業務の効率化やDXの推進を背景に、保有する資産をオンプレミスからクラウドへ移行する組織が増えています。みなさまもクラウド環境におけるセキュリティアプローチとして、CSPM(Cloud Security Posture Management)やCNAPP(Cloud Native Application Protection Platform)といった用語を目にする機会が増えているではないでしょうか。
本ブログでは、IaaS/PaaSのクラウド基盤向けの対策製品の導入に際して必ず話題に上がる「エージェント」と「エージェントレス」の違いについて、今弊社が推奨しているCNAPPと、最適なクラウドセキュリティ構成について解説していきます。
CNAPPとは?
CNAPPとは、クラウド環境における開発から本番環境への実装までを安全に保護するプラットフォームのことであり、CSPMやCWPPのような専門市場の機能を一括で提供します。
CNAPPを導入することで、組織のクラウド資産状況を可視化し、対応するリスクの優先順位を適切に設定することができます。クラウド移行した際の設定チェックや、公開済み資産に含まれる機密情報の検出と保護を実現します。
エージェントとエージェントレスそれぞれのメリット・デメリット
クラウドセキュリティの課題に対応する手段としてCNAPPの導入が注目されていますが、その実装方法の選定は重要な要素です。
CNAPPには、監視対象のクラウド資産に専用のソフトウェアのインストールが必要な「エージェント型」と、ソフトウェアのインストールを必要としない「エージェントレス型」の2つのアプローチがあり、それぞれに異なる特徴があります。以下では、それぞれの方式におけるメリットとデメリットついて解説します。
「エージェント型」のメリット
- リアルタイムでの情報取得が可能
- 検出される情報の粒度が高い
エージェント型のメリットは、取得される情報が豊富な点にあります。マルウェアやブルートフォース攻撃などの緊急度が高いリスクを、リアルタイムで検知します。また、専用エージェントによって収集できる情報が非常に細かいことも特徴です。
通常、セキュリティ担当者がリスクのアラートを発見した際には、影響範囲や現状確認などの様々な情報を環境内から取得する必要があります。エージェント型のCNAPPはアラートの情報と共に資産の稼働状況や多要素認証の有無など、環境内の詳細な情報が提供されます。そのため、セキュリティ担当者は最短かつ適切にリスクの対処を行うことができます。
「エージェント型」のデメリット
- 導入の際により多くのクラウド利用料を支払う可能性がある
- 専用エージェントを導入する手間と、利用できない資産を監視できない
エージェント型のデメリットは、導入後の運用面で課題が増える点にあります。エージェントをインストールする際、自組織のクラウド資産に十分な容量がないケースがあります。その場合、エージェント製品の費用に加えて、クラウド資産を拡張するための費用が必要となります。また、各ワークロードにそれぞれエージェントをインストールする必要があるため、インストールだけでも膨大な時間を要する上に、すべてのエージェントを管理・運用していくための人員も必要となります。加えて、エージェントが対応していない資産は情報の検出ができないため、自組織のクラウド環境全体の網羅的把握や対応ができず、リスクを見落としてしまう可能性があります。
「エージェントレス型」のメリット
- 環境内に影響を与えることなく情報を検出できる
- 組織のクラウド環境全体をスキャンできる
エージェントレス型のメリットは、導入前後のギャップを感じることなく環境全体を可視化できる点にあります。エージェントレス型製品のスキャン方法は主に、API連携やスナップショット分析が中心です。そのため、既存環境に影響を与えることなくリスク情報を取得できます。また、資産の種類やクラウド基盤に関係なくスキャンを行うため、自組織全体のクラウド環境を隅々まで可視化します。環境全体を可視化した上でリスクの優先順位付けを行うため、セキュリティ担当者は優先度の高い重大なリスクに対して迅速に対応できます。
「エージェントレス型」のデメリット
- リアルタイムの情報取得が難しい
- 取得できる情報の粒度が低い
エージェントレス型のデメリットは、得られる情報が必ずしも最新な情報ではない可能性がある点です。すべてのリスクに対して迅速な対応が求められているわけではないものの、API連携やスナップショットによるスキャンは定期実行となるため、リアルタイムで新たに生じたリスクを発見できない可能性があり、対応が遅れる可能性は想定されます。また取得できるリスク情報の粒度が低く、リスクアラートだけを見ても適切な対処ができない場合があります。セキュリティ担当者はリスクアラートに加えて、環境内のさまざまな情報を収集する必要があり、結果としてリスクの解消に時間がかかる場合があります。
最適なクラウドセキュリティ構成は?
ここまで、エージェントとエージェントレスのメリットとデメリットを挙げてきましたが、情報・運用のどちらかのポイントで課題が残ります。したがって、最適なクラウドセキュリティ構成は、エージェント型とエージェントレス型のいずれか一方を選ぶのではなく、両者を組み合わせて運用することで実現されます。
現在主流となっている構成は、エージェントレス型をメインで活用し、部分的にエージェントを導入する方法です。自組織の環境全体をエージェントレス型の製品で定常的に監視することで、クラウド環境全体を可視化しリスクの優先順位を付けていきます。その中で見つかったリスクのうち、特に警戒して監視したい部分にのみエージェントを導入することで、マルウェアや不審な挙動をリアルタイムで検出することができます。
まとめ
クラウドへの移行において、セキュリティ対策は不可欠な要素です。総務省からもクラウド運用に関するガイドライン(※1)やガイドブック(※2)が公表されており、重要性が増しています。
※1 総務省「クラウドサービス利用・提供における 適切な設定のためのガイドライン」:
https://www.soumu.go.jp/main_content/000944468.pdf (2025年6月11日参照)
※2 総務省:「クラウドの設定ミス対策 ガイドブック」:https://www.soumu.go.jp/main_content/000944467.pdf(2025年6月11日参照)
CNAPPを適切な方法で導入することで、クラウド環境全体の可視化とリスクの優先順位付けを実現し、セキュリティ担当者の運用負荷やリスク対応の手間を削減します。
弊社では、CNAPP製品としてOrca Security社のOrcaプラットフォームを提供しています。特許技術により、エージェントレス型の製品にもかかわらずエージェントを利用した場合と同等レベルの情報を収集し、OrcaプラットフォームのUIで確認可能です。高度なAIによる自然言語検索機能や、リスク修正案提示機能などもありますので、セキュリティ担当者の作業負担を大きく軽減することが可能です。
本ブログやソリューション、機能についてご不明点やご質問がありましたら、ぜひお気軽にお問い合わせください。
