CDR(Cloud Detection and Response)は、クラウドにおけるサイバー脅威を検知・対処するための、包括的かつクラウドネイティブなアプローチです。
目次
組織がクラウドソリューションを利用する主な理由の一つは、ほぼ無限に拡張できることです。しかし、規模が大きくなるにつれてクラウド環境は複雑化し、サイバー脅威からの保護が困難になります。CDRは、既存の機能と新しい機能を組み合わせ、セキュリティチームにクラウド脅威の検知、識別、対応のための単一の統合ソリューションを提供します。
重要なのは、CDRがクラウドネイティブであることです。つまり、CDR自体がクラウドベースであり、クラウドアプリケーションとインフラストラクチャの独自の動作方法を反映しています。単一クラウド環境でもマルチクラウド環境でも保護を提供できます。
CDRは、CTDR(Cloud Threat Detection and Response)またはCNDR(Cloud-Native Detection and Response)と呼ばれることもあります。
CDRが重要な理由
ほとんどの組織は、業務を遂行するために1つ以上のクラウドアプリケーションまたはクラウドインフラストラクチャインスタンスに依存しています。このように広く利用され、運用とトランザクションにおいて中心的な役割を果たしていることから、クラウドソリューションはサイバー攻撃の格好の標的となっています。
攻撃者は通常、アカウントへのアクセスに使用できる認証情報を盗むことでクラウド環境に侵入します。侵入に成功すると、攻撃者は権限を「アップグレード」する方法を模索し、ますます機密性の高い機能やデータにアクセスしようとします。個人情報や保護されている情報を盗み出そうとしたり、組織が利用しているクラウドリソースを乗っ取って私的に利用したり(仮想通貨のマイニングなど)する可能性もあります。
従来の組織ネットワーク/IT環境向けに設計されたスタンドアロン型のサイバーセキュリティツールは、クラウドのオープン性、複雑さ、規模に適していないため、組織はCDRソリューションを導入することが不可欠です。
CDRは従来のセキュリティアプローチとどう違うのか?
他のサイバーセキュリティソリューションとは異なり、CDRはクラウドネイティブです。そのため、CDRツールは「クラウドスケール」で動作し、クラウド自体の絶え間なく変化する(動的な)性質に対応できます。これには、リアルタイムで脅威を検知し、クラウドの機能を活用して自動的に脅威に対応することが含まれます。これは、人間のチームが手動で作業するよりもはるかに高速です。
CDRの仕組み
CDRツールは、リアルタイムの脅威検知と自動化された脅威対応を提供することで機能します。
- リアルタイムの脅威検知は、クラウドデータの継続的な監視と分析に基づき、サイバー脅威の兆候や実際の侵害(侵害の兆候とも呼ばれます)を可能な限り早期に発見します。これには、ユーザーのアクティビティや行動、ネットワークトラフィックなど、多種多様なソースからの膨大な情報が含まれる場合があります。目標は、クラウド環境の完全な可視性を実現することです。
- 自動化された脅威対応は、ソフトウェアベースのツールを使用して、侵害された可能性のあるクラウドリソースを隔離し、疑わしいIPアドレスからのトラフィックをブロックし、インシデント後の分析を提供することで、セキュリティチームがクラウドセキュリティのプラクティスを学習して適応し、リスク評価とクラウドコンプライアンス要件を遵守できるようにします。
このように、CDRソリューションは、XDR(Extended Detection and Response)やEDR(Endpoint Detection and Response)などの既存のサイバーセキュリティソリューションと同様のパフォーマンスを発揮しますが、クラウドネイティブな方法で実行されます。
CDRの主な機能とは?
CDRソリューションは多くの場合、以下の機能を提供します。
- クラウド環境を継続的に監視し、データへのアクセス方法、アクセスユーザー、ポリシー遵守状況など、異常なアクティビティや動作を常に監視します。また、CDRソリューションは、疑わしいアクティビティが検出された場合、リアルタイムで自動的にアラートを発する機能も備えている必要があります。
- 脅威インテリジェンスの統合により、最新の脅威を常に監視し、AIと機械学習を組み合わせることで、クラウド環境で既知の脅威が活動している可能性のある兆候パターンを特定します。脅威インテリジェンスと履歴分析、予測型機械学習を組み合わせることで、CDRはセキュリティチームがクラウドセキュリティに対して強力かつプロアクティブなアプローチを採用することを可能にします。
- レポート機能とポリシー適用機能により、組織は自組織のポリシーだけでなく、外部のプライバシーおよびセキュリティ規制や法律(決済取引に関するPCI DSS、医療データに関するHIPAA、EUにおけるデータ保護に関するGDPRなど)への準拠を維持できます。CDRソリューションは膨大な量のデータを自動的に追跡、ダイジェスト、分析し、それに基づいて行動するため、コンプライアンスをサポートするレポートとインテリジェンスを生成するのに最適です。
- データがセキュリティとプライバシーの要件に従って適切に分類・保存されることを保証します。例えば、適切なクラウドロケーションや管轄区域、適切なレベルの暗号化とアクセス制御などです。
- エージェントベース(EDR、CWPPなど)とエージェントレス(CSPM、クラウドAPIログなど)の両方のソースからテレメトリを収集し、相関分析することで、クラウドのワークロードとインフラストラクチャを包括的に可視化できます。これらの多様なデータストリーム間でイベントを相関分析することで、CDRはハイブリッドおよびマルチクラウド環境全体にわたって、より迅速な脅威検出、コンテキスト分析、そして優先順位付けされた対応アクションを提供できます。
CDRの導入方法
サイバーセキュリティは、組織にとって様々な意味でますます戦略的な重要性を増しています。事業全体の管理に統合され、ビジネス目標との関連性も深まっています。クラウドテクノロジーがセキュリティチームの複雑さを増すのと同様に、戦略的なマインドセットへの移行も進んでいます。
CDRは、ビジネスクリティカルなクラウドリソースの保護に重点を置き、サイバーリスクマネジメント全体に不可欠な要素であるため、「戦略的サイバーセキュリティ」のカテゴリーに該当します。そのため、CDRソリューションの導入には、綿密な戦略的計画が不可欠です。
実際には、組織は、継続的かつ適応型のクラウドセキュリティに対応し、機械学習とAIを効果的に活用して誤検知を最小限に抑え、アラートの増加によるチームの負担を軽減するために、適切なスキルと知識を社内に確保する必要があります。
CDRは、クラウド環境向けの高度で大規模かつ戦略的なサイバーセキュリティアプローチであるため、組織はそれを成功裏に導入し、長期にわたって維持するための予算を確保する必要があります。
CDRの未来
組織は、新たな脅威への対応と、クラウドがビジネスオペレーションにおいていかに重要になっているかを反映し、クラウドセキュリティへのアプローチを進化させています。多くの組織が、CNAPP(Cloud Native Application Protection Platform)を導入し、より統合されたエンドツーエンドのライフサイクルアプローチによるクラウド保護を実現しています。
CDRは検知・対応機能を提供することで、あらゆるCNAPP導入の重要な構成要素であり、クラウド環境の複雑性と脅威の性質が共に進化する中で、将来を見据えたサイバーセキュリティにおいて重要な役割を果たします。
CDRに関するサポートはどこで受けらるのか?
Trend Vision One™ Cloud Securityは、マルチクラウドおよびハイブリッド環境向けのCDRの脅威検知・対応機能に加え、リアルタイムリスク評価、攻撃経路予測、エクスポージャー管理などの付加価値の高い追加機能を提供します。
Cloud Securityは、インシデント対応とクラウドセキュリティコンプライアンスを効率化する包括的なソリューションとして、サイバーリスクの継続的な監視、評価、優先順位付けに加え、最大限の可視性を提供します。
よくあるご質問 (FAQ)
クラウドレスポンスとはどういう意味ですか?
「クラウドレスポンス」とは、クラウドリソースを侵害する可能性のある潜在的な脅威にセキュリティチームが対応する能力を指します。
検知・対応プロセスとは何ですか?
検知・対応とは、テクノロジー環境を継続的に監視し、脅威を検知して適切な対策を実施し、潜在的な被害を最小限に抑えることです。
XDRとCDRの違いは何ですか?
XDRとCDRはどちらも検知・対応機能を備えています。XDRは、組織ネットワーク/IT環境のさまざまなセキュリティレイヤーを扱います。CDRは、特にクラウド環境を保護するように設計されています。
クラウドベースの検知とは何ですか?
クラウドベースの検知とは、クラウド内で動作し、クラウドの機能を利用してサイバー脅威を検知するテクノロジーを指します。
通信業界におけるCDRとEDRとは何ですか?
CDRはCloud Detection and Response、EDRはEndpoint Detection and Responseの略です。どちらもサイバーセキュリティ全体にとって重要な側面です。
EDRとCDRの違いは何ですか?
EDRは、組織のIT環境内の物理デバイス(エンドポイント)の保護に重点を置いています。CDRは、クラウドアプリケーションとインフラストラクチャを保護します。
検知・対応とSOCの違いは何ですか?
SOCはセキュリティオペレーションセンター、つまりサイバーセキュリティを担当する集中管理されたグループまたはオフィスです。検知・対応は、SOCが組織を保護するために実行する機能であり、具体的には潜在的な脅威を発見して対処することです。
サイバーセキュリティにおける検知・対応とは何ですか?
その名の通り、「検知・対応」とは、潜在的なサイバー脅威を検知(発見・特定)し、それらに対応して被害を最小限に抑えるプロセスを指します。
SOCをSOCたらしめるものは何ですか?
セキュリティオペレーションセンターは、オンプレミス(組織がスタッフを配置し、独自に運営する)またはアウトソーシング(マネージドサービスプロバイダーがその機能を提供する)のいずれかで設置されます。いずれの場合も、SOCがSOCである理由は、サイバーセキュリティ運用が一元的に実行される場所であるということです。
SOCにおけるインシデント対応の主な目的は何ですか?
「インシデント対応」とは、サイバー攻撃などのサイバー脅威によって引き起こされる被害を封じ込め、阻止、または最小限に抑えるための措置を講じることです。セキュリティオペレーションセンター(SOC)は、インシデント対応が迅速かつ効果的に行われるように責任を負います。
関連記事
Verizon's data breach report & unsecured cloud storage
Shared Responsibility for Cloud Security
You're One Misconfiguration Away from a Cloud-Based Data Breach
Microsoft Azure Well-Architected Framework
Using Shift-Left to Find Vulnerabilities Before Deployment
AWS Well-Architected
Safe, Secure and Private, Whatever Your Business
National Institute of Standards and Technology (NIST)