こんにちは、カスタマーサクセス部カスタマーサクセス2課の畑野です。
ひたすらセッションに参加するため朝ごはん、昼ごはんも食べずにコーヒーとオーツミルクを飲み続けていました。 re:Invent期間中は8パイントくらいは飲んだと思います。
今回はあるCNAPP製品のデモについてご紹介します。 re:Invent 2024 EXPO会場にあるFortinet社のブースで体験してきたものです。
CNAPPとは
Fortinet社からの引用です。
Cloud-Native Application Protection Platform(CNAPP)は、コードからクラウドに至るまで、アプリケーション、ユーザー、ワークロード、インフラストラクチャの可視化、リスク管理、脅威防御を提供するために、さまざまな異種クラウドセキュリティツールを統合します。
CNAPPは、クラウド・ネイティブ・アプリケーションのライフサイクル全体に対応します。CNAPPは、リアクティブ・セキュリティ対策とプロアクティブ・セキュリティ対策の統合セットを提供し、企業がサイバーリスクを軽減しながら運用を簡素化できるよう支援します。
A Cloud-Native Application Protection Platform (CNAPP) unifies a variety of disparate cloud security tools to provide visibility, risk management, and threat protection for applications, users, workloads, and infrastructure from code to cloud.
CNAPPs address the full lifecycle of cloud-native applications. They offer an integrated set of reactive and proactive security measures, helping enterprises simplify operations while mitigating cyber risk.
Lacework FortiCNAPP
クラウドネイティブなアプリケーション保護プラットフォーム(CNAPP)
Fortinet社の製品はFortigateのようなUTM製品が有名かと思いますが、CNAPP製品としてLacework FortiCNAPPが発表されました。
AWSではSecurity Hubといったセキュリティサービスがありますが、インスタンスのOSやミドルウェアまで管理しようとなると、そこまで面倒を見てくれないため他ソフトウェアやサービスが候補に挙がります。
インターフェース
ぜい弱性のあるリソースをGUI上で一覧化してくれます。 また各ぜい弱性の危険度がレベル(HighやLow)別に表示されます。
デモ動画はこちら。
ぜい弱性の詳細
CVEやCVSSスコアが表示され、ECインスタンスのどのミドルウェアがぜい弱性を持っているかを表示してくれます。 さらにIAMロールの許可範囲が不必要に広かったり、セキュリティグループがパブリック公開されていたり、あるミドルウェアのバージョンがぜい弱性を含んでいるため、指定バージョン以上にアップデートするよう推奨メッセージまで表示してくれます。
エクスプローラー上からパッチ適用出来るかまでは確認出来ませんでしたが、ぜい弱性の状態を可視化してくれるだけでもかなり有用な印象を持ちました。
最後に
クラウドセキュリティはIaaS側の設定不備や、OSやミドル側のぜい弱性を突いて攻撃されるケースも考えられるので、CNAPP製品を導入すれば総合的に管理出来るため、今後のセキュリティ対策としてはかなり有効ではないかと感じました。