CNAPPとは?DX時代のクラウドセキュリティ最前線
マルチクラウド環境の活用やAI導入が加速する中、クラウドセキュリティへの関心がかつてないほど高まっています。AWS、Azure、GCPといった複数のクラウドサービスを併用する企業が増える一方で、「セキュリティツールが増えすぎて管理しきれない」「どこにリスクがあるのか把握できない」といった課題に直面している企業は少なくないのではないでしょうか。
このような背景から注目を集めているのが、CNAPP(Cloud Native Application Protection Platform)という新しいアプローチです。本コラムでは、CNAPPの基本概念から、その価値や活用のポイントまで、クラウドセキュリティの「今」をわかりやすく解説します。
CNAPPとは何か
CNAPP(Cloud Native Application Protection Platform)とは、クラウドネイティブなアプリケーションを包括的に保護するためのセキュリティプラットフォームのことです。2021年頃にGartner社が提唱した概念であり、従来バラバラに存在していたクラウドセキュリティツールを統合し、開発から運用まで一貫した保護を実現するものとして位置づけられています。
CNAPPを理解するためには、その構成要素であるCSPMとCWPPについても押さえておく必要があります。簡単に言えば、CSPMは「クラウドの設定ミスを見つける係」、CWPPは「実際に動いているワークロードを守る係」です。CNAPPはこれらを統合し、「点」のセキュリティを「面」の保護へと進化させたプラットフォームと言えます。
| 用語 | 正式名称 | 役割 |
|---|---|---|
| CSPM | Cloud Security Posture Management | クラウドの設定ミス検出 |
| CWPP | Cloud Workload Protection Platform | ワークロードの脆弱性保護 |
| CNAPP | Cloud Native Application Protection Platform | 上記を統合した包括的保護 |
なぜ今CNAPPが必要なのか
では、なぜ今CNAPPがこれほど注目を集めているのでしょうか。その背景には、大きく3つの要因があります。
マルチクラウド環境の複雑化
多くの企業がAWS、Azure、GCPといった複数のクラウドサービスを目的に応じて使い分けるようになっています。しかし、クラウドごとにセキュリティの管理画面や仕組みが異なるため、「うちの会社、全体としてどんなリスクがあるんだろう?」という問いに答えることすら難しい状況が生まれています。
セキュリティツールのサイロ化
クラウドセキュリティの重要性が認識されるにつれ、さまざまなツールが導入されるようになりました。しかし、ツールごとに管理画面が異なり、アラートの重複や見落としが発生するケースも少なくありません。いわば「ツールを管理するためのツールが欲しい」という、本末転倒な状況が生じてしまいます。
シャドーITの増加
クラウドサービスの利便性が高まる中、IT部門が把握していないクラウドリソース、いわゆる「シャドーIT」が増加しています。知らないものは守れない——これはセキュリティの基本原則です。まずは自社のクラウド資産を正確に把握し、可視化することの重要性が高まっています。
CNAPPがもたらす3つの効果
CNAPPを導入することで、具体的にどのような効果が期待できるのでしょうか。ここでは、代表的な3つの効果をご紹介します。
効果①:マルチクラウド環境の統合的な可視化
CNAPPの最も基本的な価値は、複数のクラウド環境を統一されたダッシュボードで把握できることです。AWS、Azure、GCPに散らばったリソースを一元的に可視化し、シャドーITを含めた「何がどこにあるか」を明確にできます。これにより、セキュリティ担当者は全体像を把握した上で、優先度の高いリスクに集中することが可能となります。
効果②:リスクの優先順位付け
従来のセキュリティツールでは、大量のアラートが発生し、「結局どれから対処すべき?」と判断に迷うことがありました。CNAPPは攻撃経路分析(Attack Path Analysis)の機能により、「実際に攻撃者がどのような経路で侵入し得るか」を可視化します。これにより、「本当に危険なもの」から優先的に対処することができ、限られたリソースを効果的に活用できます。
効果③:開発とセキュリティの融合
CNAPPは開発パイプライン(CI/CD)との統合も可能であり、開発の早い段階からセキュリティ上の問題を検出できます。このアプローチはDevSecOps(Development + Security + Operations)と呼ばれ、開発・セキュリティ・運用の各チームが連携してセキュリティを組み込む考え方です。従来は運用段階で発見されていた脆弱性を開発段階で発見・修正することで、手戻りを減らし、セキュリティ意識の向上にも寄与します。
| 効果 | 背景・仕組み |
|---|---|
| マルチクラウドの統合的な可視化 | 複数クラウドを横断的にスキャンし、統一ダッシュボードで管理 |
| リスクの優先順位付け | 攻撃経路分析(Attack Path Analysis)で対処すべき順序を明確化 |
| 開発とセキュリティの融合 | CI/CDパイプラインへの統合で、開発段階から即座にフィードバック |
CNAPP製品としてのWizの特徴
CNAPPソリューションの中でも、近年特に注目を集めているのがWizです。2024年に日本法人「Wiz Cloud Japan株式会社」が設立され、日本市場への本格展開を開始しています。2025年3月にはGoogleが約320億ドル(約4.8兆円)での買収に合意するなど、世界的にもその技術力と将来性が高く評価されています。
Wizのプラットフォームは、大きく「Wiz Cloud」「Wiz Code」「Wiz Defend」の3つの柱で構成されています。Wiz Cloudはクラウド資産の可視化とリスクの優先順位付け、Wiz Codeは開発段階でのセキュリティ検知(シフトレフトの実現)、Wiz Defendはリアルタイムの脅威分析・排除をそれぞれ担当します。
ここでは、CNAPPの代表的な実装例として、Wizが選ばれる3つの理由をご紹介します。
エージェントレスで導入が容易
Wizの大きな特徴は、エージェントレスアーキテクチャです。従来のセキュリティツールでは、監視対象のサーバーにエージェント(監視用ソフトウェア)をインストールする必要がありました。しかし、Wizはクラウドプロバイダーが提供するAPIを通じてスキャンを行うため、エージェントのインストールが不要です。これにより、導入のハードルが大幅に下がり、運用負荷も軽減されます。
セキュリティグラフによる可視化
Wizは独自の「セキュリティグラフ」技術により、クラウドリソース間の関連性を直感的に可視化します。単にリソースの一覧を表示するだけでなく、「このリソースはどのサービスと接続しているか」「攻撃者がここに到達した場合、次にどこへ侵入し得るか」といった文脈まで理解できます。リスクの本質的な把握に役立つ機能です。
AI-SPMでAI時代に対応
生成AIの業務活用が急速に広がる中、WizはAI-SPM(AI Security Posture Management)機能により、AIサービスの利用状況やセキュリティ設定を可視化します。AWS BedrockやAzure OpenAIといったAIサービスの設定ミスを検出し、AI活用に伴う新たなリスクに対応できます。AI時代のクラウドセキュリティを考える上で、見逃せない機能と言えるでしょう。
| 観点 | クラウドネイティブツール (例:AWS Security Hub) |
Wiz |
|---|---|---|
| カバー範囲 | 単一クラウドが中心 | マルチクラウドを統一ダッシュボードで管理 |
| 導入方式 | クラウドごとに個別設定 | エージェントレスで迅速に導入 |
| 攻撃経路分析 | 限定的 | セキュリティグラフで可視化 |
| AI対応 | 限定的 | AI-SPMで可視化・リスク検出 |
| プラットフォーム構成 | 個別機能 | Wiz Cloud / Code / Defendの統合プラットフォーム |
TISが考えるCNAPP活用の視点
ここで重要なのは、ツールの導入はあくまで「スタート」であり、「ゴール」ではないという点です。TISでは、「ツールは永遠のベータ版」という考え方を大切にしています。どんなに優れたCNAPP製品を導入しても、組織的な運用体制の構築や継続的な改善活動がなければ、その価値を十分に引き出すことはできません。
CNAPPの活用においても、段階的なアプローチをお勧めします。いきなり全機能を活用しようとするのではなく、まずは基本的な可視化から始め、徐々に活用範囲を広げていくことで、着実に成果を上げることができます。
| 段階 | 実施内容 | 期待効果 |
|---|---|---|
| 第1段階 (基本習得) |
標準設定でのスキャン有効化 | クラウド資産の可視化、基本的なリスク把握 |
| 第2段階 (組織適合) |
カスタムポリシー、アラート閾値調整 | 業務フローに合った運用、誤検知削減 |
| 第3段階 (価値創出) |
戦略的インサイト活用、予測的対応 | セキュリティ成熟度の向上、競争優位性確保 |
また、TISではWizとKong Gatewayを組み合わせた多層防御アプローチもご提案しています。
この2つの製品は、それぞれ守備範囲が異なります。Wizはクラウド環境全体を俯瞰し、「どこにAI資産があるか」「設定ミスはないか」「攻撃経路はどこか」といった「面」の可視化と保護を担います。一方、Kong GatewayはAPI層で「不正な入出力がないか」「利用量は適切か」といった「入口」のリアルタイム制御を担当します。
たとえば、WizがGateway経由していないシャドーAI利用を検出し、Kong AI Gatewayが正規ルートでの安全なアクセスを確保する
このように、「見つける」と「止める」を両輪で回すことで、単体では補えないすき間をカバーできます。クラウド層からAPI層まで、一気通貫のセキュリティ体制を構築できる点が、TISならではの組み合わせ提案の強みです。
まとめ
いかがでしたでしょうか。本コラムでは、マルチクラウド時代のクラウドセキュリティ基盤として注目を集めるCNAPPについて解説しました。
CNAPPは、複雑化するクラウド環境を統合的に可視化し、リスクの優先順位付けを可能にする、これからのクラウドセキュリティに不可欠なアプローチです。まずは「自社のクラウド資産を正確に把握する」という可視化の第一歩から始めてみてはいかがでしょうか。
TISでは、WizをはじめとするCNAPPソリューションの導入から運用最適化まで、お客様の状況・課題に合わせてご支援しております。
このようなお悩みをお持ちの方は、ぜひお気軽にご相談ください。
- 「何から始めればよいかわからない」
- 「既存環境との統合に不安がある」
- 「運用体制の構築が課題」