Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

CWPP とは

クラウド ワークロード保護プラットフォーム (CWPP) は、マルチクラウド環境とハイブリッド環境でクラウド ワークロードを保護するのに役立つクラウド セキュリティ ソリューションです。

クラウド ワークフロー保護プラットフォーム (CWPP) の定義

クラウド ワークロード保護プラットフォームは、物理サーバー、サーバーレス機能、仮想マシン、コンテナーに接続されている組織内のクラウド環境全体に一連の保護を提供する包括的なサイバーセキュリティ ソリューションです。

環境が増えるほど、潜在的なセキュリティ リスクが増えます。企業は、これらのリスクを軽減し、アクティブな脅威を迅速に停止するために、これらの多くの環境を保護および監視できるソリューションを必要としています。クラウド ワークロード保護 (CWP) ソリューションは、クラウド ワークロードの監視と管理によって継続的なセキュリティを提供します。

CWPP は、上記のインフラストラクチャ内の脅威、脆弱性、エラーを継続的かつ自動的に検出して対処し、クラウド環境と対話するワークロードをサポートします。

クラウド ワークロードの定義

ワークロードは、コンピューターの能力とメモリを必要とする組織内で実行されるアプリケーションとプログラムです。

クラウド ワークロードは、クラウドでホストされるワークロードと同じものです。これらのクラウドネイティブ ワークロードは、常にスケーリングされ、マイクロサービスなどのより多くのアクティビティをサポートし、増え続けるユーザーがアクセスできる環境の一部です。

広範な CWP ソリューションがない組織では、制御の維持、ベスト プラクティスの適用、深刻な脅威につながる可能性のある脆弱性と問題の検出と修正に困難が生じます。

そこで、CWPP の出番です。

CWPPのしくみ

CWPPは、クラウド環境にデプロイされたすべてのワークロードを検出し、評価を自動的に実行し、ネットワークを監視し、問題を検出し、組織のポリシーに基づいてセキュリティ標準を適用します。

多くの組織がクラウドベースのアプリケーションに継続的インテグレーションと継続的デプロイ (CI/CD) パイプラインを組み込んでいるため、CWPP は、これらの絶え間ない変更に対応し、リリース前に同じ標準をアプリケーションに適用することもできます。

CWPP の機能

CWPP は、組織が クラウド セキュリティ クラウド セキュリティに統合されたアプローチを実行できるようにするための機能のホストを提供します。これには次のものが含まれます。
 
  • 脆弱性の管理CWPP は、クラウド環境で実行されているアプリケーションとソフトウェアを評価し、これらのワークロードが公開される前に構成ミスなどの潜在的なセキュリティ上の懸念事項を見つけます。
  • ネットワーク セグメント化。CWPP は、ネットワークを分割することで、複数の環境のセキュリティを管理する課題を軽減するのに役立ちます。これにより、攻撃者が 1 つのエントリ ポイントを介してネットワーク全体にアクセスすることが難しくなり、チームは脅威が出現する場所をより迅速に把握できるようになります。
  • 不変性。CWPP は、デプロイ後にサーバーを変更できない不変インフラストラクチャをサポートすることで、悪意のあるコンポーネントが環境に侵入するのを防ぎます。承認されていない行動はすべて自動的に懸念を引き起こし、環境に損害が生じる前に対処されます。
  • 整合性保護。クラウド ワークロード保護プラットフォームは、クラウド環境ですべてが適切に実行されるように常に機能し、セキュリティ チームに安心感と時間を与え、より集中的なタスクに集中できるようにします。
  • メモリ保護。CWPP は継続的に動作するため、実行中のアプリケーションに出現する脆弱性を特定できます。
  • 許可リスト。組織にとって一般的なリスクは、承認されていないソフトウェアのインストールと使用です。これにより、セキュリティのベスト プラクティスの追跡と適用が困難になるだけでなく、気付かない可能性のある潜在的なゲートウェイがネットワークに増える可能性もあります。CWPP を使用すると、クラウド インフラストラクチャ内のアプリケーションを許可およびブロックするために自動的に適用されるリストを使用して、これらのリスクを軽減できます。
  • 侵入防止。CWPP は、疑わしいアクティビティや悪意のあるソフトウェアがないか、常にネットワークを監視します。異常またはポリシー違反が検出されるとすぐに、CWPP は問題を防ぐために機能します。
  • エンドポイントでの検出と対応:。複数のユーザーが複数の環境で作業している場合、CWPP はネットワークに接続されているデバイスを監視して脅威や疑わしい動作を検出し、これらの問題を迅速に修復する上で重要な役割を果たします。
  • マルウェア対策スキャン。自動スキャンでは、組織全体のクラウド ワークロードを監視するために、セキュリティ チームに多くの負荷がかかります。CWPP はワークロード内のマルウェアを検出し、インフラストラクチャに入る前に問題を排除します。

CWPP の主な利点

クラウド ワークロード保護プラットフォームは、さまざまな種類のインフラストラクチャを使用してクラウド環境を拡張および最新化している組織に必要な保護を提供します。

CWPP は、次のような組織のセキュリティ リソースを統合する上で大きな役割を果たしています。

  • クラウドにないレガシ インフラストラクチャとアプリ’。
  • 複数のクラウド環境とハイブリッド環境とベンダー。
  • コードを常に発行および修正する開発者。
  • アプリを実行している従業員の幅広いネットワーク。

次のようないくつかの利点があります。

  • 組織全体のリスクを監視し、軽減するための 1 つのプラットフォームによるマルチクラウド保護
  • 脆弱性の評価、セキュリティ ポリシーの適用、トラフィックの管理、クラウド ワークロードのネットワークのセグメント化を行う 1 つのセキュリティ ソリューションを使用するすべての環境の可視性の向上
  • 増加するアプリケーションの保護の管理に役立つ拡張性
  • 継続的な開発サイクルに対応する俊敏性により、開発者はワークロードに適用されるセキュリティのベスト プラクティスを使用してパイプラインを構成できるため、必要な手動監視の量が削減されます。
  • クラウド インフラストラクチャの統合プラットフォームによるコスト削減。また、多くのベンダーが使用量に応じて請求するため、メンテナンス料金が少なくなり、広範なセキュリティ対策により、罰金、収益の損失、高額な諸経費につながる可能性のある高額な問題を防ぐことができます。
  • 組織のセキュリティ ポリシーへの準拠。CWPP は、お客様のニーズや業界のデータ規制に合わせて設計されています。自動脆弱性スキャンを使用して潜在的な脅威や違反を防ぎ、組織のクラウド ワークロードのルールを設定することが容易になります。
  • セキュリティ チームの効率が向上し、CWPP で自動化できる内容に基づいて作業の優先順位を付け、リスクをより迅速にターゲットにして修復し、組織全体のセキュリティ標準を調整できます。

CWPP を実装する方法

CWPP は、企業がマルチクラウド セキュリティ戦略の一部として検討すべき多くのセキュリティ ソリューションの 1 つにすぎません。
 
CWPP ソリューションを選択したら、次の手順を実行して、必要に応じてすべての機能を確認します。
  • 監視とアラートを設定する。リアルタイムのレポートとアラートを使用して、環境を可視化し、セキュリティ チームが考えられる脅威を追跡して修復できるようにします。
  • 開発パイプラインに合わせて調整する。脆弱性評価、脅威の監視、ポリシー適用ソリューションに接続することで、CI/CD サイクルのセキュリティ保護に役立ちます。
  • 自動化アクティビティを構成する。スキャン、監視、修復を自動化して、ソリューションがネットワークの保護を開始し、問題と構成の誤りを特定し、考えられる脅威に迅速に対処できるようにします。
  • フィードバック ループを作成する。分析、ログ、レポート、およびその他の関連データを確認して、ソリューションが正しく動作していることを確認し、セキュリティの改善が必要な潜在的な領域を特定します。
  • 継続的なセキュリティ意識とベスト プラクティスを促進する。クラウド ワークロードのセキュリティを維持するには、ユーザーは有害な可能性のある動作を常に把握し、導入されたポリシーに従う必要があります。

多くの場合、CWPP は、より大規模なクラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) の一部です。

CNAPP - クラウドネイティブ アプリケーション保護プラットフォームCNAPPは、CWPP のワークロード保護ツールと、クラウド アプリケーションに関連付けられているアカウントに重点を置いたクラウド セキュリティ態勢管理 (CSPM - クラウド セキュリティ態勢管理 CSPM ) ソリューションを組み合わせたものです。

さらに、セキュリティ情報イベント管理 (SIEM) ソリューション、またはクラウドベースのプラットフォームの場合は、クラウド インフラストラクチャ エンタイトルメント管理 (CIEM) ソリューションと CWPP を統合することもできます。これらのツールは、特にユーザーのアクセス許可を管理して、アクセス許可違反、未承認のユーザー、違反を特定します。これは、すべてのエンドポイントでマルチクラウド ワークロード保護を維持するために不可欠です。

最後に、組織はクラウド アクセス セキュリティ ブローカー (CASB) を組み込むこともできます。これは、クラウド ユーザーとクラウド サービス プロバイダーの間のセキュリティ ポリシー適用ポイントであり、クラウド アプリ全体に適用できる複数のセキュリティ ツールを提供します。CASB は CWPP と連携してリスクを軽減し、クラウド内およびクラウドに接続されている多くのアプリケーションやデバイス全体でポリシーを適用します。

CNAPP を使用すると、これらすべてのソリューションが共同作業を行い、組織のセキュリティを維持できます。これには、ワークロード、開発パイプライン、ユーザー アカウント、すべての環境内のデータが含まれます。

CWPP のベスト プラクティス

CWPP などのマルチクラウド ワークロード保護は、環境をセキュリティで保護するための大規模なアプローチを提供します。それでも、これらのソリューションは強力ですが、ユーザーが積極的な姿勢を保ち、CWPP に従って作業できるようにするためのベスト プラクティスを確立することは、組織にとって依然として重要です。

これを行うには、次の点を考慮してください。
  • 脅威への対応を自動化する。自動化により、セキュリティ チームが大規模なネットワーク全体で潜在的な脅威を簡単に確認および修復できるようになります。AI を利用したツールを利用して、データの収集、脅威の検出、誤検知の最小化、問題の調査、問題への迅速な対応を行うことができるようになりました。
  • セキュリティを運用化する。ガバナンス ルールは、セキュリティ プラットフォームを実装する際に留意することが重要です。これらを使用して、自動修復の標準を通知します。これにより、問題を確認して修正するための、より組織的で効率的なチケット発行システムがサポートされます。
  • 継続的なセキュリティ教育を提供する。環境を保護する強力なテクノロジがあっても、セキュリティ教育によってリスクをさらに軽減し、意識を高めることができます。従業員にベスト プラクティスと継続的なトレーニングに関する最新情報を提供し、組織内の全員が安全な会社を維持する上で自分たちが果たす役割を理解できるようにします。
  • 認識を促進する。リスクの軽減と脅威の監視は、適切なテクノロジが導入されている場合でも、チームにとって優先順位を付けることが重要です。最新の脅威、業界コンプライアンス標準、導入された新しいプロトコルをチームに常に認識させることで、スマートなセキュリティ行動を促進します。ユーザーが任意の数のデバイスからクラウドにアクセスする場合、セキュリティ チームが手間をかけずにネットワーク全体のアクセス制御を管理および監視できるように、ユーザーがエンドポイント セキュリティ手順に従うことが重要です。
  • ゼロ トラスト モデルを実装する。最も堅牢なサイバーセキュリティ プラットフォームでも、脅威が問題になる可能性は常にあります。そのため、サーバー、仮想マシン、デバイス、アプリケーション間でゼロ トラストを適用することが重要です。ユーザー認証、認可、アクセス許可を要求すると、ワークロードが侵害されるのを防ぐことができます。

ビジネスに適した CWPP を探すときは、ネットワークの規模、つまり対象となる予定のサーバー、コンテナー、データベース、仮想マシン、その他のインフラストラクチャの数を考慮してください。

Microsoft Defender for Cloud は、CWPP、CSPM、マルチクラウド環境とハイブリッド環境を保護するための追加のセキュリティ ソリューションを組み込んだ包括的な CNAPP です。リスクを軽減し、脅威を迅速に特定して対応し、アプリ、開発パイプライン、デバイスのセキュリティ管理を統合します。

Microsoft Security の詳細情報

  • Microsoft Defender for Cloud

    包括的な CNAPP を使用して、マルチクラウド環境とハイブリッド環境をセキュリティで保護します。

  • Microsoft Defender for Cloud Apps

    サービスとしてのソフトウェア (SaaS) セキュリティ ソリューションを使用して、アプリとデータを保護し、セキュリティ態勢を強化します。

  • Microsoft Defender クラウド セキュリティ態勢管理

    クラウド環境を完全に可視化し、分析情報を得ることでリスクを軽減します。

  • Microsoft Defender for DevOps

    マルチクラウド開発パイプライン全体で DevOps セキュリティ管理を統合します。

  • Microsoft Sentinel

    インテリジェントセキュリティ分析により、脅威の検出と対応をよりスマートかつ迅速に行うことができます。

よく寄せられる質問

  • CWPP と CSPM の違いは、クラウドのどの部分をセキュリティで保護するかです。CWPP は、デプロイされているクラウド環境全体で実行されているワークロードをセキュリティで保護します。CSPM は、同様の評価と自動化されたセキュリティ プロセスを提供しますが、クラウド インフラストラクチャ自体に対して提供されます。

  • CWPP は CNAPP の一部と見なすことができます。CNAPP は、CIEM ID 管理に加えて、他の CWP ソリューションの要素 (CWPP のワークロード保護や CSPM のインフラストラクチャ保護など) を統合します。

  • リスク検出
    CWPP は、セキュリティ ポリシーに基づいて脆弱性評価を実行し、潜在的なコンプライアンスの問題、マルウェア、脅威のドアを開く可能性のあるワークロードに対する未承認の変更を明らかにします。

    ランタイム保護
    CI/CD パイプラインのセキュリティを可視化し、開発チームがより集中的な作業に集中している間にエラーを自動的に検出して修正します。

    ネットワーク セグメント化
    動作を監視し、アプリケーション制御を管理することで、クラウド環境とユーザー デバイス全体のネットワークに統一されたアプローチを適用します。これは、脅威を防ぎ、セキュリティ要件を適用するのに役立ちます。

  • クラウド ワークロード保護プラットフォームで提供されるセキュリティ ソリューションを使用して、クラウド ワークロードをセキュリティで保護できます。CWPP には、脆弱性のスキャン、脅威の検出と防止、アクセス制御アクセス制御、さまざまなクラウド環境で実行されているワークロードに対するコンプライアンスの適用が含まれます。これには、物理サーバー、仮想マシン、コンテナー、サーバーレス機能が含まれます。

Microsoft Security をフォロー