【CrowdStrike】CNAPPとCrowdStrike Cloud SecurityとAWS

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

約8割の企業がクラウドサービスを利用し、利用用途は多岐にわたると言われています。クラウドに関係した攻撃は年々増加しています。クラウドの設定ミスによる情報漏洩、クレデンシャルの漏洩からワークロードが攻撃されたりとアイデンティティ管理不全から攻撃されたケースが存在します。今回はそういったクラウドに関連する脅威に対して、CrowdStrike の Falcon Cloud Security（FCS）を利用した対策についてご紹介いたします。まずはCNAPPの概念から整理します。

CNAPPにより統合的なクラウドセキュリティが可能

CNAPP=Cloud-Native Application Protection Platforms

Gartner.「What is Cloud-Native Application Protection Platforms?」

CNAPP、その他周辺機能の概要

CNAPPで整理されるカテゴリ、機能、役割は以下のようなものとなります。

システムのクラウド移行に際してのセキュリティの考え方

インフラ移行、アプリ・システムのモダナイズ前後で対策の大前提は変わらず必要となります。モダナイズされたアプリケーションへの対応に関してはイメージスキャン、CWPP、ASPM、DSPMでセキュリティ対応を行います。

クラウドセキュリティの対策方針

エンドポイントセキュリティと同じく以下の流れで対策することが求められます。

CrowdStrike の Falcon Cloud Security とは

CrowdStrike の Falcon Cloud Security（FCS）をクラウドに導入することで、クラウド上での設定ミスの自動検知やワークロードのリアルタイム保護、アイデンティティ（権限）の管理を一元化することができます。マルチリージョン・マルチクラウド対応可能なサービスです。

大きく2つのカテゴリーに分け、それぞれ機能を提供します。

• Proactive Security：クラウドアセットのリスクマネジメント
• Cloud Runtime Protection：クラウド上のランタイム保護

※その他のCrowdStrike Cloud Securityの特徴やライセンスの詳細につきましては弊社までお問い合わせください。

開発ライフサイクル＆Cloud SecurityがカバーするCNAPP

開発ライフサイクルの各フェーズ毎に適切なセキュリティ機能の活用が必要となります。Cloud SecurityがカバーするCNAPPの範囲は広く、以下となります。

各機能とAWS環境へのCloud Security の適用概要について

1. アプリケーション全体のライフサイクル管理 (ASPM)- Data Security Posture Management
開発から運用までの各フェーズに散在するセキュリティリスクを一元管理し、アプリケーションの安全性を包括的に確保します 。

• セキュリティツールとの統合：SAST（静的解析）やDAST（動的解析）などの外部スキャンツールの結果を取り込み、CrowdStrikeのコンソール上で一元的な可視化と優先順位付けを実現します 。

• ビジネスコンテキストの把握：どのアプリケーションがどのデータにアクセスし、どのような脆弱性を持っているかを紐付けて管理することで、ビジネスへの影響度が大きいリスクから優先的に対処できます。

• 開発と運用の橋渡し：コード作成時の laCスキャンやイメージスキャンの結果と、デプロイ後の実行環境の状態を相関分析し、開発ライフサイクル全体を通じた一貫したセキュリティポスチャを維持します。

2. AWS環境の可視化と設定不備の修正 (CSPM) - Cloud Security Posture Management
AWSアカウント全体のスキャンを行い、セキュリティ上の「穴」をリアルタイムで見つけ出します。

• 設定ミスの検知 (IOM)：S3バケットの公開設定やセキュリティグループの過度な開放など、AWSのリソース設定ミスを即座に特定します。

• コンプライアンス準拠：CISベンチマーク、NIST、PCI DSSなどの業界標準に対する準拠状況を自動で評価し、レポート化します。

• 自動修復 (Remediation)： 発見されたリスクに対し、修復手順の提示や、一部の自動修復機能を提供します。

3. 権限管理とアイデンティティの安全(CIEM)- Cloud Infrastructure Entitlement Management
AWS IAMの複雑な権限設定を分析し、攻撃の踏み台になるのを防ぎます。

• 過剰権限の特定：実際に使用されていない「強すぎる権限」を持つユーザーやロールを特定し、最小権限（Least Privilege）の適用を支援します。

• 不審な認証の検知：AWS IAM Identity Centerと連携し、異常な場所からのログインや、アカウント乗っ取りの兆候を検知します。

4. ワークロードとコンテナの保護 (CWPP)- Cloud Workload Protection Platform
EC2、Fargate、Lambdaなどの実行環境を直接守ります。

• ランタイム保護：不審なプロセス実行やマルウェアの動きを検知・ブロックします。

• 脆弱性管理：インスタンスやコンテナイメージに含まれる脆弱性をスキャンし、リスクの高いものから優先順位を付けます。

• サーバーレス保護：AWS Lambdaの実行環境を保護し、サーバーレス特有の攻撃を阻止します。

5. Kubernetes環境のセキュリティ強化 (KSPM)- Kubernetes Security Posture Management
Amazon EKSなどのKubernetes環境特有のリスクを管理します。

• クラスター設定の診断：EKSクラスターの設定がセキュリティのベストプラクティス（CISベンチマーク等）に準拠しているかを自動評価します。

• 可視化：ポッド間通信やリソース配置の構成を可視化しリスクのあるワークロードを特定します。

6. 重要データの保護と所在把握 (DSPM)- Data Security Posture Management
AWS上のどこに、どのような機密データが存在するかを自動でスキャンします。

• データの分類：S3バケットなどのストレージ内をスキャンし、個人情報（PII）や知的財産がどこにあるかを自動で分類・タグ付けします。

• リスク評価：機密データが「暗号化されていない」「外部公開されている」といった危険な状態を検知し、データ漏洩を未然に防ぎます。

7. エージェントレスな脆弱性調査 (スナップショットスキャン)
エージェントをインストールできない、または一時的な環境に対してもセキュリティを確保します。

• スナップショット分析：EBSなどのストレージスナップショットを直接スキャンすることで、ワークロードを停止させることなくOSやアプリケーションの脆弱性、マルウェアを検出します。

• 運用の効率化：エージェントの展開が困難なレガシーな環境や、大量のインスタンスが存在する環境でも迅速にリスクを把握できます。

8. AWSサービスとの強力な連携
CrowdStrikeはAWSのネイティブサービスと深く統合されており運用を効率化できます。

• Amazon GuardDuty / AWS Security Hub連携：AWS側の検知アラートをCrowdStrikeのコンソールに統合し、一元的な調査が可能です。

• AWS Control Tower連携：新しいAWSアカウントが作成された際、自動的にCrowdStrikeの保護を適用できます。

• AWS Systems Manager (SSM)連携：Falconエージェントの配布や更新を自動化できます。

参考

• 【CrowdStrike】センサーのインストールについて_Linux編
• 【CrowdStrike】Falcon Container センサーのインストールについて

さいごに

今回はCNAPPと各機能、CrowdStrike Cloud Securityでの対応内容とAWS環境へのCloud Security の適用概要についてについてご紹介いたしました。

この記事が、皆様のセキュリティ対策や、CloudSecurity の運用の一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、Netskopeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください！