クラウド検出と対応 (CDR)

クラウド検出と対応（CDR）は、クラウド環境全体のリアルタイムな可視化と対応能力を提供します。 

CDRは、境界ベースのツールや従来の検出方法に依存する代わりに、ワークロードのアクティビティからアイデンティティの振る舞いまで、クラウド内部で何が起きているかを把握し、脅威が広がる前に対応するのに役立ちます。

AWS、Azure、Googleクラウドで運用されている方は、クラウドのアクティビティが従来のIT環境とは異なることをご存じだろう。 短期間のワークロード、広大なAPI、過剰な権限、複数のチームが新しいサービスを立ち上げ、多くの場合、ITチームやセキュリティチームが知らないうちに立ち上げている。 

CDRは、クラウドのアクティビティ・データと、そのすべてを理解するために必要なコンテキストを提供します。

適切なCDRソリューションがあれば、設定ミス、異常な認証パターン、権限昇格などの不審なアクティビティを検出し、迅速に調査して対処することができます。 

このクラウド検出と対応ガイドは、CDRが何を行い、どのように機能し、より広範なクラウドセキュリティ戦略にどのように適合するかを理解するのに役立ちます。

クラウドネイティブインフラを保護するために、オンプレミス環境用に設計されたツールに頼ることはできない。 従来の検知・対応プラットフォームは、エンドポイント、シグネチャ、静的システムに焦点を当てています。 しかし、クラウド環境は静的なものではない。 彼らには明確な境界線もない。

クラウドでは、ワークロードは素早くスピンアップしたりダウンしたりする。 ユーザーとアイデンティティはどこからでもつながる。 サービスは、あなたがその存在すら知らないかもしれないAPIを通じて通信する。 

行動をモニタリングし、異常にフラグを立て、リアルタイムでコンテキストに沿って行動する方法が必要だ。

従来の検出ツールは、クラウドのコントロールプレーン、サーバーレス機能、コンテナ、オブジェクトストレージを可視化できないため、クラウドネイティブの脅威を見逃してしまうことが多い。 

マルウェアを捕まえることはできるかもしれないが、アイデンティティアクセス管理（IAM）ロールをまたがる特権昇格や、サービス間の異常なAPIアクティビティは見られないだろう。 そこで、クラウド検出と対応がギャップを埋める。

ハイブリッド環境やマルチクラウド環境を運用している場合、この可視性のギャップはさらに悪化する。 

CDRは、従来のシグネチャを残さないラテラルムーブメント、内部の不正使用、外部の脅威を検出するためのカバレージを提供します。 

ログを収集するだけではない。 行動とビジネスリスクを結びつけ、迅速かつ果断に対応できるようにします。

従来のエンドポイントツールは、不正に使用されたAPI、許可されていないアイデンティティ、管理されていないサービス全体のアクティビティなど、クラウドセキュリティ検出プラットフォームが検出する指標を見逃すことがよくあります。

例えば、CISAのクラウド・セキュリティ・リファレンス・アーキテクチャー（ ）では、従来のツールが分散型のクラウドネイティブインフラに対応するのに苦労している理由を概説している。

CDRが実際の環境でどのように機能するかといえば、それはデータから始まり、決断で終わる。

クラウド検出と対応は、クラウドインフラ、アイデンティティ、ワークロード全体の挙動を継続的に分析することで機能します。 API、イベントログ、監査証跡、クラウドネイティブな遠隔測定、アイデンティティシステムからデータを収集し、その情報を実用的なシグナルに変換する。

強力なCDRソリューションは、静的なルールや署名に依存しない。 侵害や悪用を示唆する行動パターンを探します。通常とは異なる場所からログインするユーザー、通常は触れないパーミッションを変更するサービスアカウント、既知の悪意のあるドメインに連絡するコンテナなどが考えられます。

CDRプラットフォームは、クラウドサービスプロバイダー全体から信号を取り込み、データを正規化し、クラウド環境に合わせた検出ロジックを実行します。

CDRツールは、重要なアラートを表示し、ノイズを減らし、対応するためのコンテキストを提供します。 これには、資産リスクや既知の脆弱性、設定ミスとアクティビティを関連付けることも含まれる。

CDRが通常とは異なる何かを検出すると、CDRはセッションの強制終了、ユーザーアクセスの無効化、自動修正などの対応オプションを提供します。 

また、関連する活動のタイムラインを使って調査したり、ラテラルムーブメント経路を表示したり、影響範囲を評価したりすることができます。

効果的なクラウド脅威への対応には、アラート以上のものが必要だ。 何がリスクにさらされているのか、いつ行動を起こせばいいのか、どれくらいのスピードで食い止めることができるのかを知らなければならない。 これは、分単位で変化する動的な分散システム向けに構築されたクラウドネイティブな脅威対応だ。

このレベルのリアルタイムの可視性こそが、基本的なログ集約と、検出が迅速で的を絞った対応にリードする効果的なCDRセキュリティを分けるものである。

リアルタイムのクラウド検出がどのように機能するのか、実際に見てみませんか？ 続きを読む "クラウド異常検出と対応" "

すべてのクラウド検出と対応ソリューションが同じように機能するわけではないが、優れたものはいくつかの必須機能を共有している。 これらのコンポーネントは、クラウド環境全体の脅威を検出し、対応するために必要な可視性、スピード、コンテキストを提供します。

クラウドネイティブ・テレメトリー

CDRプラットフォームは、あなたが実際に利用しているサービスからデータを収集する。 Azureアクティビティログ、Kubernetes監査ログ、APIアクセス記録などだ。 また、ワークロードの挙動、コンテナのアクティビティ、アイデンティティイベント、コンフィギュレーションの変更もモニタリングする。

このデータは、インフラ全体で何が起きているかをランタイムに可視化し、大量のシグナルと実際の脅威を結びつけるのに役立ちます。

行動ベースの検出

クラウド環境では、静的なルールや既知のシグネチャだけでは十分ではない。 クラウドは行動分析を使用して、APIの悪用、内部脅威、クラウド・アイデンティティを介した横方向の脅威など、従来のマルウェアには見えない脅威を検出します。

これらの検出は、チームの作業方法に適応し、時間の経過とともに学習し、誤検出を減らしながら、ビジネスにとって重要なリスクを浮上させます。

リスクを考慮した対応行動

CDRが脅威を検出したら、チームは迅速に行動する必要がある。 CDRプラットフォームは、影響を受けた資産を分離し、侵害されたアカウントを非アクティブ化し、自動ワークフローをトリガーする方法を提供します。 これらのアクションは、インシデント対応計画に統合することも、リスクに応じて手動で実行することもできる。

ゴールはただ応えることではない。 影響範囲を封じ込め、攻撃者が高度に接続されたアタックサーフェスを越えてさらに移動するのを防ぐためだ。

既存のサイバーエクスポージャー管理ツールとの統合

CDRはセキュリティ・スタックの代わりにはならない。 それを強化する。 セキュリティ情報イベント管理（SIEM）、クラウドセキュリティポスチャ管理（CSPM）、セキュリティオーケストレーション、自動化、対応（SOAR）、アイデンティティプラットフォーム、サイバーエクスポージャー管理ツールと統合できるプラットフォームを探す。 そうすれば、単にアラートを集めるだけでなくなる。 クラウドのコンテキストを、チームがすでにモニタリングしている他のすべてに追加するのだ。

チームに一般的なアラートを送るツールはもう必要ない。 クラウドの検出と対応によって、他のプラットフォームが見逃しているものをキャッチし、コンテキストに沿って行動する必要がある。 CDRが不可欠なのはこのような状況である。

ユースケースは、設定ミスやアイデンティティの誤用など、OWASP Cloud-Native Application Security Top 10で特定されたクラウドネイティブリスクとも重複する可能性がある。

クラウドサービス間のラテラルムーブメント

攻撃者はいったん足場を固めると、クラウドネイティブ機能を利用してサービスやアカウントを移動することが多い。 CDRは、コンテナ、ワークロード、IAMロール間の異常な権限昇格、クロスサービス認証、またはラテラルホップを発見するのに役立ちます。

設定ミスによるエクスプロイト

過度に寛容なポリシーは、攻撃者に広い経路を与える可能性がある。 CDRは、クラウド・リソースへの異常なアクセス・パターンや突然の変更を検出し、データ漏洩が発生する前に特定して対応できるようにします。

クラウドクレデンシャルの乱用

クレデンシャルを紛失したり盗まれたりしても、常にアラームが鳴るわけではないが、CDRは疑わしい使い方にフラグを立てることができる。 これには、予期せぬ地域からのログイン試行、時間帯の異常、ユーザーの常識外のシステムへのアクセスなどが含まれる。

FBIのインターネット犯罪報告書によると、クレデンシャルの不正利用やランサムウェアなど、クラウド関連の脅威は増加の一途をたどっている。 CDRプラットフォームは、アイデンティティセキュリティツールと連携してリスクの高いアクセス行動にフラグを立て、特権の不正使用をリアルタイムで検出することで、アイデンティティギャップを解消します。

ハイブリッドクラウドセキュリティ

ハイブリッド・クラウドにおける一般的なCDRのユースケースには、クラウドとオンプレミスのシステム間でのアイデンティティの不正使用の追跡、プロバイダー間でのポリシーのドリフトの検出、複数のアカウントやテナントにまたがる脅威への対応などがある。

不審なAPIの動作

APIはクラウド運用の心臓部だ。 CDRは、過剰な読み取り/書き込み操作、制限されたサービスへの呼び出し、既知の攻撃手法に一致するAPIパターンなど、悪用された場合の検出を支援する。

クラウドストレージへの不正アクセス

社内の不正使用であれ、ストレージ環境を探る外部の攻撃者であれ、CDRは、一括ダウンロード、未承認の共有、未知の場所から機密ファイルにアクセスしようとする試みなどの異常なアクティビティを表面化します。

CI/CDパイプラインでの活動

CI/CD環境はターゲットだ。 CDRは、スクリプトの実行、コンテナの動作、パイプライン構成の変更をモニタリングし、チームがインフラストラクチャを構築およびデプロイする際の脅威を検知するのに役立ちます。

クラウド検出と対応は、既存のツールを置き換えるものではありません。 CDRは、CDRがカバーしていないギャップを埋める。 これは多くの場合、より広範なクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）の一部であり、検出、設定ミススキャン、アイデンティティ認識インサイトが組み合わされて、ワークロードをランタイムで保護する。

CDRとほとんどのチームがすでに使用しているプラットフォームとの比較は以下の通りだ。

CDR対CDR。 EDR

エンドポイント検知・対応（EDR）は、ノートパソコンやサーバーなどのデバイスをモニタリングする。 ユーザーの活動、プロセスの実行、ファイルの動作に焦点を当てる。 オンプレミスやハイブリッドのエンドポイントには最適だが、APIやコントロールプレーン、アイデンティティの悪用など、クラウドネイティブな脅威は捕捉できない。 CDRはクラウドの挙動を可視化するため、エンドポイントツールが見逃すものを検出することができる。

CDR対CDR。 SIEM

SIEMはログを集約し、何か問題が発生した後の調査を容易にします。 CDRの方が活発だ。 脅威をリアルタイムで検出し、内蔵の対応オプションを使用します。 SIEMは振り返りを支援します。 CDRは、一刻を争うときに前進するのに役立つ。

CDR対CDR。 CSPM

CSPMはクラウドインフラの設定ミスを特定します。 環境を強固にするのには最適だが、能動的な脅威の検出や対応には使えない。 攻撃者が設定ミスをエクスプロイトしたときにCDRが介入するため、アクティビティをキャッチし、封じ込め、影響を把握することができます。

CDR対CDR。 XDR

拡張検知・対応（XDR）は、エンドポイント、ネットワーク、クラウドなどの異なるドメイン間でデータを統合します。 

XDRプラットフォームの中には基本的なCDR機能を備えているものもあるが、そのほとんどはスタンドアロンCDRプラットフォームが提供するクラウド・ネイティブの深い可視性に欠けている。 

CDRは、クラウドの行動、ワークロード、アイデンティティパターンに完全に焦点を当てているため、最新のクラウド環境における脅威の検出と対応に効果的です。

あなたの組織は、おそらく1つのクラウドだけで仕事をしているわけではないだろう。 AWS、Azure、Google Cloudにまたがるワークロードを管理している可能性が高く、オンプレミスのレガシーインフラも残っています。 

その複雑さがギャップを生む。 そして、攻撃者はその見つけ方を知っている。 クラウドの検出と対応は、管理するすべての環境にわたって統一された可視性と対応を提供することで、これらのギャップを埋めるのに役立ちます。

クラウドサービスプロバイダー（CSP）ごとに別々の検出ツールを使用すると、データがサイロ化し、カバレッジに一貫性がなくなります。 CDRはこれらのシグナルを統合し、アカウント、地域、プラットフォームを横方向に移動する脅威を検出する。 これには、複数のクラウドサービスにまたがるクレデンシャルの再利用、ポリシーのドリフト、または誤用されたアイデンティティの検出が含まれる。

ENISAのクラウドセキュリティガイドは、脅威の可視化と調整がしばしば破綻するマルチクラウド環境のセキュリティの課題を強調している。

ハイブリッド環境では、CDRは、クラウドのワークロードが内部ネットワークに到達した場合やその逆の場合など、クラウドとオンプレミスシステム間の相互作用を追跡するのに役立ちます。 また、一貫したポリシーの実施をサポートしているため、異なるコンソールで検出ルールを管理する必要がない。

チームがクラウド間でアプリをデプロイしたり、共有CI/CDインフラに依存している場合、CDRはエンドツーエンドで何が起こっているかを確認する方法を提供します。 脅威を検出するのは1つの環境だけではない。 彼らがどのように動き、何を狙い、どこに対応すべきかを理解している。

クラウド検出と対応により、何が起きているかがわかる。 サイバーエクスポージャー管理は、最も重要なことを決めるのに役立つ。 この2つを組み合わせることで、チームはノイズを減らし、自信を持ってより速く動くことができる。

すべてのアラートが同じではないので、これは重大度だ。 クリティカルでないテストワークロードへのログイン失敗は、本番用データベースへの異常なAPIコールと同じ重みを持たない。 

サイバーエクスポージャー管理は、アラートの量だけでなく、資産の重大度、悪用される可能性、潜在的な影響に基づいて優先順位を決定するためのコンテキストを提供します。

CDRは行動シグナルを表示する。 サイバーエクスポージャー管理はビジネスレンズを加える。 これらを組み合わせることで、悪用されたアイデンティティが機密データにアクセスできるかどうか、クラウド・リソースがインターネットに接続されているかどうか、不審なパターンが既知のエクスプロイトされる可能性のある弱点に結びついているかどうかを判断することができます。

現実には、すべてのアラートを調査することはできないし、その必要もない。 

CDRとサイバーエクスポージャーを統合すれば、本当にリスクのあるインシデントに焦点を当て、そうでないものは無視することができる。 それは、脅威中心からリスクを認識した検出へのシフトである。

Use Tenable ExposureAI to focus your CDR strategy on what matters.

脆弱性を理解して初めて検出が機能する。 クラウドの検出と対応は、何かが間違っていることを教えてくれる。 脆弱性管理 、なぜそれが起きているのか、何を修正すべきなのかを理解するのに役立つ。

CDRが、コンテナが見知らぬIPにアクセスするような異常な動作を検出した場合、そのワークロードにエクスプロイトされる可能性のある脆弱性があるか、パッチが不足しているかを知る必要がある。 そのような背景がなければ、チームはリスクの低い事象を追うことに時間を費やし、リスクの高い資産には依然としてサイバーエクスポージャーが存在することになる。

CDRと脆弱性管理を組み合わせれば、行動と根本原因を結びつけることができる。 その結果、より迅速な調査、より明確な回答経路、より少ない行き詰まりを実現することができる。 アクティビティや、資産に関連する危険度（以前の標的かどうか、すでに露出しているかどうかなど）に基づいて、対応の優先順位を決めることができます。

封じ込めた後、インシデント発生後の監査を待つことなく、チームはパッチ、更新、再設定すべき内容を正確に把握できます。 こうして検出が行動になり、対応が修正になる。

すべてのクラウド検出と対応ソリューションが同じレベルの深さや柔軟性を提供しているわけではない。 適切なプラットフォームの選択は、チームの働き方、ワークロードの場所、効果的に対応するために必要なコンテキストの量によって決まる。

クラウドネイティブのカバレッジを見ることから始めよう。 最高のCDRツールは、中央システムのログだけでなく、クラウド環境から直接データを収集し、分析します。 これには、ワークロードの動作、IAMアクティビティ、コントロールプレーンイベント、プロバイダー全体のAPI使用状況に対するリアルタイムの可視化が含まれます。

また、クラウドの挙動を理解する検出ロジックも組み込みたい。 特権の悪用、ラテラルムーブメント、不審な自動化などの脅威を特定するために行動分析を使用するプラットフォームを探します。 

静的なルールやシグネチャベースのツールでは、ダイナミックな環境では通用しない。

対応能力も重要だ。 強力なCDRソリューションは、セッションの終了、アイデンティティのロックアウト、ポリシーのロールバックなどの自動化されたアクションをサポートする必要があります。

最後に、CDRプラットフォームがチームのワークフローに合致していることを確認してください。 

• SIEM、脆弱性管理、アイデンティティスタックと統合していますか？
• マルチクラウド環境での拡張性は？
• あなたのチームは、ツールを切り替えることなく迅速に調査し、行動することができますか？

これらの機能により、チームはより迅速に検出し、よりスマートに対応し、複雑なクラウドリスクを軽減することができます。

クラウド検出と対応を展開することは、単にスイッチを入れるだけのことではない。 自分の環境に最適なプラットフォームを選択しなければならない。 チームの検出と迅速な対応を実際に助けるツールが必要なのだ。 

これらのCDR導入のベストプラクティスは、CDR戦略から最大の価値を得るのに役立ちます。

1. まず、組織における「クラウド」の意味を定義することから始める。 )、サービスとしてのプラットフォーム(PaaS)、サービスとしてのインフラ(IaaS)、サービスとしてのソフトウェア(SaaS)をモニタリングしていますか？ CDRのカバレッジに、明白な資産だけでなく、重大度の高いサービス、ワークロード、コンテナ、アイデンティティプロバイダーが含まれていることを確認してください。
2. 適切なクラウド遠隔測定を優先する。 イベントログは便利だが、それだけでは十分ではない。 API、コントロールプレーン、ワークロードエージェント、Kubernetes監査ログのようなクラウドネイティブなツールからデータを取得し、静的な設定では見逃されがちな挙動を明らかにします。
3. Align your detection logic with common frameworks like MITRE ATT&CK for cloud to reference tactics and techniques and validate the platform catches what it should.
4. アラートを集中させる。 検出数が多すぎると、ノイズや警告の疲労につながる。 新しい権限の使用、過度なデータの移動、重大なインフラへの変更など、想定される行動を抑制し、リスクと一致する異常を表面化するようにポリシーを調整します。
5. 最後に、CDRを既存のワークフローに統合する。 インシデント対応のプレイブックを強化すべきであり、ゼロから新しいプレイブックを作成すべきではない。 チームが、検出から対応へのピボット方法と、修正による閉ループの閉じ方を知っていることを確認します。

クラウドセキュリティにおけるCDRの意味とは？

CDRはクラウド検出と対応の略。 これは、クラウドネイティブなサービスやワークロードの挙動をモニタリングし、コンテキストを分析し、迅速な対応を可能にすることで、クラウド環境における脅威を検出し、対応するように設計されたセキュリティアプローチである。

CDRはEDRやSIEMとどう違うのか？

EDRは、ラップトップやサーバーなどのエンドポイントに焦点を当てている。 SIEMは複数のソースからのログを集約し、一元的に分析します。 CDRは、マルチクラウドやハイブリッド環境におけるAPI、アイデンティティ利用、ランタイムアクティビティなど、クラウドインフラ特有の挙動をモニタリングします。

ゼロトラスト戦略にCDRは必要か？

CDRはゼロトラストを支える重要な役割を担っている。 特に、ユーザー、アイデンティティ、またはサービスが通常のパターンから外れた動きをした場合に、異常な動作を特定し、対応ワークフローをトリガーすることで、継続的な検証を実施する。

CDRはまた、継続的な検証とビヘイビアベースの検出を重視するNISTゼロトラストアーキテクチャの原則もサポートしている。

CDRは設定ミスを検出できるか？

直接ではない。 CDRは、異常なアクセスパターンや予期せぬ権限の使用など、設定ミスに起因する動作を特定する。 CSPMやサイバーエクスポージャー管理のように、攻撃者にエクスプロイトされる前に危険なコンフィギュレーションにフラグを立てるツールと組み合わせると効果的である。

Tenableはクラウド検出と対応に対応していますか？

はい。Tenableは、クラウドネイティブな脅威を検出し、重要なものに優先順位を付け、迅速に対応するための行動可視化と対応コンテキストを提供します。 静的なアラートだけでなく、環境に応じて拡張できるサイバーエクスポージャーを意識した検出と対応を可能にします。

結局のところ、クラウド環境の動きは速いが、脅威の動きも速い。 それに追いつくためには、静的なルールやサイロ化したツール以上のものが必要だ。 CDRは、攻撃が拡大する前に攻撃者を発見し、正確に対応するために必要な行動の可視化とリアルタイムの検出を提供します。

CDRは単独では機能しない。 これを脆弱性管理、サイバーエクスポージャー管理、クラウド・ネイティブ・コンテキストと組み合わせれば、チームは全体像を把握できる。 アラートを追うのをやめ、リスクに対応し始めるのだ。

CDRクラウドセキュリティは、従来のツールに残された可視性のギャップを埋め、動的なインフラストラクチャ全体でリアルタイムに脅威を検出するチームを支援します。

クラウドインフラのセキュリティを真剣に考えるなら、CDRはオプションではない。 クラウドシグナルをアクションに変え、セキュリティチームがクラウドスピードで活動できるようにするレイヤーです。