クラウドネイティブアーキテクチャへの移行により、組織がオンプレミスのモノリシックなアーキテクチャでは実現できなかったスケーラビリティ、柔軟性、コストの改善が進んでいます。ただし、それと同時に複雑さが増し、新たな攻撃対象領域が生まれています。組織が個別のセキュリティソリューションやモニタリングソリューションでこのような新たな脅威に対処しようとすると、ツールが乱立してSOCで瞬く間に可視性が断片化し、状況を把握できなくなる可能性があります。

CADR（クラウドアプリケーション検知・対応）とは、クラウドインフラストラクチャ、Kubernetesクラスタ、展開されたアプリケーション全体で脅威を包括的に把握できるコンテキストおよび振る舞い検知機能により、組織がこのような問題に対処できるようにするセキュリティアプローチです。CADRは、オペレーティングシステムイベント、コンテナ、ワークロード、API、アプリケーションのデータを収集して集約し、エンドツーエンドの可視性を提供します。高度なセンサーを活用して、リアルタイムの脅威検知・対応で包括的な可視性を提供します。

この記事では、CADRの基本的な概念を確認したうえで脅威検知を強化するCADRの仕組みについて説明します。

CADRが解決するビジネス上の問題

CADRは、マイクロサービスやクラウドファースト戦略などの最新のテクノロジーへの移行に伴うセキュリティと可視性の課題に対処します。

クラウド環境の複雑さにより、従来のセキュリティツールは役に立たなくなりました。このようなツールは、静的なオンプレミス環境向けに設計されており、急速に変化するインフラストラクチャの性質に対応できません。さらに、クラウド環境は、選別が必要な大量のログやイベント、新しいアプリケーションの展開と変更の量、絶えず進化する攻撃対象領域など、検知と対応に関する独自の課題をもたらします。

次に、それが従来のセキュリティアプローチが対処しようとしている問題からの根本的な変化である理由を探っていきましょう。

従来のセキュリティアプローチの限界

従来のセキュリティソリューションは、モノリシックなアプリケーション向けに設計されており、システムの境界が明確に定義された静的な環境に適しています。これらのソリューションは、クラウドインフラストラクチャと展開されているアプリケーションに関するエンドツーエンドのコンテキストが欠如しているため、セキュリティの脆弱性をリアルタイムで検知してそれらに対応することが困難です。従来のセキュリティアプローチの課題は次のとおりです。

• ツールの乱立：ツールの乱立とは、独立して機能する複数のセキュリティツールを使用することを指します。これにより、セキュリティチームにコンテキストに応じたインサイトを提供できず、可視性が断片化されます。こうしたツールは、システム全体のデータを関連付けるのに苦労するうえ、それぞれのアラートメカニズムが異なるために、不審なパターンを特定したり、インシデントにすばやく対応したりするのが難しい場合があります。
• 従来の検知手法の限界：従来の検知ツールは、多くの場合、ルールベースのアプローチを使用してセキュリティ脅威を特定しており、クラウド環境の規模と複雑さに対処できません。このアプローチでは、ゼロデイ脆弱性、クレデンシャルスタッフィング、またはサプライチェーン攻撃をエクスプロイトする高度な攻撃を検知するのに苦労します。

振る舞いCADRの主な概念

CADRを使用することにより、組織はツールを統合して可視性を向上させ、脅威検知・対応機能にコンテキストを追加して従来のセキュリティアプローチの欠点に対処できます。それでは、CADRでこのような成果を達成する方法を詳しく見ていきましょう。

CADRのコンポーネント

CADRは、複数のソースからログとメトリックを収集して環境の全体像を把握します。堅牢なCADRソリューションには、次の3つのコンポーネントが含まれています。 

クラウド管理ログ

これらのログには、コンピューティング、ストレージ、ネットワーキングリソースにわたる、クラウド環境で実行されたすべてのアクションの詳細情報が記録されます。これには、リソースの作成、変更、削除、アクセス権限の変更に関するイベントが含まれており、セキュリティチームは異常なアクションを特定してセキュリティインシデントと関連付けることができます。たとえば、AWS CloudTrailは、AWSクラウド環境内でユーザーまたはロールによって実行されたすべてのアクションを記録することにより、運用監査、セキュリティリスク管理、コンプライアンスに使用されるサービスです。

コンテナワークロードログ

コンテナログは、不正なネットワーク通信、過剰な権限、データ転送などの不審なアクティビティを特定するうえで重要です。Extended Berkeley Packet Filter (eBPF) などのテクノロジーにより、Linuxオペレーティングシステム内のカスタムプログラムを隔離実行できるようになり、コンテナ化された環境の詳細なカーネルオブザーバビリティの収集、トレース、プロファイリングが可能になります。

アプリケーションレイヤーログ

アプリケーションレイヤーログは、展開されている環境内でランタイム時に不審なアクティビティを特定するうえで重要です。CADRシステムは、ネットワークリクエスト、応答、アプリケーションエラー、ユーザーアクティビティから生成されたログを分析し、アカウント乗っ取り、ビジネスロジック攻撃、不正なデータアクセスの試行などの脅威を検知します。

OpenTelemetryのようなツールは、ログのインストルメンテーション、収集、エクスポートを可能にし、組織がソフトウェアの振る舞いを分析してセキュリティの問題を検知できるようサポートします。

CADRのメカニズム

CADRは、堅牢な検知機能とインシデント対応戦略により、組織が脅威検知機能を強化し、フォールスポジティブを減らし、対応メカニズムを自動化するのをサポートします。

多層検知機能

CADRは、クラウドインフラストラクチャ、アプリケーション、ユーザーの振る舞いなど、さまざまなレイヤーを統合することによって多層検知戦略を使用し、システムをエンドツーエンドに可視化できるようにします。異常検知や機械学習などの高度な脅威インテリジェンス手法を使用して収集されたログとメトリックを分析することによってリアルタイムで問題を特定し、複雑なセキュリティ脅威や進化するセキュリティ脅威を検知できるようにします。

さらに、CADRは振る舞いプロファイリングを使用して、継続的モニタリングで正常なユーザーアクティビティのベースラインを確立します。このアプローチによってフォールスポジティブの数が減り、セキュリティチームは実際の脅威に集中できます。

インシデント対応戦略

分散クラウド環境では、クラウド環境の複雑さと規模のため、手動によるインシデント対応ではセキュリティ脅威の特定、封じ込め、軽減を効率的に行うことができません。CADRは、特定されたインシデントの影響を最小限に抑えるための特定のアクションを行えるようにする自動対応メカニズムを提供します。たとえば、人間が介入することなく自動的にアクセスをブロックして影響を受けるアプリケーションを停止し、インシデントを隔離できます。CADRは、侵害を受けたプロセスやコンテナを他のリソースから隔離して汚染を防ぎ、インシデントの規模を縮小する、本番環境向けのソフト隔離オプションも備えています。これにより、インシデントの根本原因が特定されて修正される間に環境の残りの部分を機能させることが可能になります。

複雑なクラウドセキュリティの脅威への対処をサポートするクラウドストライクのアプローチ

クラウド環境は、その攻撃対象領域の広さ、規模、複雑さから、さまざまなセキュリティ脅威の影響を受けがちです。組織は、従来のセキュリティ対策に頼ることができない一方、複数のクラウドソースからデータを収集してユーザーアクティビティを分析し、高度な脅威検知手法を使用して脅威の特定と脅威への対応をリアルタイムで行う、振る舞いCADRソリューションなどのツールを統合する必要があります。

CrowdStrike Falcon ^Ⓡは、クラウド環境の脅威検知とインシデント対応を包括的に行う、AIネイティブのサイバーセキュリティプラットフォームです。クラウドストライクを活用することにより、組織は次のような機能のメリットを得られます。

• 高度なクラウド検知・対応 (CDR)：検知および対応時間を89%短縮
• Next-Gen SIEM (NG SIEM)：セキュリティ情報を統合してログ記録のコストを削減し、SOCの可視性を向上させてより迅速に侵害を阻止

さらに、クラウドストライクのマネージドサービスを利用すると、クラウドストライクの専門家チームがお客様のチームのサイバーセキュリティパートナーとなり、セキュリティインシデントへの備え、対応、セキュリティインシデントから復旧能力を大幅に強化します。

今すぐ無料トライアルをお申し込みのうえ、クラウドストライクがどのようにセキュリティポスチャを強化できるのかをご覧ください。