企業のクラウド活用が進むなか、クラウド環境におけるセキュリティ対策の強化が求められています。クラウド上のワークロードには従来のオンプレミス環境とは異なるリスクが存在するため、データ漏洩や不正アクセスなどのセキュリティインシデントにつながらないよう、早急な対策が不可欠となります。こうした背景から今注目を集めているのがCWPPです。本記事では、多様化・複雑化するクラウドワークロードの課題に対処するCWPPの概要や主な機能をはじめ、導入のメリットや考慮事項などを解説します。

クラウドは現代のビジネス環境でますます重要になっており、そのワークロードに対するセキュリティ保護が懸念事項となっています。ここではまず、前提となるクラウドワークロードとは何かを整理し、そのセキュリティ保護を行うCWPPを紹介します。

「ワークロード」とは、コンピュータシステムやネットワーク上で実行される一連の業務処理やタスクのことです。具体的には、アプリケーションやデータベース、Webサーバー、ストレージなど、システムが実行するさまざまな処理やリソースです。
クラウド環境におけるワークロードには、仮想マシン（VM）やIaaS、PaaS、コンテナ、サーバーレス環境など、さまざまな形態の環境で実行される処理やタスクも含まれます。従来のオンプレミス環境と比較してワークロードが多様化・複雑化しているため、セキュリティリスクの増大が懸念されています。

CWPP（Cloud Workload Protection Platform）とは、クラウド上の仮想化された環境やコンテナを含む、ワークロードのセキュリティを保護するためのプラットフォームです。VM、IaaS、PaaS、コンテナなど、さまざまな環境に対応しており、クラウドワークロードのセキュリティ対策（セキュリティパッチ適用などの脆弱性対策）に不備がないかをチェックし、脅威から守ります。
主な機能は、クラウドワークロード上の脅威とセキュリティポリシー違反の検出、あらかじめ定めた手順に則った対策の自動化です。さらに、クラウドワークロードに対する可視性と、効果的な管理機能を提供することにより、データ漏洩や不正アクセスなどのセキュリティリスクの低減を図ります。
また、CWPPはマルチクラウド環境においても有効です。例えば、AWS（Amazon Web Services）とAzure（Microsoft Azure）を併用するなど、複数のクラウドサービスを使用している場合においてもワークロードのセキュリティを一元管理できるため、コンプライアンスの強化に役立ちます。

クラウドを活用すると、柔軟性やスケーラビリティ、コスト最適化など、多くのメリットを得られる一方で、その利用にはセキュリティ面で課題もあります。
主な課題は以下のとおりです。

サイバー攻撃の高度化
情報システムに対するサイバー攻撃は日々高度化し、世界中でクラウド環境を標的とした攻撃が増加しています。クラウド環境で広く利用されているAPI（Application Programming Interface）を悪用した不正アクセスや、クラウド上のシステムを狙ったランサムウェアによるサイバー攻撃など手口も巧妙化しています。そのため、従来のセキュリティ対策だけでは、クラウド環境上に構築したシステムや、保有する機密情報の安全を確保することが困難な状況です。

クラウド環境特有のセキュリティリスク
クラウド環境では、データやアプリケーションが特定のネットワークやサーバーといった物理的な場所に限定されず、インターネット経由でどこからでもアクセスできるようになります。そのため、従来のファイアウォールのような境界型のセキュリティではなく、より厳密なアクセス制御が必要になります。 また、一般的にクラウドサービスを利用する場合、クラウドの物理インフラに対するセキュリティやネットワーク保護はプロバイダー側が担保しますが、クラウド上のアプリケーションやデータのセキュリティ設定、アクセス管理は利用者である企業側が責任を持ちます。具体的な責任範囲は導入するクラウドサービスによって異なりますが、企業は担うべき役割を把握し、適切なセキュリティ対策を行う必要があります。

ワークロードの多様化
前述したとおり、企業のクラウド移行が進み、さまざまなサービスが利用可能になったことで、ワークロードが多様化しました。その結果、従来の対策では対処しきれないセキュリティリスクも生まれています。クラウド環境ではVM、IaaS、PaaS、コンテナ、サーバーレス環境など、さまざまなタイプのワークロードが存在するため、セキュリティ対策の統一が求められているのです。

CWPPと混同されやすい言葉にCSPM（Cloud Security Posture Management）があります。CSPMとは、クラウド上の各種システムにおける現在の状態を確認し、設定不備や脆弱性の有無などを検証してセキュリティを担保する仕組みです。
CWPPとCSPMは、いずれもクラウド環境のセキュリティ強化を支援するプラットフォームですが、CSPMの目的はクラウド環境全体のセキュリティ態勢の管理と改善で、IaaS/PaaS環境におけるアカウント、サービス、リソースに対するセキュリティ設定の監視、評価を実施します。結果にもとづいて対策を行うことで、クラウド環境の最適化を図ることが可能です。
一方、CWPPはクラウド上のワークロードを保護することを目的として、VM、コンテナ、サーバーレス環境など、IaaS/PaaSに限らずさまざまなワークロードのセキュリティ対策に不備がないようにするための仕組みです。
CSPMの詳細については下記の記事をご参照ください。

テレワークの普及やクラウドサービスの利用増加に伴い、企業のネットワーク環境は従来のクローズドな環境から大きく変わりつつあります。ゼロトラストセキュリティとは、これまでの「内部」「外部」といった境界で仕切られた安全な領域は存在しないため、企業の情報資産にアクセスするユーザーやデバイスはすべて信用せずに安全性を検証すべきである、というセキュリティの考え方です。ゼロトラストセキュリティを実現するためには、ネットワーク、エンドポイント、アプリケーションなど、さまざまな要素へのセキュリティ対策を講じる必要があります。CWPPはその対策の一つであり、クラウド上のセキュリティ設定の監査、リスクの検知・可視化により、クラウドの安全な活用を支援する役割を担います。
ゼロトラストセキュリティについては下記の記事でも詳しく紹介していますので、ご参照ください。

クラウドワークロードのセキュリティを確保するために、CWPPはどのような機能を備えているのでしょうか。
CWPPの主要な機能は以下のとおりです。

クラウド上で実行されるワークロードを監視し、通常とは異なる振る舞いをしたユーザーや、リスクのあるアクティビティを検出します。脅威を発見し、対処するまでの時間を短縮できるため、セキュリティレベルの向上につながります。

企業が定めたセキュリティポリシーにしたがってワークロードが運用されているかを監視し、ポリシー違反を検出します。CIS/GDPR/NIST SP800-171などのコンプライアンス標準への準拠状況を管理して、自社の要件に応じたコンプライアンスの強化をサポートします。

ワークロードに存在する脆弱性を検出し、分析と管理を行います。また、検出結果をもとにレポートを作成して、その情報を社内で迅速に共有できるようになるため、適切なセキュリティ対策の実施を支援します。

セキュリティ状況を統合的に管理・表示するダッシュボードを提供します。時系列のアラートやイベント、脅威の検出結果、リスクレベル、セキュリティポリシー違反の有無などをわかりやすく表示します。ダッシュボードの表示内容やレイアウトはカスタマイズ可能ですが、ダッシュボードの具体的な機能や統合管理の範囲はベンダーにより異なります。

CWPPは仮想マシンだけではなく、コンテナやサーバーレスアプリケーションなどの新しいクラウド技術にも対応しています。クラウドワークロード全体の保護を効果的に実施できるため、今後クラウド利用を拡大する場合でも同一のセキュリティ機能を活用できます。

CWPPを導入する主なメリットは、以下の3つです。

CWPPは多様なクラウドワークロードを統合的に管理し、セキュリティリスクの検知・可視化を自動化することで、セキュリティ部門の人的リソースの負荷低減を後押しします。異なるベンダーやワークロードごとに個別でセキュリティ対策を導入する必要がなくなり、管理の複雑さも軽減されます。

CWPPの導入により、セキュリティポリシー違反や、ワークロードが遵守すべき法令・規制や業界標準のコンプライアンス違反を検出することで、適切な対策を実施できるようになり、企業は法令や業界基準に対するコンプライアンス対策・維持が可能になります。

クラウド環境におけるセキュリティ状況の可視化・分析機能を提供することで、セキュリティ管理プロセスを効率化します。クラウドワークロードを脅威から守るのに役立つ、より効果的なセキュリティ戦略を策定できるようになるでしょう。

CWPPを効果的に活用するために、導入時に押さえておくべきポイントを紹介します。

企業のセキュリティポリシーやデータ保護、アプリケーション、ユーザーアカウントに対する要件、法令や業界基準などのコンプライアンスに関して、対象のCWPPソリューションがそれらの条件を満たしているかを確認してください。

利用中のクラウドプロバイダー（AWSやAzure、GCP（Google Cloud Platform）など）に対応しているCWPPソリューションを選択することが重要です。また、将来的にマルチクラウド環境に移行する可能性がある場合は、複数のクラウドプロバイダーに対応できるかどうかも確認しておきましょう。

導入の容易さもポイントです。製品によりワークロードの設定変更や、ワークロードごとにエージェントの導入が必要な場合があります。その場合、システムへの影響を事前にチェックしなければなりません。また、エージェント導入漏れを防ぐために、運用管理を徹底する仕組みも必要となります。

実際にCWPPを使用するセキュリティ担当者の利便性・可視性を確保するためにも、視覚的に操作しやすい管理画面やレポート機能があるかも確認します。また、ビジネスの成長や変化に合わせて柔軟にスケール（拡張）できることも、長期的な運用を行っていくうえで重要な検討要素となります。

ベンダーが迅速かつ適切なサポートを提供しているかを確認してください。常に安心して利用できるように、定期的にアップデートや新機能の追加が行われているCWPPソリューションを選ぶことが大切です。

ここでは、CWPPをスムーズかつ効果的に導入するための具体的な方法を解説します。一般的には、以下のステップで進めることが推奨されます。

導入する前に、企業のクラウド環境で求められるセキュリティ要件を明確にします。データ保護やアプリケーションのセキュリティ要件、自社のセキュリティポリシー、また法令や業界固有の基準・規制などのコンプライアンス要件、リスク要因などを明文化しましょう。セキュリティ要件を確認したら自社のセキュリティ上のニーズを把握し、CWPPソリューションに求める機能や対応範囲を定義します。

市場で提供されているCWPPソリューションを調査し、企業のニーズやセキュリティ要件に合うものを選択します。機能やコスト、ベンダーの信頼性、対応範囲などの観点で比較検討を行います。導入を決める前には評価版を利用し、選定したソリューションの機能・操作性を実際に確認しておくことも大切です。必要に応じて複数のソリューションを試用することも検討しましょう。

CWPPソリューションの導入スケジュールやプロジェクト管理、担当者の割り当て、トレーニングなどの計画を策定します。また、導入のための予算の確保も重要です。プロジェクトチームを構成する際には、プロジェクトマネージャー、セキュリティ担当者、クラウド運用担当者、アプリケーション開発担当者など、関連する部門・職種のメンバーを含めることで、設計や導入時のテストなどを抜け漏れなく実施できるでしょう。

CWPPと連携するためのAPIや認証設定、ネットワーク設定など、インフラ環境を整備したうえで選定したCWPPソリューションを実際にインストールします。その後、企業独自のセキュリティ要件に合わせた設定を行います。テストを実施して、導入したCWPPソリューションが適切に動作するか、ニーズや要件を満たすかどうかを確認します。

社内の関係者にCWPPソリューションの使い方や、管理方法に関するトレーニングを実施します。また、全社員を対象にCWPPソリューションの重要性と、セキュリティポリシー遵守のための教育を施すことも大切です。

CWPPソリューションを運用して、クラウドワークロードの監視・管理を開始します。運用を通じて得られる情報・フィードバックをもとに、セキュリティポリシーの改善や設定の最適化を継続的に行いましょう。継続的にセキュリティ対策を改善していくことで、最新の脅威や技術トレンドに効果的に対応できるようになるはずです。

クラウド環境におけるワークロードの多様化に伴い、新たなセキュリティリスクへの対策が求められている今、クラウドワークロードを保護して企業を脅威から守るためには、適切なセキュリティソリューションの存在が欠かせません。CWPPはワークロードの保護を通じて安全なクラウド利用を支援する、ゼロトラストセキュリティを実現する技術の一つです。専門家の支援を受けながら、CWPPの導入をぜひ検討してみてください。