SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

【Cybereason CNAPP②】Cybereason CNAPPの強さとは...?!

  1. ホーム
  2. 技術ブログ
  3. Cybereason
  4. 【Cybereason CNAPP②】Cybereason CNAPPの強さとは...?!
Cybereason
2025.08.21

❏Cybereason CNAPPの強さとは...?!

こんにちは。SBC&S 橋本です。

先日はCybereasonからCNAPP(Cloud Native Application Protection Platform)がリリースされた速報をお伝えしました!

本記事ではCybereason CNAPPの強さについて徹底解説していきたいと思います。

❏Cybereason CNAPPが描く新たなクラウドセキュリティ

クラウドの利用拡大とともに、企業は複雑化・高度化するセキュリティリスクに直面しています。Cybereason CNAPPは、こうしたクラウド特有の課題に対応するために開発された統合型クラウドセキュリティプラットフォームです。

脆弱性管理、設定ミス検出、ランタイム脅威防御、過剰権限の是正といった機能を1つの製品に集約し、「死角ゼロ」のセキュリティ監視を実現します。AWS、Azure、GCPなどのマルチクラウド環境に対応し、各ワークロードやサービスから発生するリスクを統合管理画面で可視化します。

さらに、ホスト型センサー(エージェント)とクラウドネイティブAPIを組み合わせることで、リアルタイムの脅威検知と迅速なレスポンスを可能にします。これにより、予防から検知、対応までを一貫して行い、企業のクラウドセキュリティ態勢を飛躍的に強化します。

では、その実力を支える特長と強みを順に見ていきましょう。

❏4大リスクに対応したCybereason CNAPPの特徴と強み

画像7.png

Cybereason CNAPPは、以下の4つの主要なクラウドリスクに対する包括的な対策を実現しています。

ホスト型エージェントとオープンテクノロジーの融合
Cybereason CNAPPは、オープンテクノロジーを基盤としたホスト型エージェントを採用。これにより、ポリシーベースの制御に加え、実際の挙動に基づく振る舞い検知が可能となり、リアルタイムかつ高精度なセキュリティ監視を実現します。

Shift Leftに加え、Shield Rightの実現
従来の「Shift Left」(開発初期段階でのセキュリティ対策)に加えて、「Shield Right」を実装。ランタイム環境でのリアルタイムな脅威検出と対応を可能にし、運用フェーズでも高いセキュリティレベルを維持します。

リアルタイム検知による即時対応
スナップショットによる断片的な情報ではなく、リアルタイムでの振る舞い分析により、精度の高い脅威検知を実現。クラウド環境のダイナミックな変化にも柔軟に対応します。

網羅的な脆弱性管理と"In Use"ベースの優先度設定
脆弱性を網羅的に可視化し、「In Use」機能により、実際に使用されているコンポーネントを基準に優先順位を自動判定。本当に対応が必要な脆弱性に集中できます。

ここからはさらに差別化ポイント・機能にフォーカスして見ていきましょう。

❏スナップショット型 vs リアルタイム検出

画像8.png

クラウドセキュリティ業界におけるCybereason CNAPPの差別化ポイントの一つが、リアルタイム検出技術です。
一般的な他社CNAPPソリューションの多くは、クラウド環境のスナップショット(設定状態やログの定期スキャン)を取得し、後から解析することで脅威を検知しています。
しかしこの方法ではどうしても検知までに遅延が生じ、短時間で変化するコンテナ環境などではインシデント対応時に十分な情報が得られない場合もあります。

Cybereason CNAPPはホストにエージェントを導入してリアルタイムに振る舞い監視を行うため、脅威を即座に検知して対応できます。
例えば、クラウドリソースの設定ミスを突いた攻撃や権限の昇格による不正アクセス、機密データへのアクセスなどもリアルタイムに把握可能で、検知遅れによる被害拡大を防ぎます。

❏Cybereason CNAPPのCWP/CDR機能

画像9.png

Cybereason CNAPPは、クラウド環境におけるセキュリティ監視の中核機能として「CWP/CDR(脅威検知)」を搭載しています。

この機能は、以下のような幅広い対象のアクティビティを常時監視します。

  • パブリッククラウド(例:AWS、GCPなど)

  • IDaaS(アイデンティティ管理サービス)

  • Kubernetes(K8s)

  • CI/CDツール(継続的インテグレーション/デリバリー)

  • 各種ワークロード全般(仮想マシン、コンテナなど)

これにより、設定ミスや不正アクセス、ランタイムにおける異常な挙動をリアルタイムで検出可能です。
単なるスナップショット型の可視化にとどまらず、攻撃の兆候を即座に察知し、その場で阻止することができる点が大きな特長です。
スナップショット型の監視は、取得時点の状態しか確認できず、その間に発生した異常や攻撃の兆候を見逃す恐れがあります。一方、リアルタイム検知は、変化の瞬間を捉えて即時対応できるため、被害の拡大を防ぎ、インシデント対応の初動を大幅に短縮できます。

❏クラウド全体を通じた脆弱性管理 CWP(Cloud Workload Protection)

スライド10.PNG
Cybereason CNAPP は、クラウドネイティブ環境に潜む脆弱性の発見と対応を強力にサポートする「CWP(Cloud Workload Protection)」機能を搭載しています。
この機能の特長は、ソフトウェアの脆弱性を対象としたスキャンと可視化にあります。具体的には、MITRE社が提供する脆弱性データベース(CVE)を基にスコアリングし、クラウド上のリスクを定量的に評価します。

■開発から実行時まで、一貫した保護

CWPは、以下のライフサイクル全体で脆弱性を監視・管理します。

  • CI/CDパイプライン:開発・ビルド時のコードや構成のチェック

  • コンテナレジストリ:コンテナイメージ登録時の脆弱性スキャン

  • ランタイム:本番環境でのワークロード動作中のリアルタイム監視

これにより、開発段階での脆弱性持ち込みを防ぐとともに、実行中の脅威にも即座に対応可能です。

■ポリシー違反時は即時通知

Cybereason CNAPPでは、あらかじめ定義されたセキュリティポリシーに違反する挙動や設定が検出された場合、管理者へ即時に通知されます。
これにより、リスクの見逃しや対応の遅れを防ぎ、セキュリティ運用の自動化と迅速化を実現します。
Cybereason CNAPPのCWP機能は、脆弱性を「検知して終わり」ではなく、「早期発見・通知・是正」までシームレスに支援。
 開発から運用まで、クラウド環境全体を一貫して守るセキュリティ基盤を提供します。

❏CSPMによるクラウド設定の可視化と監査

画像10.png

CSPM(Cloud Security Posture Management)は、クラウド環境の設定ミスやコンプライアンス違反を検知する機能です。
Cybereason CNAPPのCSPM機能は主要クラウド各社(AWS、Azure、GCPなど)の設定を継続的に監視し、あらかじめ定義されたセキュリティポリシーに照らして自動チェックを行います。
このポリシーには、CISベンチマークNIST 800-53などのグローバル標準フレームワークに準拠したルールセットが組み込まれており、ベストプラクティスから逸脱した設定や違反状態を発見すると即座に警告を発します。

具体的なチェック例としては、

  • ストレージバケットがパブリックに公開されていないか

  • データが暗号化されているか

  • 不要に広いIAM権限が付与されていないか

などが挙げられます。違反が検出されると、管理コンソール上にアラートが表示され、同時に管理者へ通知が送信されます。

Cybereason CNAPPには、これらのビルトインポリシーが豊富に用意されているため、ユーザー企業はゼロから監査項目を定義する必要がなく、短期間でクラウド環境の健全性を評価できます。
監視対象はIaaSの設定だけでなく、Kubernetesなどのコンテナ環境オンプレミスとの接続設定にも及び、ハイブリッドクラウド全体のポスチャー(構成状態)を可視化することが可能です。
CSPMによる継続的な設定監査は、クラウド利用に伴うヒューマンエラーの低減や、コンプライアンス遵守の証跡確保に大きく貢献します。

❏CIEMによる過剰権限の検出と改善提案

画像11.png

CIEM(Cloud Infrastructure Entitlement Management)は、クラウド上のユーザーやロールに付与された権限を分析し、最小特権化を促す機能です。
クラウド環境では、人為的な設定ミスやデフォルト設定により、必要以上の権限が付与されるケースが少なくありません。これは攻撃者に悪用される大きなリスクとなります。

Cybereason CNAPPのCIEM機能は、PoLP [Principle of Least Privilege](最小特権の原則)に基づきクラウドIDの権限を自動分析。過剰権限や長期間未使用のアカウントを検出します。
例えば、

  • 90日以上利用されていないIAMユーザー

  • 管理者権限を持つが実際には不要なロール

などを洗い出し、リスクスコアを付与してダッシュボードに一覧表示します。

さらに、各検出項目には具体的な是正ガイダンス(権限削除・縮小の提案)が提示され、管理者は推奨アクションに従って不要な権限を容易に削除可能です。
IAMユーザー個人だけでなく、グループやロール、ポリシー単位での可視化にも対応し、複雑な権限継承関係も把握しやすくなっています。なお現時点でCIEM機能がサポートするクラウドは主にAWSとGCPで、Azureについては未対応(※2025年7月現在)となっています。

この機能により、「誰が何にアクセスできるのか分からない」という不透明な状態を解消し、必要最小限の権限設計を継続的に実現。結果として、内部不正やアカウント乗っ取りによる被害リスクを大幅に低減できます。

❏まとめ

画像12.png

クラウド活用がビジネスの成長を左右する現代において、Cybereason CNAPPを調査した中で企業のクラウドネイティブ環境を包括的に守る有力なソリューションとなり得えそうだと私自身も感じました。

リリース直後の新製品ではありますが、脆弱性管理・設定監視・権限管理・ランタイム防御といった複数の機能を単一のプラットフォームに統合するアプローチは、従来の個別対策では見落としがちな穴を埋め、運用効率の向上にも寄与します。

CNAPP製品は他にも数多く存在しますが、リアルタイム検知技術やオープンな統合基盤といったCybereason CNAPPならではの強みは、比較検討時の重要な評価ポイントとなるでしょう。ぜひ他社製品と併せて検討し、その価値をご確認ください。

ご検討の際はぜひお声かけ頂ければと思います!

■Cybereason CNAPP前編のあわせてお読みください!

【Cybereason CNAPP①】今注目のクラウドネイティブセキュリティのリリース!

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 ソリューション技術統括部 ソリューション技術部 1課
橋本 紗代子

関西の湖畔で動物たちと暮らしています。