前回、パブリッククラウドの保護を検討する際にCNAPPがあげられると説明したが、CNAPPの本質は、クラウドネイティブな環境を保護することにある。クラウドネイティブとは、クラウドの特長をフル活用することで、スピーディーなアプリケーション開発を実現できるという概念である。CNAPPのメリットは、そのスピードを損なうことなくセキュリティが施せることにある。

CNAPPで提供している機能

　では、CNAPPにどんな機能があるのか。


　上記のマッピングシートは茶色の部分がCNAPPの機能群となっている。それぞれの機能の概要は、（1）「IAST/RASP」「DAST」「SAST」がコードを本番環境で実行する前にスキャンし脆弱性をチェック、（2）「SCA」がOSSの使用状況を可視化、（3）「IaC Scan」がIaCに脆弱性が含まれていないかなどをチェック、（4）「KSPM」「CSPM」がKubernetes環境やパブリッククラウドの設定ミスチェック、（5）「CIEM」がクラウドの権限を最小権限に維持、（6）「CWPP」がクラウドワークロードの脆弱性などをチェック、（7）「Waap」がクラウド型WAF――などとなる。

　「機能が多すぎて分からない」と感じるかもしれないが、ポイントはコード作成時からデプロイ後までのいたるところで、設定ミスや脆弱性などがないかチェックするという点である。

クラウドネイティブとは

　CNAPPの理解を深めるために、クラウドネイティブとはどんなものかとどうやって実現するかについて説明したい。
 
　Cloud Native Computing Foundation（CNCF）という団体が定義しているのだが、ポイントを上記の青字にしている。クラウドネイティブのメリットは、最小限の労力で頻繁で予測通りにアプリケーションの変更が行えることにある。

　さらに、CNCFの資料にはクラウドネイティブの道のりという情報も公開されている。これには、クラウドネイティブ実現のために、何をどんな順序で進めればいいかが書いてある。
 
　上記は、その資料を一部ピックアップしたもの。コンテナ、CI/CD、オーケストレーションを組み合わせることで、クラウドネイティブのメリットを実現することができるのが分かる。

　この組み合わせを見ると、環境の用意、開発、アプリケーションのデプロイ、運用というサービスに必要な一連の流れを網羅していることが分かる。まさにCNAPPの領域ともリンクしている部分だ。

クラウドネイティブは理解しておくべきなのか

　クラウド戦略を検討する上で、クラウドネイティブという考え方は欠かせない。

　先日、「国内企業が注目すべきトレンド」という九つのポイントがガートナージャパンから発表され、その中にクラウドネイティブも挙げられていた（出典：ガートナージャパン「2023年に向けて日本企業が注目すべきクラウド・コンピューティングのトレンド」、2022年11月2日）。そこでは、サービス・ファクトリという、「サービス開発とデリバリを工場のように行う概念」と一緒に語られていた。

　産業革命の際、工場を建設し機械でモノを生産していくことで発展してきた時代があったが、工場の役割をクラウドネイティブが担うことで、よりクラウドが活用される時代になっていくのではないだろうか。

本格的なCNAPPは実現できるのか

　現状、パブリッククラウドで提供しているセキュリティ機能では、CNAPP領域の一部しかカバーできていない。要件によりサードパーティー製品を導入する必要があるのだが、CNAPPの機能をすべて提供しているメーカーもおらず、メーカーごとにカバレッジも機能の深さも違うという状況だ。

　そのため、ネットやセミナーでの情報収集は必要になるが、それに加えて、数多くの製品を扱っている販売店に相談することで横比較などもできるので、効率的に製品選定をすることが可能となる。ある程度製品が絞られてくれば、「これだ！」というセキュリティ製品に出会えるのではないか。