見出し画像

クラウドセキュリティの軸となるフレームワーク CNAPPとは #2

shefutechのちょうどいいサイバーセキュリティ

こんにちは

一応、セキュリティ業界にいる
人間の端くれなので、

セキュリティについても
語っていきたいと思っている所存です。



さて、

前回はCNAPPという
概念について説明しました。

クラウド環境を包括的に保護するための
プラットフォームなんだと

ご理解いただけたかと思います。



ただお読みいただいた方の中には、

この3つだけでいいの?

足りないんじゃないの?

というようなご意見をお持ちの方も
いらっしゃいました。


実はというと、
その通りなんです。

単純に3つの柱を意識するだけでは
足りないんです。



CNAPPが提唱されてから
5年以上が経っているのですが、

テクノロジーの世界、
とりわけクラウドの世界では

5年前というのはとてつもなく遠い過去の話、
違う時代の話です。



皆さんご存じの通り
技術は進歩し、
クラウドサービスも進化し、



それに付随して様々な事柄のスピードが
向上してきました。



時代が変われば
当然常識も変わり、

同じことを継続して行えばそれでいい
ということは決してありません。



なのでCNAPPも
技術の進歩に対応して
進化していかなければなりません。



そして実は
昨年2022年に、

CNAPPはバージョン2.0に
バージョンアップしているんです。



CNAPPを提唱している
Gartnerは

最新技術を評価して
世の中に如何に貢献できるものかを
調査している機関なわけですから、



Gartner自身も当然
新しい時代に沿って
概念を進化させ続けています。



それにキャッチアップしていく
セキュリティベンダー達は大変だと思います笑

が、最新の基準を
クリアしていかなければいけないのは

各ベンダーも当然同じです。



逆に言えばGartnerよりも早く
世の移り変わりを察知して
いかなければいけないのです。



そして厳密に言えば、
それはユーザー側も同じです。


セキュリティ基準を満たし、

リスクのない安全な環境を
維持していかなければいけません。



さて、こうして

進化を遂げることになったCNAPP2.0ですが、
どのように進化したのでしょうか。



とその前に、

なぜ進化しなければいけなかったのか、

世の中のどのような変化が
CNAPPの要素を変えさせたのか


その理由から見ていきたいと思います。



キーワードはズバリ、
DevOpsです。



DevOps自体は
皆さんご存じの概念かと思います。


アプリケーションやシステムの
開発と運用の連携・自動化により、

そのライフサイクルを効率化すること
を目的とする概念です。



CI/CDツールの登場や
クラウド上の開発ツールの進化により

開発サイクルが早くなり、
運用との連携が効率的になりました。



それにより開発スピードが
限りなく向上し、

アプリケーションのアップグレードなどを
非常に効率良く行えるようになりました。


ただスピードを重視するあまり、


開発中に
そのアプリケーションに潜むリスクを
気にしながら開発するということが
非常に難しくなりました。



開発を実際に行うのは
当然開発チームです。

つまりアプリケーションのソースコードを
管理するのは開発チームです。


そしてアプリケーションに
脆弱性や機密情報開示のリスクが潜むのも
開発チームが書いたソースコードです。



しかし、

そのリスクを探し、検知するのは
開発チームではなく
基本的にセキュリティチームの役目です。


開発中に絶対にリスクが含まれないように
気を付けている開発者は少ないと思います。


ではセキュリティチームが検査するのは
いつでしょうか?


ソースコードなんて
検査しないでしょうし、


CI/CDパイプライン上でも
セキュリティチームは関与しないでしょう。


セキュリティチームが関わってくるのは

おそらくアプリケーションやシステムの
完成後またはその直前だと思います。


リリース前にリスクを発見するのは
非常に大切ですが、

リリース直前に何かリスクを見つけた場合には
開発プロセスに戻されてしまいます。



開発チームから離れたプロジェクトが、
また戻ってくるのです。

開発チームからしたら
非常に非効率的でリソースを無駄にしてしまいます。


言ってしまえば、

セキュリティは
開発者の足枷でしかないのです。



だからこそ、

DevOpsのライフサイクルの中に
効果的に、無駄なくセキュリティを組み込めるように
DevSecOpsという概念が生まれました。


ご想像の通り、
DevOpsにSecurityが組み込まれただけの言葉です。


ただし文字通りにSecurityを組み込むというのは
簡単なことではないのです。



DevOpesのライフサイクルのスピードを落とさず
セキュリティを担保しなければいけません。



そしてそれを実現してくれるのが

新しいプラットフォームの形である
CNAPP 2.0なんです。



CNAPP 2.0の中身の話をするまでに
かなりかかってしまいましたので、
続きは次の記事に回したいと思います。

いかがでしたでしょうか
少しでも皆さんの
お役に立てれば幸いです。


またご意見などがありましたら、
是非ともご連絡お待ちしています。


最後に、
セキュリティに関する情報をYoutubeでも展開していきたいと思っていますので、

是非流し見ていただければ幸いです。↓

ではまた。


この記事が参加している募集

仕事について話そう

108,762件

この記事が気に入ったらサポートをしてみませんか?