マカフィーは4月20日、「MVISION Cloud Native Application Protection Platform」(CNAPP)の一般提供を開始すると発表した。米国では3月末から提供されており、日本では約1カ月遅れで提供準備が整った形となる。
まず背景状況を説明した同社 サイバー戦略室 シニアセキュリティアドバイザーの佐々木弘志氏は、CNAPPを端的に「IaaSやPaaSなどのクラウドの基盤をしっかり保護していくソリューション」だとした上で、「クラウド上のデータとアプリケーションをどう守っていくのか」が企業にとっての重要課題となってきていると指摘した。
「今のコロナの環境において、DX(デジタル変革)なしに企業の生き残りは難しい」(佐々木氏)という状況だが、一方で急速に進行するデジタル化がセキュリティリスクを増大させている面があると同氏は指摘する。
具体的には、IoT家電などが次々と製品化されるようになってきているが、こうした製品の開発や販売後のサービス提供などにメーカーのIT/セキュリティ部門は基本的に関与せず、製品/開発部門の担当となることが一般的なので、ITやセキュリティに関する知識やノウハウの蓄積が少ないまま製品発売に至る例もあるという。
また、自社だけでは開発や運用が難しいため、外部のシステム開発/運用事業者に業務を委託し、委託された事業者がサービスインフラとしてクラウド基盤を活用するといった構図になると、「セキュリティのガバナンスが効きにくい状況になってしまう」(佐々木氏)という。
同氏はこうした「“つながる”製品・サービスの拡大」によって「『社外』のセキュリティ課題が顕在化」し、事業継続に関わるような大きな問題に発展した例として2019年の「7pay(セブンペイ)」事件と2020年の「ドコモ口座」の例を挙げたほか、2021年の「LINEの個人情報管理不備」にも言及し、「データ活用社会では、経営層は『どの(What)』データが、『どこに(Where)』『どのように(How)』移動・保管(暗号化)され、どうアクセス(制御)されていたのかと、そのリスクの把握が求められている」と語った。
続いて、同社 セールスエンジニアリング本部 本部長の櫻井秀光氏がCNAPPの概要を紹介した。まず同氏は、CNAPPについて「クラウドセキュリティの分野で、主にIaaS/PaaSのセキュリティを担う機能をリリースしたもの」だと説明。2017年に同社が買収したSkyhigh Networksが持っていたクラウドセキュリティの機能群のうちのCSPM(Cloud Security Posture Managemet:クラウドセキュリティ態勢管理)機能と、同社が以前から「McAfee Cloud Workload Security」という名称で提供していたCWPP(Cloud Workload Protection Platform)の機能を統合、さらに別途提供されていたコンテナーセキュリティの機能も併せて「MVSION CNAPP」という名称を与えたという経緯について紹介した。
MVISON Cloudプラットフォームの主要な機能の構成。右端の赤破線で囲まれたSWG(Secure Web Gateway)機能はMcAfee由来、中央の青破線で囲まれているのがSkyhigh Networks買収で獲得された機能群で、CSPMを除くSkyhigh由来の機能とSWGを統合してMVISION UCE(Unified Cloud Edge、いわゆるSASEの機能)を構成している。今回国内で提供が開始されるMVISION CNAPPは、Skyhigh由来のCSPMに、McAfeeがこれまで提供してきた「エージェント型CWPP」と「コンテナセキュリティ」を統合したものとなる
同氏は、多くの企業で現在複数のIaaS/PaaSを併用する環境となっているが、「統合運用管理が行えていない」「現状把握及び定期的な確認が行えていない」「重要データの可視化と保護が適切に行えていない」「セキュリティ対策(DevSecOps)が追いついていない」「クラウド上で発生したインシデントを適切にハンドリングできていない/するための知見がない」といった課題に直面していると指摘。これらの課題をMVISION CNAPPで解決可能だとした。
現時点では、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft AzureのIaaS/PaaSをサポートし、これらクラウドに対して単一の管理コンソールから一元的に運用管理し、セキュリティ強化のための設定監査や脆弱性検査、問題点の修復、重要データの可視化(DLP機能)などが行える。また、ソフトウェア開発に使われる継続的インテグレーション/継続的デリバリ(CI/CD)ツールと連携する形でソフトウェア開発のプロセス内で自動的にセキュリティ対策を行え、クラウド上で発生したインシデントをMITRE ATT&CKフレームワークに則って一元的に見やすく表示する機能なども備える。
ユーザーの環境がマルチクラウド(IaaS/PaaS)に移行したことで生じる課題をMVISION CNAPPで解決可能
同氏が強調した新機能としては、DLPによるデータスキャンやマルウェアスキャンなどについて、ユーザーテナント内で完結するエージェント型のスキャンが行える点がある。従来のクラウドDLPやマルウェアスキャンでは、API連携を通じてデータをいったんMVISION Cloudに送ってチェックしていたが、AWSではデータの外部転送に課金されるほか、「データが外に出る」こと自体が問題となる可能性もあったという。
これに対応し、新たにユーザーのAWS環境内に専用PoPを設置してデータのローカルスキャンが可能になる。なお、一般的にはCNAPPは「CWPPとCSPMを統合して提供するもの」とされているが、「CNAPPではCWPPとCSPMに加えて『アプリケーションとデータの可視化/制御』の機能を3本目の柱として加えている点が特徴であり、競合に対する差別化ポイントである」(櫻井氏)という。
ユーザーテナント内でのデータスキャンの概要。競合製品を含む従来のDLP機能ではAPIを通じてAWSからデータを外部のDLPエンジンに転送していたが、今回新たにユーザーテナント内でローカルスキャンを実行できるようになった
最後に、2021年3月8日に米McAfeeが発表した法人向け事業の売却に関しても最新情報を確認することができたので紹介しておきたい。同社は法人向け事業をSymphony Technology Group(STG)が率いるコンソーシアムに法人向け事業を売却することで合意したと発表しているが、櫻井氏によれば実質的には分社化であり、旧McAfeeの法人向け事業を継承する新会社が設立され、現在の法人向け事業部門の人員も全員そちらに異動することになっているという。
新会社はMcAfeeという社名から変更されることになり、一部製品名も変更される可能性があるが、「現在提供中の製品や今後の製品ロードマップなどについても一切変更はない」(櫻井氏)という。また、一部にはSTG傘下の別のセキュリティベンダーと統合されるのではという観測もあったが櫻井氏はこれも否定し、新会社でMcAfee法人向け事業以外の製品/サービスを扱う予定はないとしている。特に日本市場においては法人向け事業の存在感の方が圧倒的に大きいといえるMcAfeeがコンシューマー事業に特化すると発表したことで注目されたが、法人向け事業は社名を変えてそのまま存続する方針ということなので、ユーザーにとっても安心できるだろう。
