ASM×CNAPPの組み合わせで
高度なクラウドセキュリティーを

　高速な開発や施設を持たないインフラ運用など、ビジネスに多くのメリットをもたらしてくれるパブリッククラウドサービスだが、活用に際しては注意しておくべき点がある。サイバー攻撃の被害に遭わないようにするためには、クラウド上の脆弱性や設定ミスなどのリスクに適切に対処することが重要だ。

　「クラウドのセキュリティー対策においては、『攻撃者の目に自社のIT資産がどこまで映っているか』『そのIT資産に潜むリスクは何か』の2点を把握することが大切です」と語るのはCloudbaseの大峠 和基氏だ。具体的に、前者はASM（Attack Surface Management：アタックサーフェス管理）、後者はCNAPP（Cloud Native Application Protection Platform：クラウドネイティブアプリケーション保護プラットフォーム）を利用することで実現できるという。

　ASMの主要機能として「IT資産の管理」と「リスクの発見」が上げられる。社内で管理が及んでいないサービスや、意図せず外部に公開されているシステム、既知の脆弱性を持つコンポーネントなどを網羅的に把握することができる。

　「従来の脆弱性管理ツールと比べて、ASMは導入が容易で、すぐに資産の可視化やリスク検査を実行できる点がメリットです。そのため、セキュリティーの第一歩として多くの企業で導入が進んでいます」（大峠氏）

　ただ、ASMにも限界がある。検出対象が外部からアクセス可能なIT資産に限定されることはその一例だ。見えているのは“氷山の一角”で、それ以外にもリスクは存在し得ることを常に意識しておく必要がある。

　また、攻撃者の動作を模倣してIT資産を推定する仕組み上、偽陰性が生じやすいというデメリットもある。

　「ASMの話をする際にあまり指摘されないのですが、実はリスクの詳細な位置を特定できない点もASMの弱点です。リスクが存在するドメインやIPアドレスは分かるものの、具体的に内部のどのサービスにあるか、あるいはコンピュータ内のどの位置にリスクがあるのかまでは分からないのです」と大峠氏。容易に導入が可能で、シャドーITの発見などに大きな効果を発揮するASMだが、それだけで高い安全性を確保することは難しいという。

　CNAPPは、クラウドにおける設定ミスの検出やワークロード保護、権限管理といった複数のセキュリティー機能を統合したクラウドセキュリティープラットフォームである。

　そもそもクラウドセキュリティーでは、何百種類にもおよぶクラウドサービスそれぞれで守るべき点が異なるため、単一のソリューションのみを使ったとしても安全であると言い切れない。例えば、サーバー保護はEDR、アプリケーション通信はWAFといったように１つずつ検討・導入していては、膨大な手間と時間がかかってしまう上に、対処漏れが発生してしまうだろう。「そこで、様々なツールや製品で構成された包括的なプラットフォームを用意して守りましょう、というのがCNAPPの基本コンセプトです」と大峠氏は説明する。

　とはいえ、CNAPPにも弱点がある。シャドーIT化してしまったクラウド環境は監視対象にできないことである。企業では、複数の部門がそれぞれ別のクラウドサービスを使っているケースが多くある。また、ホールディングス全体で導入する場合、子会社ごとにどんなクラウド環境があるかを洗い出していかなければならない。マルチクラウド構成や、子会社・複数部署ごとに異なる環境を用意できてしまうことが、CNAPPを開始する際のボトルネックとなる。

　「また、様々なリスクを検出できるツールのため、リスクの対応順の見極めには知見とノウハウが必要です。氷山のたとえ話でいえば、CNAPPでは水面の下にある領域も検査できますが、その分、通知されるアラートも膨大になるため、どこから手を付ければよいか分からなくなりがちなのです」と大峠氏は話す。

　ここで、ASMとCNAPPの特徴をよく見ていくと、互いの課題を補い合えるツールであることが見えてくる。ASMによる外部からの簡易検査と、CNAPPによる内部までの精密検査を組み合わせることで、デメリットを相殺できるのだ。

　例えば、CNAPPの弱点として挙げた「クラウド資産の収集」は、ASMが得意とする。あらかじめASMでクラウド資産を収集しておき、その後CNAPPで精査するという流れを構築できる。

　アラート対応の優先順位付けも、ASMで検出された資産に注目すれば効率的に絞り込めるという。「ASMで検出できるということは、その情報は攻撃者も同じく知っていると言い換えることができ、狙われる可能性が高いと判断できるからです」と大峠氏は言う。

　反対に、ASMの限界をCNAPPで補うこともできる。例えば、リスクの詳細な場所については、CNAPPを使ってどのディレクトリのどのファイルに存在するのかまで、詳細に特定することが可能だ。

　「手順としては、まずASMでIT資産の棚卸しを行い、次にCNAPPでクラウドリスクを網羅的に検出します。さらにASMで外から見えるリスクを特定し、その場所をCNAPPで特定して対処する。このようなフローをお勧めします」と大峠氏は解説する（図1）。

　Cloudbaseも独自のCNAPPソリューションを展開している（図2）。特長は、最小限の運用工数で、専門知識のないユーザーでもリスク対応を実行できる点だ。「セキュリティー運用に詳しくても、新しい技術であるクラウドには不慣れな方は大勢います。また、日本はセキュリティー人材が不足しているのでセキュリティーに強い人材が現場にいないケースも考えられます。当社のソリューションでは、このようなスキルの差をなくし、誰でもセキュリティーリスクへの対処を進められる工夫を施しています」と大峠氏は紹介する。

　例えば、インターネット公開状況をはじめとした複合的な要因に基づいてリスクを評価することで、緊急度の高いリスクを簡単にトリアージできる。加えて、リスク修正の際に取れる手段が複数あったときプッシュ型で手段を提案してくれる仕組みや、画面に表示されたコマンドをコピー＆ペーストするだけで修正を行える機能を備える。

　さらにCloudbaseは、CNAPPと連携可能なASMも近日中にリリース予定だ。リスクの評価・検出はもちろん、プロフェッショナルチームによるレポートやサービスの提供など、他社にない特長も盛り込まれるという。

　まずはASMとCNAPP、それぞれの特性をしっかり理解することが重要だ。その上で、最適なリスク対応体制を構築することが、現在の企業・組織に求められている。