Cloud Security Posture and CNAPP(CSPM/CWPP/CIEM)
CSPM・CWPP・CIEM を統合した CNAPP の全体像を解説する。構成ミス・ワークロードリスク・過剰権限を コードから本番まで一気通貫で検知するアーキテクチャと主要プロダクトの動向(Wiz・Cortex Cloud 等)を整理する。
article technology ja CSPM・CWPP・CIEM を統合した CNAPP の全体像を解説する。構成ミス・ワークロードリスク・過剰権限を コードから本番まで一気通貫で検知するアーキテクチャと主要プロダクトの動向(Wiz・Cortex Cloud 等)を整理する。クラウド構成管理と CNAPP(CSPM・CWPP・CIEM)
クラウド環境は動的かつ大規模で、設定ミスや過剰権限が秒単位で生まれる。CNAPP(Cloud-Native Application Protection Platform) は CSPM・CWPP・CIEM を単一プラットフォームへ統合し、コードから本番ランタイムまでのリスクを一気通貫で可視化・修正する。ツール乱立による文脈分断を解消することがその本質だ。情報カットオフ ~2025-08、confidence: medium 固定。
クラウド構成管理(Posture)の必要性
クラウドリソースは API で即時にプロビジョニングされる。速さの裏返しとして、IAM 過剰権限・公開ストレージ・暗号化未設定・インターネット公開ポートといった構成ミスが絶えず生まれる。
従来のオンプレミス向けツールは静的なインフラを前提にしており、数千に上るクラウドリソースの継続的な状態管理には適していない。クラウド固有のポスチャ管理ツールが必要とされる理由がここにある。
CSPM(Cloud Security Posture Management)
CSPM はクラウド環境の構成ミスとコンプライアンス逸脱を継続的に検知するツール群だ。
主な検知対象:
- IAM 過剰権限(未使用ロール・全許可ポリシー)
- 公開バケット・公開スナップショット
- 暗号化が無効なデータベース・ストレージ
- セキュリティグループの全公開(0.0.0.0/0)
- MFA 未設定のルートアカウント・特権アカウント
動作原理:クラウドプロバイダーの API(AWS Config / Azure Resource Graph / GCP Asset Inventory 等)をポーリングし、設定状態をポリシーベースで評価する。CIS Benchmark・NIST CSF・PCI DSS などのコンプライアンスフレームワークへのマッピングも提供する。
CSPM は検知が主機能であり、是正アクション(自動修復・チケット発行)は別途連携ワークフローが必要だ。
CWPP(Cloud Workload Protection Platform)
CWPP は VM・コンテナ・サーバーレス関数などのワークロードを実行時に保護するツール群だ。
主な機能:
- 既知脆弱性スキャン(CVE 検知)
- マルウェア検知
- ランタイム異常挙動の検知(プロセス・ファイルシステム・ネットワークの監視)
- ドリフト防止(本番コンテナへの予期せぬ変更検知)
コンテナワークロードでは、eBPF ベースのランタイム監視が主流になりつつあり、Falco や各社 CNAPP エージェントがカーネルレベルで挙動を観察する。サーバーレス(Lambda / Azure Functions)への拡張も進んでいる。
CIEM(Cloud Infrastructure Entitlement Management)
CIEM はクラウド環境における権限(Entitlement)の分析と最小権限化を専門とするツール群だ。
マルチクラウド環境では、AWS IAM・Azure RBAC・GCP IAM にまたがる権限が複雑に絡まり合い、人手での棚卸しが困難になる。CIEM は実際に使われた権限と付与された権限のギャップを可視化し、過剰権限を特定して削減提案を行う。
分析対象:
- 人間アカウント(ユーザー・グループ)の権限
- サービスアカウント・ロールの権限
- マシン ID(EC2 インスタンスプロファイル・Lambda 実行ロール)
- フェデレーション ID(SAML / OIDC)
CIEM はアクセス制御モデル全般の解説(tech-127 参照)と組み合わせることで、ゼロトラスト IAM 設計の基盤となる。
CNAPP:CSPM + CWPP + CIEM の統合
CNAPP(Cloud-Native Application Protection Platform) は、Gartner が 2021 年に提唱した概念で、CSPM・CWPP・CIEM をコードから本番まで単一プラットフォームで提供する。
統合によるメリット:
- 文脈のある優先順位付け:「公開バケット」 +「そのバケットへアクセスできる過剰権限ロール」+「そのロールを持つワークロードに既知 CVE」を一件のリスクとして提示できる。
- ツール乱立の解消:CSPM・CWPP・CIEM・IaC スキャナをバラバラに運用するとアラートが分断される。
- Shift-Left 対応:IaC テンプレートや Dockerfile の静的解析を CI 段階で実施し、本番到達前に修正できる。
拡張モジュール(各社実装が異なる):
- DSPM(Data Security Posture Management):データの分類・保護状態の可視化
- KSPM(Kubernetes Security Posture Management):クラスタ構成・RBAC の評価
- ASPM(Application Security Posture Management):アプリセキュリティ態勢の統合
- AI-SPM(AI Security Posture Management):AI ワークロード・モデル・データの保護(Wiz が 2024-2025 に先行)
主要プロダクトと市場動向
情報カットオフ ~2025-08 のため、以下は 2026-05 時点で外部検証ができていない項目が含まれる可能性がある。
Wiz:CNAPP 市場リーダー。エージェントレスアーキテクチャでクラウド API を直接スキャンし、Security Graph で複合リスクを可視化する。Google が 2025-03 に約 320 億ドルで買収した(サイバーセキュリティ史上最大規模の買収)。
Cortex Cloud(Palo Alto Networks):Palo Alto Networks が 2025-02-13 に Prisma Cloud と Cortex の CDR(Cloud Detection and Response)機能を統合して発表。SOC 視点とポスチャ管理を一体化させた製品。
その他の主要プレイヤー:
- Microsoft Defender for Cloud:Azure ネイティブ、マルチクラウド対応
- CrowdStrike Falcon Cloud Security:EDR との統合が強み
- Orca Security:エージェントレス、サイドスキャン技術
- Aqua Security:コンテナ・Kubernetes 特化から CNAPP へ拡張
- Sysdig:Falco ベースのランタイム保護が起源
アンチパターン一覧
| # | アンチパターン | リスク | 対策 |
|---|---|---|---|
| 1 | CSPM を導入したが是正フローを設計していない | アラートが積み上がるだけで改善なし | チケット連携(Jira / ServiceNow)と SLA の設定 |
| 2 | CIEM を導入せず IAM 過剰権限を放置 | 侵害時の横展開リスク増大 | CIEM による定期権限棚卸し・Least Privilege 適用 |
| 3 | CSPM・CWPP・CIEM をバラバラに運用 | リスクの文脈が失われ優先順位付けが困難 | CNAPP への統合または SIEM での相関 |
| 4 | 本番のみ保護しコード・IaC を見ない | 設定ミスが本番まで流れ込む | Shift-Left:PR 段階での IaC スキャン・Checkov / tfsec 導入 |
| 5 | アラート疲れで高優先度を見逃す | クリティカルなリスクの見落とし | リスクスコアリングと Security Graph による複合評価 |
| 6 | CNAPP エージェントを一部ワークロードにしか入れない | 死角からの侵害 | エージェントレス優先 + カバレッジ率の継続監視 |