本文の内容は、2024年11月25日に Michael Scholl が投稿したブログ(https://sysdig.com/blog/the-evolution-of-vulnerability-scanning/)を元に日本語に翻訳・再構成した内容となっております。
アプリケーションの開発とデプロイメントが進化するにつれ、従来のツールだけでは、クラウドやクラウドネイティブ環境の動的で一時的な性質に対応できなくなりました。この記事では、クラウドネイティブアプリケーション保護プラットフォーム ( CNAPP ) がこれらの課題にどのように対処して、カバレッジを強化し、優先順位付けを合理化しているかについて説明します。ベスト プラクティスを共有し、コンテキストの重要性を説明し、効果的な脆弱性スキャンおよび管理プログラムを使用して、最新のクラウド環境の速度とスケーラビリティを管理する方法を説明します。
従来の環境では、エージェントが各マシンにインストールされ、ソフトウェア部品表 ( SBOM ) または脆弱性データを収集して、分析のために一元化された場所に送信します。または、ネットワークベースのスキャナーが SSH または同様のプロトコルを介してマシンに接続するため、運用上のオーバーヘッドが大幅に増加し、カバレッジを最大化するために広範な権限が必要になります。これらの方法では、セキュリティチームに膨大な量のレポートが提供されることが多いですが、それらは何が問題かを強調するだけで、問題の修正方法や優先順位付けのための実用的な洞察を提供することができません。
これにより、2 つの重要な課題が生じます:
- 短期間で拡大する環境: リスクを最小化するために、どのようにカバレッジを最大化しますか?
- 情報過多: 最も重要な問題をどのように優先順位付けしますか?
クラウドのスピードで脆弱性スキャンを行うための 5 つのベストプラクティス
クラウド環境で真のセキュリティを実現するには、最新のインフラストラクチャーに対応した戦略が必要です。このセクションでは、スピードやイノベーションを犠牲にすることなく、組織がクラウド環境を効果的にスキャン、保護、管理できるようにするための 5 つの重要なプラクティスについて説明します。
ビジネスのリスクを理解する
堅牢なリスクフレームワークを定義することは、ビジネスにとって最も重要な問題を特定する上で不可欠です。適切に開発されたフレームワークは、情報に基づいた意思決定や効果的なツールおよび修復戦略の実装に必要なコンテキストを提供するのに役立ちます。
リスクフレームワークを開発する際には、次の点を考慮してください。
- コンプライアンス要件: 企業のコンプライアンス義務を理解することで、最も重要なインフラストラクチャーとその保護のニーズが明らかになります。
- コンテキストとニュアンス: いくつかの手順は単純に見えるかもしれませんが、環境によってリスクレベルが異なるなどのより深いニュアンスが優先順位付けと戦略に大きな影響を与える可能性があります。
自動化を取り入れてシフトレフトする
コンテナとサーバーレス テクノロジーの台頭により、開発者が開発ライフサイクルの早い段階で問題に対処することが極めて重要になっています。この段階で脆弱性を修正することで、重大なリスクがランタイム環境に到達するのを防ぎ、プロアクティブでセキュリティを第一に考えるポスチャーを育むことができます。自動化とセキュリティのシフト レフトによりフィードバック ループが作成され、開発者は最初から情報に基づいた安全な決定を下すことができます。
適切なユースケースに適したツールを選択する
エージェントベースのツールは、重要なアプリケーションに対する包括的なランタイム分析情報 を提供することで、永続的なインフラストラクチャーで優れた機能を発揮します。これらの分析情報は、単一のノードでもクラウド環境全体でも、リスクをリアルタイムで分離するのに役立ちます。
ただし、コンテナやサーバーレス環境の短命な性質により、 エージェントレスの脆弱性スキャンが必要になることがよくあります。エージェントレスソリューションは、高速でオーバーヘッドの少ないカバレッジを提供するため、速度とシンプルさが優先される環境に最適です。
万能のソリューションはありませんが、エージェントベースのツールとエージェントレスのツールを組み合わせることで、最新のクラウド エコシステムを最も包括的にカバーできます。
適切な修復および緩和策を確立する
クラウド環境では緩和と修復が異なります。ここでコンテキストが重要になります。
従来の環境では、サポートインフラストラクチャーを管理するチームが通常存在します。内部ネットワーク上にクリティカルな CVE を持つホストがある場合、その CVE がローカルマシンアクセスでのみ悪用可能であるか、昇格された権限でのみ悪用可能である場合は、そのホストが悪用される可能性は低くなります。
Kubernetes アドミッションコントローラーやクラウド構成、Infrastructure as Code (IaC)チェックなどのテクノロジーによる検出方法と適用モデルは、環境のベストプラクティスを理解し、効率的に適用するためのより優れた方法論を提供します。
コンテナ インフラストラクチャー内の標準ベースイメージなどの追加戦略により、ベースイメージレベルでのリスクを可能な限り軽減できます。これにより、開発者は自分自身とビジネスにとって最も重要なことに集中できるようになります。
明確な所有権パターンを定義する
従来の環境では、リソースと結果の所有権を定義するのは比較的簡単です。しかし、クラウド環境ではクラウドが無秩序に広がり、所有権の特定が困難になります。
一部の組織では、タグ付けとラベル付けの戦略でクラウドのスプロール化に対処しています。その目的は、大規模なクラウドまたはクラウドネイティブインフラストラクチャー全体に繰り返し可能なメタデータを適用することで、リソースの所有権の定義を支援することです。これにより、クラウド境界内にセグメンテーションレベルを作成することができ、通常はプロバイダーレベルで適用できます。
他の組織では、各アカウントを個別のチーム、アプリケーション、またはビジネス ユニットに所属させることができるAWS Organizationsなどのアカウント管理戦略を選択しています。ただし、これには集中型ネットワークの形で大きな運用コストがかかり、コンプライアンス上の理由で特定のアカウントセグメンテーションを必要としない組織にとっては、不要な複雑さが加わることがよくあります。
一部の CNAPP 製品は、CS を通じて所有者を決定するために、VSC レイヤーに統合されています。どちらも有効な戦略ですが、最終的には所有権パターンを定義することが、クラウドの速度で運用しようとするときに最も役立ちます。
データ vs. 情報: コンテキストが鍵
脆弱性データだけでは、修復作業を効果的に優先順位付けするには不十分です。クラウド構成、ネットワークの露出、機密データ、権限などの追加のコンテキストは、エージェントを必要とせずにクラウド API から取得できます。
この充実したコンテキストにより、環境の全体的なビューが作成され、ビジネスクリティカルな目標に沿った優先順位付けフレームワークの開発が可能になり、チームのノイズが軽減されます。
まとめ: クラウドは異なる存在です — その変化についていこう
すべての脆弱性スキャナーが「クリティカルな」問題を発見すると、圧倒されるのは簡単です。効果的なリスク優先順位付けがその解決策です。脅威インテリジェンス、資産の重要度、リアルタイムの悪用可能性を統合するソリューションは、本当に重要なことに集中できるようにします。この追加の文脈を活用することで、最新のCNAPPから受け取るあらゆるコンテキストデータを基に、優先順位付けのフレームワークを構築することが可能になります。
クラウドネイティブアーキテクチャーへの移行は、単なる進化ではなく革命です。この変化に対応するには、脆弱性管理戦略を再考し、スピードを受け入れ、文脈と統合を重視したツールを活用する必要があります。適応することは選択肢ではなく、貴社のセキュリティ組織とビジネス全体の成功を推進するために不可欠な要素です