クラウドサービスの普及に伴って、クラウドワークロードのセキュリティ対策に対するニーズも高まっており、CWPPへの注目が集まっています。本記事では、CWPPの概要や搭載する主な機能、導入によって得られるメリット、効果的な導入方法などについて解説します。最後にCWPPと併用したい、おすすめのWAFサービスも紹介しています。
CWPPとは
CWPP(Cloud Workload Protection Platform)とは、クラウドワークロードを監視・保護するためのセキュリティプラットフォームのことです。ワークロードとは、システムなどのリソースにかかる負荷のことであり、クラウドワークロードとは、クラウド上でリソースを消費するサービスやアプリケーションなどのことを指します。CWPPの主な機能には、脆弱性の管理、ネットワークやクラウドシステムの管理・保護、マルウェアや未承認アプリケーションなどの検出・排除といったことがあります。
CWPPが注目される背景
クラウドワークロードには具体的に、仮想マシン(VM:Virtual Machine)やIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、コンテナ、サーバーレス環境などが含まれますが、セキュリティ要件はそれぞれで異なります。従来の画一的なセキュリティ対策では、すべてのクラウドワークロードに対して十分な安全を提供することは困難です。
近年では、クラウドサービスの普及が進んだことに伴い、これらを対象にしたサイバー攻撃やセキュリティ事故も増加しています。現在、CWPPが注目されている理由は、クラウド環境で懸念されるセキュリティ上の問題を解決するために必要だからです。
CWPPの主な機能
ここでは、主な機能である(1)脆弱性の管理、(2)マルウェアのスキャン、(3)ランタイム保護について解説します。
・脆弱性の管理
CWPPは、実行されているアプリケーションやソフトウェアなどを評価し、ワークロードに存在する脆弱性を検出・分析し、管理します。検出された脆弱性に関するレポートを作成してくれるため、事業所内で脆弱性情報を共有することが可能で、迅速なセキュリティ対策を実施できるようになります。
・マルウェアのスキャン
クラウドワークロード内をスキャンしてマルウェアを検出するとともに、検出されたマルウェアを自動的に防御・排除する機能も備えています。インフラストラクチャに入る前に排除できるため、悪意ある第三者からのサイバー攻撃の被害を防ぎます。
・ランタイム保護
ワークロード実行時(ランタイム)の保護機能も搭載しています。例えば、コンポーネントに含まれる脆弱性やクラウドの設定状況、マルウェアの含有状況などをスキャンし、異常が検知された場合には実行を停止して、クラウドワークロードを保護します。開発チームが作業に集中している間にもエラーを自動的に検出し、修正が必要なことを通知してくれます。
CWPPを導入する効果・メリット
CWPPを導入することによって、(1)コンプライアンスの遵守に貢献する、(2)セキュリティ管理の効率化を図れるといったメリットがあります。
・コンプライアンスの遵守に役立つ
CWPPには、自社が定めたセキュリティポリシーに準拠してクラウドワークロードが運用されているのか否かを監視し、ポリシー違反が検出された場合に通知する機能があります。さらにサイバーセキュリティ対策として世界中で広く採用されているCIS ControlsやGDPR(General Data Protection Regulation:EU一般データ保護規則)などのガイドライン・規則への準拠状況を管理する機能もあり、自社のコンプライアンス遵守に大きく貢献します。
・セキュリティ管理を効率化できる
CWPPが備えているセキュリティ状況の可視化・分析機能は、セキュリティ管理の効率化にもつながります。仮にリスクが顕在化した場合でも、対策作業に優先順位をつけることで、効率的な修正を実施できます。
CWPPを効果的に活用してセキュリティを高める方法
CWPPによってセキュリティを高めるには、導入前にセキュリティ要件を定義することはもちろんですが、インシデント対応の自動化やWAFサービスの併用も有効です。
・導入前に企業のセキュリティ要件を定義する
まず、重要なことが、求められるセキュリティ要件を明確にすることです。セキュリティ要件とは例えば、データ保護や自社が設定したセキュリティポリシー、アプリケーションのセキュリティ要件といったことです。「サイバーセキュリティ基本法」などの法令や業界固有の基準・規制を把握したうえで、要件を明文化しておきます。明文化することで、インシデントが発生した場合に取るべき行動がおのずと決まってきます。
・インシデント対応を自動化する
CWPPには、脅威やセキュリティポリシー違反が検知された場合、あらかじめ設定された手順に従って、脅威を隔離したり、ワークロードをシャットダウンしたりといった、インシデント対応の自動化機能があります。適切に設定することにより、機密情報の漏えいや不正アクセスなどのセキュリティリスクを低減できます。
・Webアプリケーション保護のためにWAFサービスも併用する
WAF(Web Application Firewall)サービスとは文字通り、サイバー攻撃から(Webサイトを含む)Webアプリケーションを防御するためのサービスです。冒頭で述べた通り、CWPPはクラウドワークロードの保護に特化しているため、Webアプリケーションの保護には限界があります。Webアプリケーションを保護するためには、CWPPとWAFサービスとの併用が効果的です。
WAFサービスなら「Cloudbric WAF+」がおすすめ
企業のWebセキュリティ対策に必須ともいえるWAFサービスですが、各社から数多くの製品がリリースされています。
その中でもペンタセキュリティが提供している「Cloudbric WAF+」は、脅威インテリジェンス分析機能により、スパイウェアやアドウェアのほか、スパムボット、Webクローラーなどの悪意のあるボットなどをブロックすることが可能です。「Cloudbric WAF+」にはWAFサービスだけでなく、DDoS攻撃対策サービス、SSL証明書サービス、脅威IPの遮断サービス、悪性ボット遮断サービスの計5つのサービスが含まれます。導入時および運用時のセキュリティエキスパートによるマネージドセキュリティサービスが付帯しており、セキュリティの専門家がいなくても導入・運用することが可能です。過去3カ月分のサマリーレポートを自動作成する機能なども搭載しています。
まとめ
CWPPは、クラウドワークロードの状況を監視し、異常を検知するとワークロードを保護するセキュリティサービスです。脆弱性の検知、マルウェアのスキャン、ランタイム保護などの機能でクラウドワークロードを脅威から守ります。ただし、Webアプリケーションのセキュリティも考えるのであれば、WAFサービスとの併用がおすすめです。「Cloudbric WAF+」を併用すれば、万全なクラウドワークロードの保護およびWebアプリケーションの保護環境を実現できます。
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら