業務をクラウドに移行する企業がますます増加しています。クラウドへの移行により、柔軟性が高まり、スケーラビリティの機会も広がりますが、それと同時に、クラウドに伴って導入される新たなテクノロジーにより、高度なサイバー脅威にさらされることになります。これらの脅威に対抗するために登場したのが、CDR（クラウド検知・対応）と呼ばれるセキュリティ機能のセットです。

ここでは、サイバーセキュリティにおけるCDR、およびEDR（エンドポイント検知・対応）の役割の詳細に注目します。この2つの相違点と類似点について考察した後、それらを統合することで組織の全体的な防御を強化する方法を見ていきます。

CDRの概要

CDRは、クラウドセキュリティに特有の課題に対応するテクノロジーです。例えば、攻撃者の巧妙化、スキルギャップ、異なるセキュリティソリューションが原因で対応時間が遅れるといった問題に焦点を当てています。CDRはインシデントライフサイクルのすべての段階 — 早期検知から修復まで — に対応し、迅速なクラウド脅威の検知と対応を可能にする包括的なセキュリティを提供します。

CDRの主要な機能は次のとおりです。

• 24時間体制のクラウドモニタリングおよび脅威ハンティング：ツールはクラウドのアクティビティを継続的に監視し、クラウドからエンドポイントデバイスへラテラルムーブメントなどの脅威にも対応します。MDR（マネージド検知・対応）サービスを利用することで、組織は自動化されたツールとセキュリティ専門家による年中無休24時間体制の専任チームによって、クラウド環境を継続的に保護することができます。
• 脅威インテリジェンス：CDRでは、詳細な脅威インテリジェンスを活用して、潜在的な攻撃経路に関するインサイトを提供し、インシデント対応を効率化します。クラウド内でのラテラルムーブメントやアイデンティティ、エンドポイントを網羅する脅威インテリジェンスにより、CDRはセキュリティチームがよりターゲットを絞った防御戦略を立て、潜在的な侵害に対して迅速かつ効果的に対応できるようサポートします。
• CNAPPへの統合：CNAPP (クラウドネイティブアプリケーション保護プラットフォーム) 内でCDRを活用することで、全体的なクラウドセキュリティ戦略に貢献し、組織が脅威を迅速かつ効果的に防止、検知、対応する能力を強化します。

当然のことながら、CDRを採用する組織には数多くのメリットがもたらされます。CDRは次の点で役立ちます。

• クラウドリスクの軽減：プロアクティブに脆弱性を特定し、適切な対策を講じることで、クラウド環境全体におけるリスクを軽減します。
• クラウド侵害の防止：不正アクセスを防止し、潜在的なデータ流出を防ぐことによって、クラウド内の機密情報を守ります。
• 可視性の向上：可視性を統合し、クラウドサービス全体にわたるセキュリティの監視と制御を容易にします。
• 脅威の検知と緩和の加速：脅威を早期に検知し、迅速に対応することで、インシデントの影響を最小限に抑え、潜在的な被害を軽減します。
• インシデントによる影響の最小化：インシデントを迅速に検知し、対応することで、セキュリティ侵害による被害範囲を縮小します。
• セキュリティ対策のスケーリング：クラウドリソースの規模やアーキテクチャの複雑さに関わらず、適応型のセキュリティ対策を提供し、一貫した保護を確保します。

EDRの概要

EDRも脅威の検知と対応に重点を置いていますが、対処する攻撃対象領域が異なります。EDRは、コンピュータ、モバイルデバイス、サーバーなどのエンドポイントデバイスを保護します。主な機能として、次のものがあります。

• エンドポイントでの継続的モニタリングとイベントの記録：EDRツールは、エンドポイントのアクティビティを継続的に監視し、すべてのアクションとイベントをログに記録します。これにより、セキュリティ脅威を示唆する可能性のある通常の振る舞いからの逸脱を検出できます。
• データ検索、調査、脅威ハンティング：EDRは履歴データへのアクセスを提供することで、セキュリティチームが詳細な分析を行い、侵害の痕跡 (IOC) を検索できるようにします。この機能は、侵害が発生した後の調査や、隠れた脅威をプロアクティブにハンティングするために不可欠です。
• 不審なアクティビティの検知：EDRシステムは振る舞いのパターンを分析し、通常とは異なるデータアクセスや不正なアプリケーション実行など、セキュリティ侵害の兆候となる異常なアクティビティを特定します。
• アラートのトリアージまたは不審なアクティビティの検証：EDRツールは、脅威の重大度に基づいてアラートに優先順位を付け、セキュリティチームが最も重要な問題に迅速に対応できるようにします。また、不審なアクティビティを検証し、フォールスポジティブと実際の脅威を区別します。
• データ分析：EDRツールは収集したデータを分析し、脅威の本質とその潜在的な影響についてのインサイトを提供します。これにより、セキュリティチームは効果的な対応戦略を立てることができます。
• 脅威インテリジェンスによる情報拡充：EDRシステムは脅威インテリジェンスツールと統合することで、検出されたインシデントに対するコンテキストを強化し、より情報に基づいた意思決定を可能にします。
• 迅速な対応を実現するエンタープライズ規模での修復の自動化：EDRソリューションは、デバイスの隔離やプロセスの終了など、脅威を迅速に封じ込めるための自動対応を設定することもできます。

EDRエクスペリエンスを実装する組織には、次のメリットがもたらされます。

• 高度な脅威の検知の強化：従来のセキュリティ対策では見逃す可能性のあった複雑な脅威を特定し、高度なセキュリティを実現します。
• 継続的モニタリングとリアルタイムの分析：脅威を即座に検知して対応できます。これは、影響と被害を最小化するためには必須の重要な機能です。
• 詳細なフォレンジック機能：攻撃の起点を追跡して攻撃ベクトルを理解できるよう組織を支援すると同時に、復旧とコンプライアンスに欠かせない詳細なインシデントレポートを提供します。
• 自動対応メカニズム：自動化によって修復時間を短縮し、業務への影響を軽減することで、インシデントを管理するために必要な時間を労力を削減します。
• コンプライアンスおよびリスク管理の合理化：組織が規制に遵守し、リスクの管理を効率化できるよう、詳細なロギングおよびサポート作成機能を利用できます。

CDRとEDRの比較

CDRとEDRは侵害を検出して対応するという同じ目的を共有していますが、それぞれが運用される環境は異なります。CDRとEDRの違いを理解することで、組織は適材適所にこれらのツールを導入できるようになります。

主な違い

CDRとEDRが防御する組織のデジタルインフラストラクチャの部分は異なります。この点が、いくつかの重要な違いにつながっています。

• 防御の重点：CDRはクラウド環境を対象に作成されており、マルチテナントアーキテクチャを含むクラウドコンピューティングに固有のセキュリティの課題に対処します。対照的に、EDRがエンドポイントデバイスの防御を重点としています。EDRは、マルウェア、ランサムウェアや、個々のデバイスに直接影響を与えるその他の脅威から保護します。
• 統合とスケーラビリティ：CDRはクラウドアーキテクチャに効果的に統合するように設計されているため、組織の既存のクラウドセキュリティ対策を強化できます。また、クラウド展開に応じて柔軟にスケーリングします。一方、EDRは、さまざまなネットワークに分散されることもあるエンドポイントに重点が置かれています。そのため、各種のエンドポイントとオペレーティングシステムに関する包括的な可視性を実現するように設計されています。

主な類似点

CDRとEDRには違いがある一方で、次のような共通点もあります。

• 侵害の阻止：対象とする侵害がクラウドプラットフォームで発生するものか、個々のデバイスで発生するものかという違いはあるとはいえ、どちらのテクノロジーも侵害を防ぐことを目的としています。CDRとEDRの両方を採用することで、組織は多層防御戦略を適用して、攻撃に対するシステムの保護を強化できます。
• プロアクティブな脅威ハンティング：どちらのテクノロジーもプロアクティブに脆弱性と潜在的な脅威を検出するため、大きな被害につながる前に侵害を検知し、防御できるようになります。
• リアルタイムのモニタリングと対応：どちらのテクノロジーも、セキュリティチームが検知された脅威に直ちに対応できるよう支援します。クラウド環境またはエンドポイントデバイスのどちらで検出されたかにかかわらず、不審なアクティビティに迅速に対処して、潜在的な被害を最小限に抑えます。
• 他のセキュリティ対策との統合：CDRとEDRはいずれも、より大規模なセキュリティフレームワークに統合して、サイバー脅威に対する包括的な防御に貢献するように設計されています。
• AI/MLの活用：AI/機械学習 (ML) テクノロジーによって検知機能が拡張されたCDRとEDRは、どちらも膨大なデータセットを分析し、複雑な脅威への対応を自動化できるようになっています。

CDRとEDRの統合によるセキュリティ戦略の一元化

組織でクラウド環境とオンプレミス環境の両方を利用しているとしたら、CDRとEDRを統合してセキュリティ戦略を一元化することが理にかなっています。これらの2つのテクノロジーを統合すると、クラウドベースとオンプレミスの両方で脅威の検知と対応を確実にカバーできるようになります。

統合アプローチは、セキュリティプロトコルの管理を簡素化します。セキュリティのあらゆる部分を1つの戦略的フレームワークに統合すると、脅威をより迅速に特定し、対応することができます。クラウドとエンドポイントのセキュリティ対策を効果的に連携させることで、次の目的を達成しやすくなります。

• リソースの使用を最適化する
• 平均検知時間 (MTTD) と平均応答時間 (MTTR) の両方を短縮する
• リスク管理とコンプライアンス維持のタスクを簡素化する

CRDとEDRの両方を提供するクラウドストライク

クラウドストライクでは、CDRとEDRの両方を提供しています。CDRはCrowdStrike Falcon® Cloud Securityに組み込まれており、EDRはCrowdStrike Falcon® Insight XDRの中核となっています。

クラウドストライクは、精鋭による脅威インテリジェンスと年中無休24時間体制のサービスを統合クラウドセキュリティプラットフォームで結合させた唯一のCDR（クラウド検知・対応）を提供しています。それと同時に、Falcon Insight XDRでは、エンドポイントデバイスのセキュリティを対象としたEDR機能によってリアルタイムの脅威検知、自動分析および応答を実現しています。

Falcon Cloud Securityのインタラクティブデモで、またはFalcon Insight XDRの無料トライアルに登録して、CrowdStrike Falcon®プラットフォームの詳細をご確認ください。