20251208_うわっ・・・CNAPPって難しくない？

Transcript

1. うわっ・・・ CNAPPって難しくない？ _____________________ 株式会社JSOL　山内錬 _____________________

2. 自己紹介 名前：山内　錬 所属：株式会社JSOL 経歴：4年目 インフラエンジニア(→セキュリティエンジニア) 趣味：カメラ、脱出ゲーム、料理 2025 Japan AWS Jr.

   Champions 2025 Japan All AWS Certifications Engineers ※申請忘れなければ！ 2026 Japan All AWS Certifications Engineers

3. CNAPP概要 課題\内容 技術面 運用面 コンプライア ンス・法規対 応 製品選定 マルチクラウド可視化 AWS、Azure、GCPの

   設定不備やリスクを横断的に 把握したい 権限管理の最適化 クラウドごとに分散したIAM 権限を整理し、過剰権限を 減らしたい 運用標準化 環境ごとに異なる 監視・運用手順を統一し、 全社で同じ基準で運用したい 規制対応 ISO、個人情報保護法、 業界ガイドラインに準拠した 統制を実現したい ネイティブ機能との役割分担 各クラウド標準機能と CNAPP製品の役割を整理、 重複投資を避けたい アラート優先度整理 大量の検知結果から、 本当に対応すべきリスクを 優先順位付けしたい例外 監査証跡 設定変更や脆弱性対応の 履歴を保管し、監査時に 説明できるようにしたい コスト妥当性の評価 導入費だけでなく、 運用負荷や将来的な 課金増加も含めて比較したい

4. CNAPP概要 CNAPP領域 保護対象サービス 保護領域 一言で表すと CSPM Misconfig, compliance, public exposure,

   monitoring coverage AWS全体の設定が安全か CWPP Vulnerabilities / runtime threats / malware / lateral movement 走ってるアプリやOSが安全か KSPM K8s cluster config / RBAC / network policies / image policy EKS と周りの設定が正しいか IaC Misconfig before deploy / policy-as-code enforcement ミスをデプロイ前に止める CIEM Excess permission, identity blast radius, authN/Z graph 権限がヤバくなってないか DSPM Sensitive data discovery / exposure control / access governance データが漏れそうになってないか

5. ・CSPM ・CWPP ・KSPM ・IaC ・CIEM ・DSPM ・CWPP ・CSPM ・DSPM ・CWPP

   ・CSPM ・CIEM ・KSPM ・CWPP ・CSPM ・IaC ・CIEM CNAPP概要 AWS Azure Google Cloud AWS Azure GoogleCLoud

6. ・CSPM ・CWPP ・KSPM ・IaC ・CIEM ・DSPM CNAPP概要 AWS Azure GoogleCLoud

   CNAPPソリューション

7. CNAPP概要 DSPM CWPP CSPM CIEM CDR Amazon EC2 Amazon Inspector

   Permissions IAM Access Analyzer Flow logs AWS CloudTrail Resolver query logging Amazon Detective Amazon EventBridge AWS Systems Manager Logs AWS Lambda Runbook AWS Lambda Auto response IAM Amazon S3 Amazon Macie AWS SecurityHub （Advanced) Amazon S3 Amazon RDS Amazon EC2 AWS Lambda Amazon ECR AWS SecurityHub CSPM Amazon GuardDuty 対象 対象 AWSで実現可能に! (2025/12/2 GA)