CDR(Cloud Detection and Response)は、クラウドにおけるサイバー脅威を検知・対処するための、包括的かつクラウドネイティブなアプローチです。
目次
組織がクラウドソリューションを利用する主な理由の一つは、ほぼ無限に拡張できることです。しかし、規模が大きくなるにつれてクラウド環境は複雑化し、サイバー脅威からの保護が困難になります。CDRは、既存の機能と新しい機能を組み合わせ、セキュリティチームにクラウド脅威の検知、識別、対応のための単一の統合ソリューションを提供します。
重要なのは、CDRがクラウドネイティブであることです。つまり、CDR自体がクラウドベースであり、クラウドアプリケーションとインフラストラクチャの独自の動作方法を反映しています。単一クラウド環境でもマルチクラウド環境でも保護を提供できます。
CDRは、CTDR(Cloud Threat Detection and Response)またはCNDR(Cloud-Native Detection and Response)と呼ばれることもあります。
ほとんどの組織は、業務を遂行するために1つ以上のクラウドアプリケーションまたはクラウドインフラストラクチャインスタンスに依存しています。このように広く利用され、運用とトランザクションにおいて中心的な役割を果たしていることから、クラウドソリューションはサイバー攻撃の格好の標的となっています。
攻撃者は通常、アカウントへのアクセスに使用できる認証情報を盗むことでクラウド環境に侵入します。侵入に成功すると、攻撃者は権限を「アップグレード」する方法を模索し、ますます機密性の高い機能やデータにアクセスしようとします。個人情報や保護されている情報を盗み出そうとしたり、組織が利用しているクラウドリソースを乗っ取って私的に利用したり(仮想通貨のマイニングなど)する可能性もあります。
従来の組織ネットワーク/IT環境向けに設計されたスタンドアロン型のサイバーセキュリティツールは、クラウドのオープン性、複雑さ、規模に適していないため、組織はCDRソリューションを導入することが不可欠です。
他のサイバーセキュリティソリューションとは異なり、CDRはクラウドネイティブです。そのため、CDRツールは「クラウドスケール」で動作し、クラウド自体の絶え間なく変化する(動的な)性質に対応できます。これには、リアルタイムで脅威を検知し、クラウドの機能を活用して自動的に脅威に対応することが含まれます。これは、人間のチームが手動で作業するよりもはるかに高速です。
CDRツールは、リアルタイムの脅威検知と自動化された脅威対応を提供することで機能します。
このように、CDRソリューションは、XDR(Extended Detection and Response)やEDR(Endpoint Detection and Response)などの既存のサイバーセキュリティソリューションと同様のパフォーマンスを発揮しますが、クラウドネイティブな方法で実行されます。
CDRソリューションは多くの場合、以下の機能を提供します。
サイバーセキュリティは、組織にとって様々な意味でますます戦略的な重要性を増しています。事業全体の管理に統合され、ビジネス目標との関連性も深まっています。クラウドテクノロジーがセキュリティチームの複雑さを増すのと同様に、戦略的なマインドセットへの移行も進んでいます。
CDRは、ビジネスクリティカルなクラウドリソースの保護に重点を置き、サイバーリスクマネジメント全体に不可欠な要素であるため、「戦略的サイバーセキュリティ」のカテゴリーに該当します。そのため、CDRソリューションの導入には、綿密な戦略的計画が不可欠です。
実際には、組織は、継続的かつ適応型のクラウドセキュリティに対応し、機械学習とAIを効果的に活用して誤検知を最小限に抑え、アラートの増加によるチームの負担を軽減するために、適切なスキルと知識を社内に確保する必要があります。
CDRは、クラウド環境向けの高度で大規模かつ戦略的なサイバーセキュリティアプローチであるため、組織はそれを成功裏に導入し、長期にわたって維持するための予算を確保する必要があります。
組織は、新たな脅威への対応と、クラウドがビジネスオペレーションにおいていかに重要になっているかを反映し、クラウドセキュリティへのアプローチを進化させています。多くの組織が、CNAPP(Cloud Native Application Protection Platform)を導入し、より統合されたエンドツーエンドのライフサイクルアプローチによるクラウド保護を実現しています。
CDRは検知・対応機能を提供することで、あらゆるCNAPP導入の重要な構成要素であり、クラウド環境の複雑性と脅威の性質が共に進化する中で、将来を見据えたサイバーセキュリティにおいて重要な役割を果たします。
Trend Vision One™ Cloud Securityは、マルチクラウドおよびハイブリッド環境向けのCDRの脅威検知・対応機能に加え、リアルタイムリスク評価、攻撃経路予測、エクスポージャー管理などの付加価値の高い追加機能を提供します。
Cloud Securityは、インシデント対応とクラウドセキュリティコンプライアンスを効率化する包括的なソリューションとして、サイバーリスクの継続的な監視、評価、優先順位付けに加え、最大限の可視性を提供します。
「クラウドレスポンス」とは、クラウドリソースを侵害する可能性のある潜在的な脅威にセキュリティチームが対応する能力を指します。
検知・対応とは、テクノロジー環境を継続的に監視し、脅威を検知して適切な対策を実施し、潜在的な被害を最小限に抑えることです。
XDRとCDRはどちらも検知・対応機能を備えています。XDRは、組織ネットワーク/IT環境のさまざまなセキュリティレイヤーを扱います。CDRは、特にクラウド環境を保護するように設計されています。
クラウドベースの検知とは、クラウド内で動作し、クラウドの機能を利用してサイバー脅威を検知するテクノロジーを指します。
CDRはCloud Detection and Response、EDRはEndpoint Detection and Responseの略です。どちらもサイバーセキュリティ全体にとって重要な側面です。
EDRは、組織のIT環境内の物理デバイス(エンドポイント)の保護に重点を置いています。CDRは、クラウドアプリケーションとインフラストラクチャを保護します。
SOCはセキュリティオペレーションセンター、つまりサイバーセキュリティを担当する集中管理されたグループまたはオフィスです。検知・対応は、SOCが組織を保護するために実行する機能であり、具体的には潜在的な脅威を発見して対処することです。
その名の通り、「検知・対応」とは、潜在的なサイバー脅威を検知(発見・特定)し、それらに対応して被害を最小限に抑えるプロセスを指します。
セキュリティオペレーションセンターは、オンプレミス(組織がスタッフを配置し、独自に運営する)またはアウトソーシング(マネージドサービスプロバイダーがその機能を提供する)のいずれかで設置されます。いずれの場合も、SOCがSOCである理由は、サイバーセキュリティ運用が一元的に実行される場所であるということです。
「インシデント対応」とは、サイバー攻撃などのサイバー脅威によって引き起こされる被害を封じ込め、阻止、または最小限に抑えるための措置を講じることです。セキュリティオペレーションセンター(SOC)は、インシデント対応が迅速かつ効果的に行われるように責任を負います。
Verizon's data breach report & unsecured cloud storage
Shared Responsibility for Cloud Security
You're One Misconfiguration Away from a Cloud-Based Data Breach
Microsoft Azure Well-Architected Framework
Using Shift-Left to Find Vulnerabilities Before Deployment
AWS Well-Architected
Safe, Secure and Private, Whatever Your Business
National Institute of Standards and Technology (NIST)