Download as PDF, PPTX
Uploaded byTyphon 666
CNAPP, a cloud security solution for Multi-Cloud, and operational issues in corporate use
20250201 Burikaigi2025での発表スライドです
More Related Content
![Carlos García - Pentesting Active Directory Forests [rooted2019]](https://cdn.slidesharecdn.com/ss_thumbnails/carlosgarcia-rooted2019-pentestingactivedirectoryforests-public-190403185357-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to CNAPP, a cloud security solution for Multi-Cloud, and operational issues in corporate use
![[VMware Partner Exchange Tokyo 14Apr2014] ネットアップセッション資料](https://cdn.slidesharecdn.com/ss_thumbnails/vmwarepextokyo0414netapp-140520195858-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送](https://cdn.slidesharecdn.com/ss_thumbnails/0307-190307093545-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Modern Cloud Day Tokyo 2019] ゼロから再設計したOracle Cloudのデータ保護戦略~7つの原則とその実装](https://cdn.slidesharecdn.com/ss_thumbnails/mcd19d-4-190823065732-thumbnail.jpg?width=640&height=640&fit=bounds)
![[DevSumi2019]Cloud Native アプリケーションに最適!Oracle Cloud Infrastructureの魅力!](https://cdn.slidesharecdn.com/ss_thumbnails/devsumi2019ocicloudnativeapps-190225085314-thumbnail.jpg?width=640&height=640&fit=bounds)
![レガシーに埋もれたデータをリアルタイムでクラウドへ [ATTUNITY & インサイトテクノロジー IoT / Big Data フォーラム 2018]](https://cdn.slidesharecdn.com/ss_thumbnails/attunityseminar20181206msnakagawa-181211014925-thumbnail.jpg?width=640&height=640&fit=bounds)
CNAPP, a cloud security solution for Multi-Cloud, and operational issues in corporate use
- 1. CNAPP, a cloudsecurity solution for Multi-Cloud, and operational issues in corporate use Shun Yoshie 2025/02/01 Burikaigi2025 #burikaigi
- 2.
- 3. Security Consultant AWS SecurityHero My Introduction Shun Yoshie Security-JAWS Community Multi-Cloud Cloud Native Audit CNAPP Security Observability Interest
- 4. 01. Multi-Cloud Agenda 02. CNAPP 04.CNAPP for Multi-Cloud 03. CNAPP for each cloud 05. Operational design of CNAPP 06. Conclusion
- 5.
- 6.
- 7.
- 8. AWS Which cloud areyou using and why? Microsoft Azure Google Cloud Oracle Cloud Infrastructure Three major Multi-Cloud Four major Multi-Cloud 今回は、上記定義における四大クラウドとセキュリティ ベンダーの対応にまで話を広げてお話します。
- 9.
- 10. CNAPP (Cloud-Native ApplicationProtection Platform) はサイ ロ化されたクラウドセキュリティ機能を束ね、クラウドネイティブ 環境そのもの、アプリケーションやワークロード、 CI/CDなどを包 括的に保護する統合型セキュリティソリューション 2021年にGartner社によって提唱された当初の機能は下記を有 するもの: ● Container Scanning ● IaC Scanning ● CSPM ● CWPP ● CIEM ● etc CNAPP
- 11. UTM(Unified Threat Management)はオンプレミスに おける統合型セキュリティソ リューション ● FW ●IDS/IPS ● WAF ● URLF ● AV ● Email FW ● etc UTM Integrated Security Solution CNAPPはクラウドにおける 統合型セキュリティソリューショ ン CNAPP
- 12.
- 13. コンテナイメージスキャン - コンテナイメージの脆弱性をスキャンし、ビルド時 やデプロイ前に問題を検出する。 運用課題: - スキャンのタイミング -対策優先度のトリアージ 対策案 - イメージプッシュと早朝帯のデイリースキャンの実 行 - 重大度に基づいたフィルタリングを導入し、影響の 大きい脆弱性から優先的に対応 Container Image Scanning AWS Container Image Scanning https://aws.amazon.com/jp/blogs/containers/container-scanning-update s-in-amazon-ecr-private-registries-using-amazon-inspector/
- 14. CSPM(クラウドセキュリティ態勢管理) - クラウドセキュリティの構成不備・管理不備・リスク を可視化 運用課題 - アラートのクロージングとグリーンステータスキー プ -クラウドプロバイダー間でのポリシー統一の困難 対策案 - 対応するフレームワーク(CIS, NIST, PCIDSS,etc)を 決めて初期対応で100%対応。発生ベースにク ローズ - 最低限でもMFA、高リスクポート対応、公開バケッ ト不可など最低限の対応ルールを決定 CSPM OCI Cloud Guard https://www.oracle.com/jp/security/cloud-security/cloud-guard/get-starte d/
- 15. CWPP(クラウドワークロード保護プラットフォーム ) - クラウド上のワークロード(VM、コンテナ、サーバレ ス)を保護、ランタイムの脅威検知 運用課題 - マルチクラウド環境における統一的なワークロード 保護の困難性 -実行環境ごとのセキュリティ要件が異なることがある (監査も困難) 対策案 - クラウド横断のセキュリティポリシー策定 - データ重要度によるクラスター分離 CWPP Sysdig Monitor https://docs.sysdig.com/en/docs/sysdig-monitor/integrations/integration- library/kubernetes/
- 16. IaC Scanning(IaC スキャン) -Infrastructure as Codeをスキャンし、セキュリティフ レームワークをベースにセキュリティリスクを特定 運用課題 - スキャンのタイミング - 既存のコードにセキュリティポリシーを適用するの が困難 対策案 - CSPMのスキャン頻度に合わせる - 対応するフレームワーク(CIS, NIST, PCIDSS,etc)を 決めて初期対応で100%対応 IaC Scanning Datadog IaC Scanning https://docs.datadoghq.com/ja/security/cloud_security_management/iac _scanning/
- 17. CIEM(クラウドインフラ権限管理) - クラウドにおけるリソースやIAMの権限管理(Who, What, How)の可視化 運用課題 -大規模クラウド環境における適切な権限管理が困 難 - 一時的な権限付与が放置されて、過剰な権限状 態が発生 対策案 - RBACの強化、最小権限の原則の徹底 - 一時的認証サービス、JIT機能の利用 CIEM Microsoft Entra Permission Management https://jpazureid.github.io/blog/azure-active-directory/introducing-new-fe atures-of-microsoft-entra-permissions-management/
- 18.
- 19. KSPM(Kubernetesセキュリティ態勢管理) - Kubernetesクラスタのセキュリティ設定の管理、リ スクの特定 運用課題 - マルチクラスタにおけるセキュリティポリシーの統 一困難 -KSPM機能におけるルールとCIS Kubernetes / EKS / AKS / OKE / GKE Benchmarkの項目の提供量の 乖離 対策案 - 対象システムにおけるセキュリティ基準の明確化 - kube-benchのようなOSSの活用も検討 KSPM kube-bench https://www.yjlink.cc/?id=3173
- 20. SSPM(SaaS セキュリティ態勢管理) - SaaSアプリケーションのセキュリティ設定やコンプ ライアンス状況を可視化 運用課題 -企業における全てのSaaSは管理できない(国産 SaaSなど) - シャドーSaaSの発見と管理 対策案 - リクエストを上げるか、SaaS側の管理APIを利用し て、ログの取得とセキュリティ監視スクリプトの構築 - CASBやURLFのログから未承認のSaaSアプリの発 見を行う SSPM Microsoft Defender for Cloud Apps https://365cloud.jp/cloud-app-security/
- 21. ASPM(アプリケーションセキュリティ態勢管理 ) - アプリケーションの包括的なセキュリティ管理と リスクの可視化 運用課題 - セキュリティ責任が複数の部門に跨る -SAST/DASTツールとの併用による可視化結果 が異なる状況の発生 対策案 - ダッシュボードの共有と対策の指示 - SAST/DASTは一線が見るべきTool、ASPMは二 線が見るべきToolなので、極力SAST/DASTの 結果を重視、ASPMは補足扱いが吉 ASPM Crowdstrike ASPM https://www.crowdstrike.com/platform/cloud-security/aspm/ ※Three Line of Defence 一線 二線 三線 情報セキュリティやリスク 管理部門 監査部門 業務運営・現場部門 最高 経営者
- 22. CDR(クラウド検知・対応) - クラウド環境の脅威の検知・可視化、不正なアクセ ス・データ漏洩の兆候を分析 運用課題 - 脅威発生からインシデントレスポンスおよびクロー ズまでの時間との格闘 -リスクを多く含む環境下ではノイズが大量発生 対策案 - (極力)自動化、ただし、クローズ結果は目で確認す ること - リスクを低減させるアプローチを持って環境のハー ドニングを行うこと CDR Amazon GuardDuty https://aws.amazon.com/jp/blogs/aws/new-using-amazon-guardduty-to- protect-your-s3-buckets/
- 23. DSPM(データセキュリティ態勢管理) - データの保存場所、アクセス権、暗号化状態など を分析し、機密データのリスクを可視化 運用課題 - クラウド環境全体におけるデータの所在・タグ付け を正確に把握・実施するのが困難 -アクセス権限管理が複雑化し、過剰な権限が設定 されやすい 課題への対応例 - データ分類ポリシーを明確化し、自動検出ツール を活用して機密データを特定・タグ付け - IAMポリシーの定期監査を行い、最小権限の原則 を適用 DSPM OCI Data Safe https://docs.oracle.com/ja/learn/oracle-datasafe-db-security-mgmt/#task -6-start-audit-trails-and-enable-audit-policies-in-activity-auditing
- 24. ASM(攻撃表面管理) - 外部から見える攻撃対象領域を特定し、リスクの あるサービスを管理 運用課題 - 外部公開されている資産と所有者を正確に把握す るのが困難 -推論機能による他社システムを誤って管理してし まうこと 対策例 - 資産所有者(ドメイン管理者、システム管理者など ) を社内ルールにて徹底管理、資産管理の見直し - IPアドレス可変のシステムはドメインで管理登録す ること ASM Mandiant Advantage https://cloud.google.com/blog/ja/products/identity-security/attack-surfac e-management
- 25. APM(攻撃経路管理) - 攻撃者が悪用しうる経路と現状構成におけるリス クの事前特定 運用課題 - ネットワーク構成が複雑化すると、攻撃経路の特 定が困難 -経路上のリソースにおけるアクセス権限が複雑化 対策例 - ASMとの組み合わせで、Attack SurfaceとAttack Pathがともに健在しているシステムから対策 - CIEMを活用してアクセス権限の見直し APM Google Attack Path Simulation https://cloud.google.com/blog/products/identity-security/security-comma nd-center-adds-attack-path-simulation-to-stay-ahead-of-cyber-risks?hl= en
- 26. SBOM(Software Bill ofMaterials) - ソフトウェアの構成情報をリスト化し、サプライ チェーンリスクの可視化 運用課題 - ソフトウェアのバージョン管理、ライセンス管理、依 存関係、脆弱性情報の追跡が煩雑 - 構成管理、IT資産管理、脆弱性管理がバラバラで 煩雑 対策案 - 自動更新とアラートの挙げ方の見直し - 企業内で共通したSBOMの管理を行うこと SBOM Amazon Inspector SBOM Generator https://aws.amazon.com/jp/blogs/security/enhance-container-software-s upply-chain-visibility-through-sbom-export-with-amazon-inspector-and-q uicksight/
- 27. AI-SPM(AIセキュリティ態勢管理) - AIのセキュリティ、ガバナンス、リスク、コンプラ イアンス、シャドーAIの利用状況、モデルの脆 弱性、悪用状況の可視化 運用課題 - シャドーAIモデルの利用判明 -OWASP Top10 for LLM内容のモニタリングに対 するインシデントレスポンスの困難性 対策案 - シャドーAIの利用停止 - 組織向けにルールの徹底、外部公開アプリの フロントエンドでWAFなどを活用、バックエンド 側ではLLMからバックエンドへのレスポンスで バリデーション対策など AI-SPM Wiz AI-SPM https://www.wiz.io/academy/what-is-ai-security-posture-management-ai -spm
- 28. SAST(静的アプリケーショ ンセキュリティテスト) ソースコードを解析し、脆 弱性がないかを確認する テスト Other Security LegacyFunction SAST DAST(動的アプリケーショ ンセキュリティテスト) アプリケーション内部の相 互作業などにおける脆弱 性がないかを確認するテ スト DAST SCA(ソフトウェア構成分析) ソフトウェアのコンポーネ ント、サポートライブラリ、 直接および間接の依存 パッケージなどを分析 SCA
- 29.
- 30. CNAPP for eachcloud AWS Azure Google Cloud Oracle Cloud SAST Amazon CodeGuru Security GitHub Advanced Security ー ー DAST ー ー Web Security Scanner ー ASPM ー ー ー ー SBOM / SCA Amazon Inspector SBOM Generator Github Dependency Graph Artifact Analysis Application Dependency Management VM Amazon Inspector Microsoft Defender for Cloud Google Cloud Security Command Center OCI Vulnerability Scanning Service
- 31. CNAPP for eachcloud AWS Azure Google Cloud Oracle Cloud Container Image Scanning Amazon ECR Image Scanning Microsoft Defender for Cloud Artifact Analysis OCI Vulnerability Scanning Service DSPM Amazon Macie Microsoft Defender for Cloud Sensitive Data Protection Oracle Data Safe CDR Amazon GuardDuty Microsoft Entra ID Protection / Defender for Cloud Google Cloud Security Command Center Oracle Cloud Guard CWPP Amazon GuardDuty Microsoft Defender for Cloud Google Cloud Security Command Center Oracle Cloud Guard Container Security(beta) APM ー Microsoft Security Exposure Management Attack Path Simulation in SCC ー
- 32. CNAPP for eachcloud AWS Azure Google Cloud Oracle Cloud CIEM AWS IAM Access Analyser Microsoft Entra Permissions Management Google Cloud Security Command Center ー IaC Scanning ー Microsoft Defender for Cloud Google Cloud Security Command Center ー KSPM AWS Security Hub Microsoft Defender for Cloud Google Cloud Security Command Center Oracle Cloud Guard Container Security(beta) CSPM AWS Security Hub / AWS Config Microsoft Defender for Cloud Google Cloud Security Command Center Oracle Cloud Guard ASM ー Microsoft Defender EASM Mandiant Attack Surface Management ー
- 33. CNAPP for eachcloud AWS Azure Google Cloud Oracle Cloud SSPM ー Microsoft Defender for Cloud Apps ー ー AI-SPM ー Microsoft Defender for Cloud ー ー
- 34. OSS or Freesecurity to complement CNAPP OSS Tools SAST Spotbugs / Arnica / SonarQube DAST Zap / Burp / Brakeman SCA ABOM Scanner / Aikido / Arnica SBOM SBOM Tool / vcpkg / Grype Container Image Scanning Dockle / Trivy / Snyk Container IaC Scanning cfn-nag / cdk-nag / checkov / Snyk IaC
- 35.
- 36.
- 37. 非対応 AWS / OCI CNAPPfor Multi-Cloud 三大クラウドに対応 ただし、SIEMは四大クラウド向けに コネクタを提供(下記ニュースの影響?) - Microsoft Sentinel - Google Security Operations (旧 Chronicle) Azure / Google Cloud オラクル、「2023 Gartner® Magic Quadrant™ for Strategic Cloud Platform Services」においてリーダーの 1 社に位置づけ https://blogs.oracle.com/oracle4engineer/post/ja-gartner-strategic-cloud-platform-services-leader
- 38. ● Crowdstrike ● Fortinet ●Uptycs Supports the three major clouds Third-party CNAPP for Multi-Cloud ● Wiz ● Tenable ● Trend Micro ● Datadog ● Sysdig ● Orca Security Supports the four major clouds オラクル、「2023 Gartner® Magic Quadrant™ for Strategic Cloud Platform Services」においてリーダーの 1 社に位置づけ https://blogs.oracle.com/oracle4engineer/post/ja-gartner-strategic-cloud-platform-services-leader ● Palo Alto Networks ● Check Point ● SentinelOne ● Aqua Security ● Dynatrace
- 39.
- 40. Issues regarding CNAPP 先に記述した、各機能ごとにおける導入・運用設計課題と合わせて考える課題 はたくさんある。 -組織におけるKPIの設定 - 監視対象範囲 - シングルクラウドvs マルチクラウド - CNAPPを導入するべきか? - クラウドベンダー提供のものだけ利用でいいのでは? - どの機能を活用するか? - 運用するのは誰か? - モニタリングの頻度は? - コスト - etc
- 41. Periodic vs Real-Time Monitoring CNAPPの各種機能は定期モニタリングなのかリアルタイ ムモニタリング(即時アラート)なのか考慮が必要 導入する先のシステムの特性、組織規模に応じて、 CNAPP機能を利用する部門の役割も変わるが、おおよ そ図のような形になる 企業規模によっては一部門で全て (Dev/Sec/Ops)を担う こともある SAST/DAST ASPM SBOM/SCA VM Container ImageScanning DSPM CDR CWPP APM CIEM IaC Scanning KSPM CSPM ASM 2線 1線 リアル タイム 定期
- 42.
- 43. Conclusion 下記についての説明 - マルチクラウド - CNAPP -クラウドベンダーごとのCNAPP機能 - マルチクラウドにおけるCNAPP - CNAPPの運用設計
- 44. CREDITS: This presentationtemplate was created by Slidesgo, including icons by Flaticon, and infographics & images by Freepik Thanks! Do you have any questions? X: @Typhon666_death FB: Shun Yoshie LN: Shun Yoshie