウドで何が動いているか把握できない」「設定ミスによるデータ漏洩が怖い」「セキュリティツールが乱立して管理が大変」という課題が増えています。Prisma Cloudはこれらをワンプラットフォームで解決することを目的に設計されており、インフラからアプリケーション、コンテナ、サーバーレスまで幅広くカバーします。
もともとは2019年にPalo Alto NetworksがRedlock・Twistlock・PureSec・Demistoなどの企業を相次いで買収・統合して誕生したプラットフォームです。現在はクラウドセキュリティの業界標準的な存在として、大企業・金融・官公庁など幅広いセクターで採用されています。
Prisma Cloudの主な機能モジュール
Prisma Cloudは複数の機能モジュールで構成されており、必要な機能を選んで利用できます。
| モジュール | 略称 | 主な役割 |
|---|---|---|
| Cloud Security Posture Management | CSPM | クラウドの設定ミス・コンプライアンス違反を検知 |
| Cloud Workload Protection Platform | CWPP | VM・コンテナ・サーバーレスの実行時保護 |
| Cloud Network Security | CNS | クラウドネットワークの可視化・マイクロセグメンテーション |
| Cloud Infrastructure Entitlement Management | CIEM | IAMの過剰権限・不審なアクセスを検出 |
| Application Security(Code Security) | AppSec | IaCコードやCI/CDパイプラインのセキュリティスキャン |
| Data Security | — | S3等のストレージに保存されたデータの分類・保護 |
覚え方:「CSPMとCWPPの違い」
- CSPM = 設定面のチェック(ドアに鍵がかかっているか確認する)
- CWPP = 実行時の保護(実際に侵入者が入ってきたとき止める)
この2つがPrisma Cloudの2大柱と覚えておくと整理しやすいです。
対応クラウド・環境
| 対象 | 具体例 |
|---|---|
| パブリッククラウド | AWS / Azure / GCP / Alibaba Cloud / Oracle Cloud |
| コンテナ | Kubernetes / EKS / AKS / GKE / OpenShift |
| サーバーレス | AWS Lambda / Azure Functions / Google Cloud Functions |
| IaCツール | Terraform / CloudFormation / Helm / Kubernetes YAML |
歴史と背景
- 2012年頃〜 クラウド採用が急速に広がり、設定ミス起因のデータ漏洩事故が多発
- 2018年 Palo Alto NetworksがCSPMのパイオニアRedLockを約1.7億ドルで買収
- 2019年 コンテナセキュリティのTwistlock(約4.1億ドル)、サーバーレスセキュリティのPureSecを買収、Prismaブランドを発表
- 2019年 SOARプラットフォームのDemistoを買収し統合セキュリティを強化
- 2020年 「Prisma Cloud 2.0」としてCSPM・CWPPを統合した現在の形へ
- 2021年〜 CIEMやApplication Security(Code Security)機能を追加、DevSecOps対応を強化
- 2023年〜 AIを活用した脅威検知・自動修復機能の拡充が進む
クラウド設定ミスによる情報漏洩(Capitalの事例など)が社会問題化したことで、CSPMカテゴリの重要性が急上昇し、Prisma Cloudの普及を後押ししました。
競合・類似製品との比較
Prisma Cloudと同カテゴリの主要製品を比較します。
| 製品名 | 提供元 | 強み |
|---|---|---|
| Prisma Cloud | Palo Alto Networks | 機能の網羅性・マルチクラウド対応 |
| Microsoft Defender for Cloud | Microsoft | Azureとの親和性・既存MS契約での利用しやすさ |
| Wiz | Wiz, Inc. | エージェントレス・導入の手軽さ・スタートアップに人気 |
| Orca Security | Orca Security | エージェントレスで素早いリスク可視化 |
| AWS Security Hub | Amazon | AWSネイティブ環境への深い統合 |
| Lacework | Lacework | 機械学習による異常検知 |
実務上の選び方のポイント
- Azureがメイン → Microsoft Defender for Cloudも並行検討
- スピード重視・エージェントレスで素早く始めたい → Wiz / Orca
- マルチクラウドで網羅的なセキュリティ管理が必要 → Prisma Cloudが有力
- DevSecOpsを強化したい → Prisma CloudのApplication Security(Code Security)機能が強み
関連する規格・RFC
| 規格・標準 | 内容 |
|---|---|
| CIS Benchmarks | クラウド設定のベストプラクティス基準(PrismaのCSPMポリシーに組み込まれている) |
| NIST SP 800-190 | コンテナセキュリティのガイドライン(CWPPの設計根拠) |
| ISO/IEC 27017 | クラウドサービスの情報セキュリティ管理に関する国際規格 |
| SOC 2 | クラウドサービスのセキュリティ・可用性等の監査基準(コンプライアンスレポートに対応) |
関連用語
- CSPM — クラウドの設定ミス・コンプライアンス違反を継続的に検知・管理する仕組み
- CWPP — クラウド上のワークロード(VM・コンテナ等)を実行時に保護するプラットフォーム
- CIEM — クラウドのIAM権限の過剰付与・不審なアクセスを管理する仕組み
- DevSecOps — 開発・運用プロセスにセキュリティを組み込む考え方
- IaC(Infrastructure as Code) — インフラ構成をコードで管理する手法。Prisma CloudのAppSecが静的解析対象
- ゼロトラスト — 「すべてを信頼しない」を前提にしたセキュリティアーキテクチャ
- Kubernetes — コンテナオーケストレーションの標準。CWPPの主要な保護対象
- SIEM — セキュリティイベントのログ収集・分析システム。Prisma Cloudのアラートと連携可能