本文へスキップ
質問に戻る

CWPP(Cloud Workload Protection Platform)とは何ですか?

で定義されるCloud Workload Protection Platform(CWPP)。 ガートナー は、現代の企業環境におけるワークロードの「独自の保護要件をターゲットにしたワークロード中心のセキュリティソリューション」です。 現代の環境におけるワークロードは、物理サーバー、仮想マシン(VM)、コンテナ、サーバーレスワークロードなど、進化を遂げています。 これらのワークロードは、アプリケーションの機能を実現するデータの基礎となるコンピューティング、トランスポート(ネットワーク)、およびストレージを提供するもので、進化を遂げています。図1に示すように、アプリケーション全体に適した、より小さく、より特定のタスクに焦点を当て、縮小しています。 これらのワークロードは、オンプレミス、サードパーティーのデータセンターなどのコロケーションタイプの環境、またはパブリッククラウドに存在することが多い。 最後に、ワークロードは、その種類とサポートするアプリケーションによって、永続的である場合と非永続的である場合があります。サーバーは何年も設置され機能することが期待されますが、VMは月単位または週単位で起動し、コンテナは1回だけ使用されて廃棄されることがあります。 オンプレミスやクラウドにあり、環境内で持続するかしないかわからない、縮小し続けるワークロードに保護を適用できることは、それらを保護するための技術やソリューションの本質を変えなければならないことを意味します。 その結果、CWPPはエンドポイントプロテクションプラットフォーム(EPP)とは異なる進化を遂げました。CWPPは、種類や場所に関係なく、ワークロードを保護することに特に重点を置いています。よく設計されたCWPPソリューションは、クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)ソリューションともシームレスに連携することができます。

なぜCWPPが重要なのか?

レガシーアプリケーションからクラウドネイティブアプリケーションへの移行は、自動的に行われるものではありません。組織は、現在オンプレミスにあるアプリケーションをクラウドに「コピー&ペースト」することはできないのです。ここでは、Cloud Workload Protection Platform(CWPP)が重要である4つの理由を説明します:

  1. 多くの企業では、レガシーなアプリケーションやインフラがあるため、機能を完全にクラウドに移行させることができない。
  2. ほとんどの企業は、特定のニーズに応じて、意図的に複数のクラウドベンダーを使用しています。その結果、ほとんどの企業は、状況や設計上、ハイブリッドなマルチクラウド環境で作業していることになります。このため、セキュリティ担当者は、断片化された環境のどこにアプリケーションとデータがあるかを把握し、確認し、管理することが難しくなっています。
  3. 今日、アプリケーション開発者はGitHubのような様々な場所からコードを取得し、ワークロードを活用してアプリケーションを作成し、ターゲットとなる消費者に直接公開します。このアプローチは開発運用(DevOps)と呼ばれ、「継続的イノベーションと継続的開発」(CI/CD)のサイクルで、顧客に素早く対応し、その対応と顧客やパートナーの体験を数週間から数日で改善することができます。
  4. プロセスとスピードのトレードオフ、そしてアプリケーションの絶え間ない改良は、セキュリティがアプリケーション制作のための厳密なゲートでなくなったことを意味します。セキュリティ専門家は、かつてのようにアプリケーションの実行時にコントロールを適用することはできません。ワークロードの性質の変化、可視化と制御の欠如、「常時稼働」DevOps環境の台頭によるデータとアプリケーションへのリスクは、CWPPを現代の企業における重要なセキュリティソリューションとしています。

CWPPはどのように機能するのですか?

包括的なCloud Workload Protection Platform(CWPP)ソリューションでは、オンプレミスおよびパブリッククラウド環境に導入されたワークロードを検出する機能が必要です。また、発見した未管理ワークロードを管理する機能を追加することができるはずです。

セキュリティの観点からは、ワークロードを関連する一連のポリシーと比較することで、ワークロードの脆弱性評価を行うことができるはずです。脆弱性評価の結果に基づいて、完全性保護、不変性またはホワイトリスト、メモリ保護、ホストベースの侵入防止などのセキュリティを適用することができるはずです。なお、純粋なセキュリティの観点からは、マルウェア対策はあまり重要ではありません。マルウェア対策は、あなたの業界を支配する規制と緊密に結合しているかもしれませんが、しかし、それが要求されるかもしれないことを。

その他にもいくつか考慮すべき点があります。

CI/CDパイプラインへの組込み

ワークロードの保護は、アプリケーション開発の自然で理想的な見えない部分として、常にランタイムに適用することはできません。セキュリティをアプリケーションプロセスの左側にさらにシフトさせることで、その偏在性と有効性を高めることができます。

CSPMソリューションとの連携

CWPPは、クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)と緊密に連携し、あるいは理想的には同じソリューションの一部であるべきです。CWPPがワークロードを評価し、それを保護する手段を提供するのに対し、CSPMはワークロードが展開されるクラウドアカウントに対して同じことを行うよう設計されています。この2つのソリューションは非常に自然に融合しているので、同じユーザーエクスペリエンスの一部となるはずです。

CWPPソリューションとインフラを連携させる

CWPPソリューションは、残りのセキュリティ・インフラとシームレスにリンクする必要があります。CWPPがアプリケーションを実行するワークロードの保護に重点を置いているのに対し、Data Loss Prevention (DLP)はアプリケーションが使用・保存するデータの保護に重点を置いている。別の観点では、セキュリティ・オペレーション・センター(SOC)は、クラウドを発生源とする攻撃やクラウドに侵入する攻撃を検出できれば、複雑な攻撃に対する見解を大幅に充実させることができる。SOCがクラウドネイティブの脅威や脆弱性を検出して修復できるようになるまでは、調査担当者はある種の攻撃を部分的に見抜くことができない。

 

CWPPの主なメリットは何ですか?

クラウド・ワークロード・プロテクション・プラットフォーム(CWPP)は、クラウド・ワークロードに対するゼロ・トラスト・セキュリティのユニークな側面に対処するソリューションを提供する:

  1. ワークロード:サーバー、VM、コンテナ、サーバーレス、オンプレミスまたはクラウド、永続的または非永続的
  2. セキュリティの制約がある:ランタイムまたは開発プロセスにおいて
  3. ハイブリッド環境:オンプレミスからクラウドへの移行
  4. マルチクラウド環境:複数のクラウドサービスプロバイダーを企業で利用すること
  5. 発見性と可視性:ハイブリッド、マルチクラウド環境でワークロードを発見し、管理できること。

包括的なCWPPソリューションは、クラウドネイティブなアプリケーションの開発を加速させ、"クラウドの力 "を引き出すのに適しています。主なメリットは以下の通りです:

  1. コスト初期費用の削減、ハードウェアのコスト削減、メンテナンスと運用のオーバーヘッドの削減。
  2. フレキシブルに対応:需要に応じて、アプリケーションの容量を拡大・縮小可能
  3. カスタマーサービスを向上させます:お客様のご要望に迅速かつ的確に対応し、ビジネスを拡大します。
  4. 使いやすさ:スタンドアップしてどこからでも使え、アプリケーションからアナリティクスを収集できる。
  5. セキュリティの話クラウドセキュリティの責任分担と進化

スカイハイ クラウドワークロードプロテクションプラットフォーム(CWPP)

スカイハイのCWPPソリューションは、クラウドネイティブなアプリケーションのセキュリティを確保するための幅広い取り組みの一部です。その際、私たちは明らかに異なるアプローチをとっています。私たちの最終的な目的は、以下の通りです:

  • 問題のさまざまな部分に対する技術的な解決策ではなく、ビジネスの成果に焦点を当てる。
  • すべてのワークロード、環境、クラウドサービスプロバイダーにおいて、包括的な脅威とデータ保護を提供する。
  • ユーザーのワークフローを機能やワークロードの種類で分けるのではなく、継続的に合成することで、管理のオーバーヘッドを削減します。

セキュリティの観点から、スカイハイのCWPPソリューションは、5つの基本的な柱に基づき、これらの目的を実現します:

  1. ディスカバリーとリスクベースの分類
    見えないものは守れない。ワークロードが何であるか、どこにあるかに関係なく、ワークロードを発見することがリスク管理の最初の鍵です。次のステップは、組織にとってのリスクに基づいてアカウントとワークロードの脆弱性を分類することです。これらのリスクを相対的に素早く理解することができれば、修復の優先順位を素早く決めて、全体的なリスクをできるだけ早く減らすことができる。
  2. 左の姿勢と脆弱性をシフトする:
    セキュリティをCI/CDパイプラインに組み込み、開発者が通常のアプリケーション開発プロセスに簡単に組み込めるようにし、アプリケーションが公開される前に安全であることを確認することで、新たな脆弱性を導入する機会を減らし、組織に対する脅威を最小限に抑える。
  3. ゼロトラストのポリシー制御
    CWPPがサポートするスカイハイのCNAPPソリューションは、ゼロトラストのネットワークとワークロードのポリシーに重点を置いています。このアプローチは、SOC戦略の重要な要素である、誰がどのように環境にアクセスしているかについての分析を可能にするだけでなく、人やサービスが必要なタスクを実行するための適切な権限を持つことを保証します。
  4. 統合脅威保護:
    CWPPは、クラウドとオンプレミスのワークロードにまたがる脅威保護を統合します。また、ワークロードの保護とアカウントの許可を同じモーションに統合します。最後に、クラウドネイティブなアプリケーション保護をXDRに接続することで、オンプレミスとクラウドのインフラ全体で完全な可視化、リスク管理、修復を行うことができます。
  5. ガバナンスとコンプライアンス:
    クラウドネイティブなアプリケーションを保護するための理想的なソリューションには、特権アクセスを管理し、ワークロードと機密データの両方について、それらがどこに存在するかに関係なく、脅威対策に対処する機能が含まれます。