クリスマスに私が望むのは、脆弱性ゼロのカウントだ (1/12)

2024-12-12

Machine-translated — the English original is authoritative.

はじめに

Aqua Security の素晴らしいチームとの充実した1年が終わり、共有してきた経験と知識に感謝しています。革新的なコンテナセキュリティソリューションでの共同作業は特権でした。2025年の到来に伴い、APIセキュリティにおける新たな取り組みにワクワクしています。

このブログシリーズは、過去12ヶ月間のテクニカルカスタマーサクセスマネージャーとしての私の洞察を凝縮したもので、成功したCloud Native Application Protection Platform (CNAPP) の導入における高レベルのウォークスルーを提供します。いくつかの概念は単純に思えるかもしれませんが、今日の速いペースの環境ではしばしば見落とされています。

ここでカバーされていない重要な側面として、脅威モデリングがあります。シフトレフトのサイバーセキュリティアプローチにおいて、すべてのパイプラインの設計フェーズに脅威モデリングを組み込むことは根本的に重要です。IriusRisk などのツールは、自動化を念頭に置いてこの脅威モデリングプロセスを容易にし、さらに探求する価値があります。

グリーンフィールドのデプロイメントに焦点を当てていますが、この12回のブログシリーズは順序を問わず参照でき、貴重なガイダンスを提供するはずです。そしてはい、私のうろつき回る思考と繰り返される画像を構造化し、洗練させるためにChatGPTを起用しました。

目次

1. 基盤の構築：チームと役割の理解

2. 現在のアーティクル

3. 小さく始める：初期導入のためのパイロットチームの選定

4. 12月13日公開

5. 地平線のスキャン：ソフトウェアサプライチェーンにおけるセキュリティのシフトレフト

6. 12月14日公開

7. グローバルコンプライアンスの構築：保証ポリシーの確立

8. 12月15日公開

9. ダッシュボードの洞察：集中可視性の価値

10. 12月16日公開

11. リアルタイムプロテクション：アクティブなワークロードの監視

12. 12月17日公開

13. パイロットからスケーリングへ：チーム全体へのCNAPPの展開

14. 12月18日公開

15. CI/CDパイプラインの保護：統合のベストプラクティス

16. 12月19日公開

17. ノイズの削減：アラートとインシデントレポートの最適化

18. 12月20日公開

19. 成功のベンチマーク：標準とフレームワークの採用

    • 12月21日公開

    • 開発者のエンパワーメント：セキュアコーディングのためのツール

    • 12月22日公開

    • 継続的改善：セキュアなパイプラインの維持

    • 12月23日公開

基盤の構築：チームと役割の理解

クラウドネイティブなパイプラインを保護することはチームワークであり、どのチームでもそうですが、成功は明確さ、つまり役割、責任、アクセスの明確さに依存します。責任の不一致や明確な説明責任の欠如は、脆弱性が隙間から漏れ出る結果を招く可能性があります。NIS 2 および DORA の要件に対応する組織にとって、この整合性は単なるベストプラクティスではなく、必須事項です。

インシデント対応チーム、アプリケーションセキュリティ（AppSec）、ガバナンスおよびコンプライアンスチームなどの役割は、それぞれ独自のスキルを提供します。これらは一緒に、セキュアなデリバリーパイプラインの backbone を形成し、規制上の義務に沿って脆弱性を追跡、軽減、報告することを保証します。

基盤の構築

CNAPP の導入に関与するステークホルダーを特定することから始めます。これらのチームには以下が含まれます：

1. インシデント対応チーム：フォレンジックデータを活用して、脅威にリアルタイムで対応し、発生するリスクを軽減します。
2. AppSec チーム：SDLC 内で作業し、デプロイメント前に脆弱性や誤設定に対処します。
3. ガバナンスおよびコンプライアンスチーム：ポリシーの定義、コンプライアンスの維持、および NIS 2 および DORA によって義務付けられたレポートの生成を担当します。
4. CISO およびリーダーシップ：これらのエグゼクティブは、戦略を導き、組織のセキュリティ姿勢の監督を維持するために集約された洞察を必要とします。

NIS 2 は、例えば、チーム全体での運用レジリエンスと説明責任の重要性を強調し、定義された責任の必要性を強化しています。

Aqua Security の CNAPP を用いた役割と権限の実装

Aqua の ロールベースアクセスコントロール（RBAC） 機能を使用することで、組織はこれらの役割に基づいて正確な権限を割り当てることができます：

• 各チームに必要なアクセスレベルをマッピングすることから始めます。例えば、インシデント対応チームはリアルタイムアラートへのアクセスを必要とする可能性があり、ガバナンスチームはコンプライアンスダッシュボードに焦点を当てる可能性があります。
• チームレベルで権限を割り当て、明確な職務分掌を確保します。
• オンボーディングセッションを通じてステークホルダーに役割を教育します。Aqua のユーザーフレンドリーなダッシュボードはこのプロセスを簡素化し、非技術的なチームが自分の責任をナビゲートしやすくします。

組織が成熟するにつれて、これらの役割と権限は定期的に見直す必要があります。調整には、AppSec チームによる追加のワークロード管理のためのアクセス拡大や、高リスク環境に対する制御の強化が含まれる場合があります。

Aqua Security と CNAPP について

2015年に設立された Aqua Security は、開発から本番環境に至るまでコンテナ化されたクラウドネイティブアプリケーションの保護における先駆者です。彼らの Cloud Native Application Protection Platform (CNAPP) は、コードからクラウドまでセキュリティを統合し、エージェント型とエージェントレスの技術を単一のソリューションに組み合わせています。（aquasec.com）

Aqua の オープンソースコミュニティ へのコミットメントは、以下のようなプロジェクトを通じて明らかです：

• Trivy：コンテナやその他のアーティファクトのための包括的な脆弱性スキャナ。（Trivy）
• Tracee：eBPF 技術を利用したランタイムセキュリティおよびフォレンジックツール。（Tracee）
• CloudSploit：クラウドインフラストラクチャアカウントのセキュリティリスクを検出するために設計されたツール。（CloudSploit）

これらのプロジェクトは、コンテナセキュリティの強化とより広範なサイバーセキュリティ環境への貢献に対する Aqua の献身を強調しています。

要約

明確な役割は、成功した CNAPP 導入の要です。Aqua Security の RBAC 機能を活用することで、チームは互いの足を踏まずに特定の責任に集中できます。この明確さはセキュリティを強化するだけでなく、NIS 2 や DORA などの規制フレームワークとのコンプライアンスも保証します。堅固な基盤から始めれば、パイプラインは今後の課題に対処する準備がより整います。

クラウドネイティブアプリケーションの保護に関する各側面をさらに掘り下げる今後のブログにご期待ください。

Originally published on allthingscloud.eu (2024-12-12).