CNAPP：Aquaがトップイノベーションリーダーである理由 #aqua #セキュリティ #CNAPP

本ブログは「Aqua Security」社の技術ブログで2022年12月8日に公開された「 Frost Radar for CNAPPs: Why is Aqua the Top Innovation Leader? 」の日本語翻訳です。

CNAPP：Aquaがトップイノベーションリーダーである理由

---

アナリスト企業 Frost & Sullivan は、15の CNAPP ベンダーの最近の動向を分析しました。これは、マーケットの初期段階にある CNAPP ソリューションプロバイダーを格付けする最初のレポートとなります。私たちにとって驚くことではありませんが、CNAPP の製品能力とロードマップ、Frost 社が言うところの Innovation Index の評価で、Aqua がトップに位置付けられました。

なぜ Aqua がイノベーションリーダーにランクされたのでしょうか。これを理解するために、CNAPP をめぐる混乱を解消し、この分野におけるイノベーションが顧客にとって実際に何を意味するのか、現在の選択基準と将来的な能力という2つの観点から掘り下げてみます。

「シフトレフト」と「シフトライト」は切っても切れない関係

SDLC(ソフトウェア開発ライフサイクル)の早い段階での問題特定と、ランタイム保護の組み合わせは、2年前の CNAPP の定義以前からクラウドネイティブセキュリティの中核をなしてきました。Aqua は2016年にこのコンセプトを開拓し、当初はコンテナだけを対象としていましたが、そしてその後はすべてのクラウドネイティブテクノロジーに対象を広げています。理由は簡単で、CI/CD と頻繁な更新を伴う DevOps の速度、オープンソースの使用、不変のインフラの概念の組み合わせにより、セキュリティを開発サイクルに組み込み、可視化、制御、ガイダンス、迅速な修正サイクルを可能にするアプローチが必要になるためです。

すでに本番環境となっている環境に問題が発見されることは、単にリスクが高いというだけでは済まされません。なぜなら、問題が発生したということは、修正する絶好の機会を逃しているいるという事に他ならないからです。シフトレフトは単なる事後対応策ではなく、基本的には予防策であるべきなのです。

同時に、シフトレフトは、効果的なランタイム保護に必要なコンテキストを提供します。例えば、コンテナ状態の Drift(改変) の特定や全体的なリスク評価へのコンテキストの提供したりします。

開発時のスキャンと実行時の保護に別々のソリューションを使用すると、非効率と誤検知が生じ、セキュリティ管理の有効性が低下し、ベンダーの統合という観点だけではなく、運用コストとリスク削減の機会も逃すことになります。

この2つの部分が効果的に機能するためには、これらをまとめて提供するプロダクトが必要です。Aqua は、ランタイム保護に加え、ソフトウェア構成分析(SCA)、IaC セキュリティ、脆弱性スキャン、ソフトウェアサプライチェーンセキュリティへの投資で常にそれを実践してきました。

可視化≠コンプライアンス≠セキュリティ

CNAPP のメリットの1つは、クラウド環境全体を幅広く可視化し、リスク領域を特定して、優先順位をつけられることです。これは重要な要素ですが、それだけでは CNAPP の4文字目の「P」である「Protection(保護)」の約束を果たすことはできません。

クラウドネイティブワークロードの性質は、多くの場合、動的で短命なものです。残念ながら、クラウドネイティブアプリケーションに対する攻撃の性質も同じです。インフラストラクチャの構成や脆弱性を調べたり、1日1回セキュリティ状態のスナップショットを取得するだけでは、攻撃から身を守ることはできません。また、攻撃されたことやその原因についても知ることはできません。そのためには、リアルタイムで動作し、少なくとも攻撃を検知し、阻止し、高度にターゲットを絞った対応でその影響を抑えられるランタイム保護が必要です。もはやエージェントレスかエージェントベースのどちらを採用するかという問題ではなく、それらをいかに効果的に組み合わせるかという問題なのです。

この分野の一部のベンダーとは異なり、Aqua はあらゆるセキュリティソリューションの最終的な目標である「攻撃の阻止」を実現するために存在してきました。Aqua のリアルタイム検知・保護機能は市場をリードしており、クラウドネイティブの攻撃がどのようなものであるかについての深い知見に基づいています。

CNAPPは単なるソリューションの集合体ではない

CNAPP は、クラウドワークロード保護プラットフォーム(CWPP)、クラウドセキュリティポスチャ管理(CSPM)、ソフトウェア構成分析(SCA)など、これまで定義されていたソリューションカテゴリを別々に管理するのではなく、単一のプラットフォームに統合すべきだという認識を通じて登場しました。CNAPP の利点は、単にこれらまとめて統合ダッシュボードやシングルサインオンで統合するだけではなく、さらに多くの統合によって実現されます。

Aqua の機能のほとんどは有機的に成長したもので、私たちはこのレポートで触れている他のベンダーよりも長く、クラウドネイティブセキュリティに一点集中型で取り組んできました。当然ながら、これらはプラットフォームの一部として考えて作られたものであり、個別のソリューションとして作られたものではありません。

しかし最近、Aqua プラットフォームの一部としてソフトウェアサプライチェーンセキュリティソリューションを発表したことで、私たちは、新しい機能(買収によって得られたものも含む)を Aqua プラットフォームに吸収し続けるというコミットメントを示しました。これは、私たちの意図的な戦略の一部です。

継続的なイノベーションが鍵

---

CNAPP ソリューションはまだ進化を続けており、お客様がその潜在能力を最大限に発揮し、クラウドネイティブアプリケーションを従来よりも安全に、そして効率的に実現するには、まだまだ長い道のりがあります。

クラウドネイティブの領域は当面変化し続けます。さまざまなテクノロジーが存在し、それらは今も頻繁に更新され、拡張されています。そのため、CNAPP ベンダーを選ぶ際には、その時点での能力だけでなく、継続的にイノベーションを起こせるかどうかも重要であり、ここでも Aqua には独自の強みがあります。ここでは、そのうちの2つを紹介します。

まず、Aqua のセキュリティ研究チームである Team Nautilus は、クラウドネイティブインフラに対する実際の攻撃がどのようなものかを専門に研究している唯一のチームであり、それを何年も続けているのです。この知識は、レポートやブログを発行したり、アドバイザリーアラートを発行したりするためだけに使用されるわけではありません。例えば、Lightning Enforcer は、深い技術的専門知識(eBPF)と脅威に関する専門知識(攻撃指標と侵害指標)を組み合わせて、お客様の知識や設定を必要としない最も堅牢な保護を提供する、すぐに使える機能として製品に組み込まれたナレッジとして活用されています。

次に、Aqua Trivy や Aqua Tracee などのオープンソースツールへの長年の投資により、膨大なユーザコミュニティから即時かつ継続的にフィードバックが得られるため、常に最新かつ高品質のアウトプットを、絶えず拡張される機能セットとともに提供可能です。

このような投資により、Aqua は現在のニーズと将来のニーズの両方において、CNAPP を検討するすべての人の候補に挙がっています。Frost による Aqua の評価と CNAPP 市場の概要については、こちらの Frost Radar レポートをご覧ください。