Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
クラウド検出・対応(CDR)とは、クラウド環境内で活動中の脅威を検知・阻止するランタイム対策であり、ポスチャー管理とインシデント対応の間に位置する層であり、現代のセキュリティ侵害の多くが実際に発生する場所です。また、これはアナリストやベンダーの間で依然として議論が続いている分野でもあります。2024年5月のフォレスターの分析では、CDRは「市場」ではなく「機能」であると指摘されました。 それから2年後、Forresterの「2026年第1四半期 クラウドネイティブ・アプリケーション保護ソリューションWaveレポート」では、CDR機能を十分に網羅している14社のベンダーが評価されました。その呼称がどうであれ、この機能は現在、規制対象企業がIDの悪用、コントロールプレーンへの攻撃、一時的なワークロードの侵害といった侵害を検知する上で中核的な役割を果たしています。これらは、従来のエンドポイント検知・対応(EDR)やSIEMツールでは検知するよう設計されていなかった侵害です。
本ガイドでは、CDRとは何か、その仕組み、EDR、NDR、XDR、CSPM、CWPP、CNAPP、SIEMとの違い、およびNIS2、NIST SP 800-61 Revision 3、UK GDPRとの対応関係について解説します。 Capital One、Snowflake、UNC6426、欧州委員会といった実際のクラウド侵害事例を用いて、マーケティング上の説明ではなく、実務においてCDRのシグナルがどのように現れるかを示します。
クラウド検出・対応(CDR)とは、クラウドの制御プレーン、データプレーン、管理プレーン全体にわたるアクティブな脅威を検知、調査、対応する継続的な監視手法です。CloudTrail、Azure Activity Logs、GCP Audit Logs、ランタイムプロセスイベントといったクラウドネイティブなテレメトリデータを取り込み、行動分析を適用することで、従来のEDR、SIEM、セキュリティ状態監視ツールでは見逃されがちな攻撃を可視化します。
エンドポイントセキュリティの基盤となっていた前提がもはや通用しなくなったため、クラウドには新たなアプローチが必要です。Sysdigの「2025年クラウドネイティブセキュリティおよび利用状況レポート」によると、コンテナの60%は1分未満で消滅します。エージェントを配置できる永続的なホストが存在しないことが多く、フォレンジック証拠は、バッチ処理型のログ集約ツールが保存できる速度よりも早く消えてしまいます。 ネットワークに代わって、IDが主要な初期侵入経路となっています。2026年のクラウド侵害の約83%はIDの侵害から始まっており、業界の脅威インテリジェンス調査によると、2026年のクラウドを意識した侵入は前年比266%の急増が見込まれています。 この状況は、運用面だけでなく財務面でも同様です。ポネモン研究所の「データ侵害コスト」調査シリーズでは、マルチクラウド環境での侵害によるコストがオンプレミス環境のインシデントよりも約100万ドル高いことが一貫して示されており、最新の調査では平均で約505万ドルに達しています。
クラウドセキュリティモニタリング――クラウド上のアクティビティを監視し、リスクやポリシー違反を検知するという広義の取り組み――は、CDRと一部重なる部分はあるものの、同一のものではありません。モニタリングとはテレメトリ収集機能を指すのに対し、CDRは、そのテレメトリを基盤として構築された、能動的な検知・対応の分野です。 ベンダーやアナリストの資料で見かける関連用語には、クラウドネイティブ検出・対応(CNDR)やクラウド脅威検出・対応(CTDR)などがあります。これらは実質的に同じ意味です。
このカテゴリーそのものが議論の的となっている。フォレスターは2024年5月時点では、「クラウド検出・対応(CDR)ツールは独立した市場として存在しない」との見解を示していた。それから2年後、フォレスターの「2026年第1四半期 クラウドネイティブ・アプリケーション保護ソリューションWaveレポート」では、実質的なCDR機能を備えた14社のベンダーが評価対象となっている。これは、この分野の捉え方に大きな変化が生じたことを示している。Wiz、Sysdig、Tenableの各ベンダーの主要ページでは、CDRをクラウドセキュリティ分野における新たな分野として位置付けている。我々は、その根底にある機能——3つのクラウドプレーンにわたるランタイム脅威検知——を、購買の境界線がどのように引かれようとも、現実的かつ不可欠なものとして捉えている。
CDRは、2022年から2024年頃にかけてベンダーによって提唱されたカテゴリーとして登場しました。これは、クラウドネイティブ環境におけるセキュリティ侵害が、セキュリティ態勢管理ツール(CSPM)やワークロード強化ツール(CWPP)だけでは対処しきれないレベルに達したためです。ガートナーは、CDRをクラウドネイティブ・アプリケーション保護プラットフォーム(CNAPP)のファミリーに位置付けています。この位置付けは、現在多くの企業ユーザーがクラウドセキュリティスタックを構築している方法と概ね一致しています。
最もわかりやすい例えはSysdigによるものです。CDRを、クラウド向けの常時稼働する防犯カメラだと考えてみてください。エンドポイントツールは、個々のマシンで何が起きたかを教えてくれます。ポスチャツールは、ある時点での構成状況を把握させてくれます。一方、CDRは、あらゆるレイヤー、プロバイダー、ワークロードにおいて「今まさに何が起きているか」を把握し、それらのシグナルを統合して単一の攻撃ストーリーとして描き出します。運用面では、このアプローチは以下の6つのステップで構成されています:
第3段階と第4段階こそが、CDRの本領が発揮される場面です。シグネチャのみに基づく検知では、クラウド攻撃者の攻撃速度に対応しきれず、CloudTrailからの生アラート量だけでも処理しきれないほど膨大です。行動ベースライン(「この主体は通常どのような行動をとるのか?」「このワークロードは通常、どのリソースと通信するのか?」といった情報)を用いることで、その膨大なデータを統合し、精度の高いインシデント対応シグナルへと変換します。
「エージェント型対エージェントレス型」という議論は確かに存在しますが、その二分法はますます不適切になりつつあります。スナップショットベースかつAPI駆動型のエージェントレスCDRは、ワークロードへの負荷を一切生じさせることなく、広範な可視性と迅速な導入を実現します。これは、コントロールプレーンおよびマネジメントプレーンの可視化、複数アカウントのカバー範囲、導入スピードの向上に極めて有効です。 一方、エージェントベースのCDR(通常はeBPFやサイドカー)は、実行時の詳細な情報を提供します。これには、プロセスレベルのイベント、システムコールトレース、コンテナ内のネットワーク呼び出し、そして一時的なワークロードによって通常は消去されてしまうようなデータプレーンのフォレンジックデータが含まれます。最近の多くのシステムでは、これら両方を組み合わせています。つまり、広範な可視性を求める場面ではエージェントレスを、実行時のフォレンジックが重要な重要なワークロードやKubernetesセキュリティクラスターなど、詳細な分析が必要な場面ではエージェントベースを活用しているのです。
行動ベースの検知は、もはや単なる理想ではなく、主流となっています。Sysdigの2026年レポートによると、70%以上のチームが行動ベースの検知を採用しており、その対象となる環境は全体の91%に上ります。 不審なプロセスの自動終了は、前年比で約140%増加しました。管理対象のクラウドIDのうち、人間によるものはわずか約2.8%に過ぎず、残りはサービスプリンシパル、マシンID、一時的なワークロードトークンです。まさにこのため、IDコンテキストの充実化は不可欠なのです。AI専用パッケージの導入は前年比で約25倍に増加し、CDRが監視すべきサプライチェーンの攻撃対象領域を拡大させています。
これに対し、防御側の対応策として提唱されているのが「マシンスピード・パリティ」である。Dark Readingは、5/5/5というベンチマーク(検知に5秒、優先順位付けに5分、対応に5分)を、ブレイクアウト時間が数時間ではなく数分単位で計測される、クラウドを意識した攻撃シナリオにおける運用目標として広めた。
クラウド環境を3つの層に分けて考えれば、CDRに関する多くの混乱はすぐに解消されます。これは、すべてのセキュリティアーキテクトが30秒でホワイトボードに描けるべき、アーキテクチャの基盤となる概念です。
CAPABILITY_NAMED_IAM 変更期間外での、S3ポリシーの異常な変更。イメージとして役立つ例えがあります。コントロールプレーンはクラウドの交換機、データプレーンは実際に作業が行われる現場、そしてマネジメントプレーンはアイデンティティやガバナンスに関する決定が行われる管理部門に例えられます。攻撃者が実質的な被害を与えるには、少なくとも2つのプレーンを横断する必要があります。防御側は、攻撃者を検知するためにこれら3つすべてを可視化する必要があります。
以下の表では、各プレーンについて、その代表的なテレメトリソース、検出例、および MITRE ATT&CK で特定される手法を示しています。このマッピングこそが、アラートのノイズと実用的な検出バックログとの違いです。
表1:クラウドテレメトリソースと3つのCDR検出プレーンとの対応関係
2026年の数値は、なぜこのマップが今重要なのかを説明しています。Google Cloudの「Threat Horizons H1 2026」レポートによると、クラウド攻撃の突破時間は約29分に短縮されています。 ケーススタディで後述するUNC6426クラスターは、単一の侵害されたnpmパッケージから72時間以内にAWSの管理者権限を完全に取得しました。この攻撃チェーン全体は、3つのプレーン(コントロールプレーンのスタック作成、マネジメントプレーンのOIDCトラストの悪用、データプレーンのS3列挙)すべてを横断するものでした。コントロールプレーンの攻撃対象領域に関する詳細は、「クラウドコントロールプレーンの保護」を参照してください。
CDRの評価において最もよく聞かれる技術的な質問は、「これは何を置き換えるものなのか?」というものです。率直に言えば、何も置き換えるものではありません。CDRの最大の特徴は、3つのクラウドプレーンにわたるランタイム脅威検知にあるのです。これは、エンドポイント、ネットワーク、セキュリティ態勢、ワークロードの各ツールがそれぞれ部分的にしか捉えられない領域です。これらのカテゴリは互いに補完し合うものであり、最新のプログラムの多くは、これらを組み合わせて導入しています。
表2:CDRの範囲と、関連する検知・対応カテゴリーとの比較。
この点については、率直な回答が必要でしょう。フォレスターは2024年5月時点で、CDRは独立した市場ではなく、その機能はCNAPP、SIEM、および関連プラットフォーム内に組み込まれており、別途購入する価値はないとの見解を示していました。 この主張は2024年時点では妥当だったが、その後その説得力は弱まっている。フォレスターの2026年第1四半期版「クラウドネイティブ・アプリケーション保護ソリューション・ウェーブ」では、CDR機能を十分に備えた14社のベンダーが評価されており、これは「カテゴリーではなく機能」という厳格な解釈を複雑なものにしている。 ハイパースケーラーによる統合がこの傾向を後押ししている。TechCrunchの報道によると、 Googleは2026年3月11日にWizの320億ドル規模の買収を完了し、 これによりハイパースケーラーのポートフォリオ内に実質的なCDR機能が組み込まれた。
要点は次の通りです。この基盤となる機能は現実的かつ不可欠なものであり、EDR、NDR、CSPM、CWPP、あるいはSIEMのいずれか単独では十分にカバーできません。これを独立した製品として導入するか、CNAPPの一要素として導入するかは、スタックの構成によって異なります。新規導入のプログラムでは、通常CNAPPに統合されます。一方、既存のSIEMやEDRへの投資が充実している成熟したプログラムでは、CDRを独立したレイヤーとして運用し、スタックの他の部分に情報を提供することがよくあります。
抽象的なカテゴリに関する議論は、具体的な攻撃事例を挙げることでより明確に解決できます。以下の4つの侵害事例は、3つの側面におけるCDRシグナルの実態と、それらが欠如したことで影響を受けた組織が被った損害を明らかにしています。
事例 1 — Capital One(2019年7月、事後分析)。設定ミスのあったAWS WAFとサーバーサイドリクエストフォージェリ(SSRF)の組み合わせにより、攻撃者はEC2インスタンスのメタデータIAMロールを悪用し、S3から米国およびカナダのクレジットカード申込者記録約1億600万件を列挙・流出させた。この攻撃は、発見されるまで数ヶ月にわたり継続していた。CDRシグナル:データプレーンおよびコントロールプレーンにおける異常な動作 — 通常はS3の一括列挙を行わないEC2インスタンスから、単一のIAMプリンシパルが異例のS3読み取り量を発生させていた。これはまさに、CloudTrail上の行動分析とAWS脅威検出を組み合わせることで検出されるよう設計された、クロスプレーンシグナルである。
事例 2 — Snowflake(2024年)。認証情報の再利用(一部は2020年の情報窃取型マルウェアのログから追跡可能)に加え、顧客側での多要素認証(MFA)の適用が不十分だったため、約165の顧客組織が影響を受けた。クラウド・セキュリティ・アライアンス(CSA)による2024年のSnowflake事後分析は、公的に認められた権威ある分析である。CDRのシグナルとしては、地理的に異常なログイン、クエリ量の急増、および高権限のSaaS認証インターフェースにおけるMFAの未適用が挙げられる。これらはすべて、管理プレーンのIDテレメトリを通じて検出可能である。この事例から得られる教訓は、認証情報の盗難による影響は、エンドポイントだけでなくSaaS層におけるCDRの課題でもあるということである。
事例3 — UNC6426(2026年第1四半期)。 これは、公開されている記録の中で最も明確な3つの側面から見た事例研究です。改ざんされたnpmパッケージ(QUIETVAULT)――まさに典型的な サプライチェーン攻撃 — GitHubトークンを盗み出した。GitHubからAWSへのOIDCトラストポリシーが過度に広範であったため、それらのトークンがAWS IAMロールを引き継ぐことが可能となった。CloudFormationを使用して、以下の内容を含むIAMスタックが作成された CAPABILITY_NAMED_IAMこれにより、攻撃者は72時間以内にAWSの管理者権限を取得しました。その後、攻撃者はS3のリソースを列挙し、EC2およびRDSインスタンスを停止させ、アプリケーションキーを復号化しました。この一連の攻撃の流れは、 Hacker NewsによるUNC6426 npmサプライチェーン攻撃に関する報道、その クラウド・セキュリティ・アライアンスによるOIDCトラストチェーンの悪用に関するブリーフィングそして Google Cloudの「Threat Horizons 2026年上半期」レポート. CDR信号: CI以外のプリンシパルによるSTSトークンの発行とCloudFormationの連携 CAPABILITY_NAMED_IAM 変更ウィンドウ外でのスタック作成 — コントロールプレーンとマネジメントプレーンのストーリーラインが組み合わさったものであり、単一のツールカテゴリだけでは対応しきれない。
事例 4 — 欧州委員会 Europa.eu(2026年3月)。Trivyのサプライチェーン侵害により、攻撃者が5日間にわたりシステム内に潜伏し、その間にEUがホストするAWSインフラから約91.7 GBのデータが流出しました。欧州委員会のクラウド侵害に関するCERT-EUのブログ、BleepingComputerの記事、およびHelp Net Securityの報道が、その経緯を詳述しています。CDRシグナル:5日間にわたって継続したコントロールプレーンAPIの異常。これは、ポスチャーのみを監視するツールでは検知できず、クラウドネイティブなコンテキストがなければ、バッチモードのSIEM相関分析でも通常は見逃されてしまうようなパターンである。
表3:最近のクラウド侵害事件における発生経緯とCDRシグナル
一時的なワークロードは、従来のデジタルフォレンジクスの前提を覆します。コンテナの60%が1分未満しか存続しない場合、事後的な証拠収集は多くの場合不可能です。これに対する運用上の解決策は、リアルタイムでのキャプチャと不変性の確保です:
以下の7つの防御策は、複数のベンダーによる指針を統合したものであり、該当する場合はMITRE ATT&CK と関連付けられています。これらはベンダーごとのチェックリストではなく、防御対策として捉えてください。
T1078.004, T1552)。83%という身元情報の漏洩率が、まさにその理由そのものです ID脅威の検知と対応 そして IDに基づく攻撃の検知と封じ込め 現在はCDRに隣接しています。表4:クラウドの検知と対応を運用面で効果的にする7つの防御策。
検出の基礎となる手法についてさらに詳しく知りたい場合は、「脅威検出」および「MITRE ATT&CK Matrix」を参照してください。補足的なユースケースの枠組みについては、TechTargetによるCDRユースケース分析が、中立的な参考資料として有用です。また、OWASPの「Cloud-Native Application Security Top 10」やENISAの「Cloud Security Guide」など、自社の取り組みを照らし合わせる価値のある業界フレームワークも存在します。
CDRは現在、セキュリティ機能であると同時にコンプライアンス機能でもあります。現行のEUおよび英国の規制で定められている24時間および72時間の要件は、バッチ処理によるログの確認や手動による選別では満たすことができません。
表5:CDR機能と主要なクラウドインシデント対応規制との対応関係
今後12~24カ月の間に、3つの要因がCDRのあり方を一新しようとしています。第一に、「AIファーストのクラウド防御」が概念から製品へと移行しつつあります。異常を検知し、人間の介入なしに封じ込める「エージェント型修復」機能は、2026年第1四半期のForrester Waveにおいて、主要なCNAPPベンダー各社で導入が進んでいます。 第二に、2026年3月11日にGoogleによる320億ドル規模のWiz買収が完了したことで、ハイパースケーラーによる市場統合が著しく加速しました。独立系CDRベンダーは、シグナルの品質とマルチクラウド環境における統合の中立性において差別化を図る必要があります。 第三に、防御側はAIを活用した攻撃者との「マシンスピード」の対等性を追求する方向へシフトしている。Sysdigの2026年のレポートによると、行動ベースの検知と自動遮断は差別化要因ではなく、標準的な実践となっている。
5名未満のセキュリティチームにとって、これはクラウド環境において何らかの形のマネージド・ディテクション・アンド・レスポンス(MDR)がますます適切な解決策となりつつあることを意味します。5/5/5や24時間体制のNIS2要件を満たすために必要な運用ペースは、小規模なチームでは社内で維持することが困難だからです。 この分野の展望は統合に向かう。成熟したCNAPPスタックを持つ組織では、CDRを独立した購入ラインとして継続するだろうが、ゼロから構築する組織では、プラットフォーム型CNAPPへと統合されていく。いずれにせよ、ランタイム検出機能は必須である。MediumによるガートナーのCDRポジショニングの概要や、SkyhawkのCDRベストプラクティスフレームワークなどのベンダーフレームワークの参照資料を含む業界のポジショニング概要は、さらなる背景情報を提供している。
Vectra AIのクラウド検知・対応アプローチは、クラウド環境に適用された「侵害を前提とする」という哲学を反映しています。具体的には、3つのプレーンにわたる継続的な可観測性、ノイズを排除して攻撃の連鎖を明らかにするAI駆動型のAttack Signal Intelligence™、そして横方向の移動が定着する前にアクティブな脅威を封じ込める、情報に基づいた対応です。その目的は、アラートの数を増やすことではなく、機械の速度で適切なシグナルを提供することにあります。Vectra AIプラットフォームに対するIDCの独立分析によると、MITRE ATT&CK 90%以上をカバーし、ROIは391%、投資回収期間は6ヶ月であることが判明しました。AWS固有のランタイムカバレッジについては、Vectra AI CDR for AWSをご覧ください。
クラウド検知・対応(Cloud Detection and Response)とは、クラウドのテレメトリを統合された攻撃の経緯へと変換するランタイム層のことです。これは、EDR、NDR、SIEMと競合する新たな製品カテゴリーではなく、これら3つのクラウド領域をセキュリティ運用チームにとって理解可能な形にするための手法です。セキュリティ態勢やエンドポイントのみを重視する考え方からの転換は、もはや選択の余地のない課題となっています。アイデンティティは、主要な初期侵入経路です。ワークロードは一時的なものです。 侵入から拡散までの時間は数分単位で計測されます。規制当局は24時間体制を義務付けています。こうした状況下で持ちこたえられる組織とは、その実装形態にかかわらず、ランタイム・クラウド検知を最優先の機能として位置づけている組織です。
クラウド検知プログラムを構築または刷新する場合は、まず「3つのプレーン」という概念モデルから始め、既存のテレメトリデータをそれに照らし合わせて分析し、単なるロギングにとどまらず、実際に検知が行われているプレーンを特定してください。CDR(イベントデータ記録)と行動分析を組み合わせ、既存のSIEMや拡張された検知・対応(EDR)ワークフローに組み込み、検知範囲MITRE ATT&CK Matrixに整合させることで、監査時の議論において具体的な根拠を示すことができるようになります。 関連分野についてさらに詳しく知りたい場合は、以下の関連トピックにある「ID脅威の検知と対応」、「AWS脅威検知」、「Kubernetesセキュリティ」をご覧ください。方法論の観点については、上記のリンク先にあるVectra AIプラットフォームのページで、Attack Signal Intelligence™が同様の課題にどのようにアプローチしているかが説明されています。
マネージドCDRサービスは、セキュリティチームが小規模(常勤従業員5名未満)である場合、24時間365日稼働するクラウドワークロードを運用している場合、クラウド検知の専門スキルが不足している場合、あるいはNIS2や英国GDPRに基づく24時間以内のインシデント報告要件を満たす必要がある場合に有効です。 適切な導入対象となるのは、シグナルのカスタマイズ性を多少犠牲にしても、24時間365日の監視体制とより迅速な平均対応時間(MTTR)を求める組織です。導入の経済的根拠は通常、以下の3点に集約されます。現在の人材市場における24時間365日体制の社内クラウドSOCのコスト、NIS2に基づく規制違反による罰金リスク(重要事業体の場合、最大1,000万ユーロまたは世界売上高の2%)、そして「5/5/5」ベンチマークを達成するために必要な運用ペースです。 EDRやSIEMで既にリソースが限界に達しているチームにとって、社内でクラウド対応の検知機能を追加するには通常9~12ヶ月を要しますが、マネージドサービスを利用すれば数週間で実現可能です。その代償となるのがシグナルのカスタマイズ性です。マネージドプロバイダーは独自の検知ロジックを実行するため、これはリソース不足のチームにとっては利点ですが、社内の検知エンジニアリングが成熟しているチームにとっては制約となります。
以下の7つの基準に基づいて評価する:3つのクラウドプレーン(制御、データ、管理)すべてを網羅しているか;マルチクラウドおよびSaaSへの対応範囲(AWS、Azure、GCP、Kubernetes、およびID関連の侵害が発生するSaaSプラットフォーム);IDコンテキストの充実度(ID関連の侵害が83%を占めるという事実こそが、これが重要である最大の理由である); シグネチャのみに依存しない行動分析;既存のSIEM、SOAR、EDR、NDRとの統合;eBPFランタイムの深層分析を含む一時ワークロードのフォレンジック対応;および高リスクなアクションに対する「ヒューマン・イン・ザ・ループ」の安全策を備えた自動化の深度。 実際の攻撃チェーンを用いて基準を検証する——UNC6426 OIDCからCloudFormationへのチェーンは、3つのプレーンすべてを横断し、ポスチャーのみを扱うツールとランタイム検知・対応ツールの間のギャップを浮き彫りにするため、有用な評価シナリオとなる。ベンダーが定義したSLAではなく、5/5/5基準に基づいて表現された検知遅延のベンチマークを要求すること。
CDRは、クラウドアカウントの不正利用を検出するように設計されています(T1078.004)、認証情報の盗難(T1552)、雲を横切る横方向の移動(T1021)、設定ミスの悪用、コンテナからの脱出、クリプトジャッキング、OIDCのトラストポリシーの悪用、CloudFormationによるIAMスタックの異常な作成( CAPABILITY_NAMED_IAM、S3またはRedshiftからの異常なバルクデータエクスポート、 ランサムウェア クラウドワークロードのステージング、およびID主導型SaaS アカウント乗っ取り. 上記のキャピタル・ワン、スノーフレーク、UNC6426、および欧州委員会の各事例は、それぞれこれらのカテゴリーのうち少なくとも3つに該当する。全体として、 MITRE ATT&CK ・マトリックス CDRが対象とする脅威の範囲に関する標準的な参照資料です。
どちらの見解も妥当です。ガートナーは、CDRをCNAPPファミリーの一員として位置付けており、CSPM(ポスチャー)やCWPP(ワークロードの強化)と並んでランタイム検出を担うものと捉えています。一方、フォレスターの2024年5月の分析では、CDRを独立したカテゴリーではなく、機能セットとして扱っています。実際には、CDRはCNAPPにおける「ランタイム検出および対応」の要素であり、CSPMやCWPPと重複するものではなく、それらを補完するものです。 これらを単一のプラットフォームとして購入するか、個別に購入するかは、スタックの成熟度によって異なります。新規導入プロジェクトでは、調達と運用の簡素化のために、通常CNAPPに統合されます。一方、既存のSIEM、EDR、および検知エンジニアリングへの投資が充実している成熟したプログラムでは、プラットフォームの統合よりも統合の中立性の方が重要であるため、CDRをスタックの他の部分に情報を提供する独立したレイヤーとして運用することがよくあります。
クラウドワークロード保護(CWP、しばしばCWPPとも呼ばれる)は、個々のワークロードを強化するものです。具体的には、ホストまたはコンテナレベルでの脆弱性スキャン、設定の強制、実行時保護などが含まれます。一方、CDRは、CWPPでは把握できない制御プレーンや管理プレーンを含む、より広範なクラウド環境全体において、アクティブな脅威を検知し、対応します。 CWPPは「このワークロードは安全に構成され、パッチが適用されているか?」と問うのに対し、CDRは「今この瞬間、クラウド全体で何か悪意のある活動が進行中ではないか?」と問います。最近の多くのプログラムでは、両方が導入されています。CWPPは上流の衛生管理であり、CDRは下流の検知・対応機能です。これらがCNAPPの中で共存するのは、まさにそれぞれがクラウドセキュリティ問題の異なる層に対処しているからです。
この機能は現実的かつ不可欠なものです。3つのクラウドプレーンにわたるランタイム脅威検知は、EDR、NDR、CSPM、CWPP、あるいはSIEMのいずれか単独では十分にカバーできません。 これが独立した購入ラインとして残るかどうかは、スタックの構成次第です。Forresterが2026年第1四半期のCNAPP Waveで14社のベンダーを評価し、主要なハイパースケーラーによるM&A(2026年3月にGoogleが320億ドルでWizを買収)が進む中、カテゴリーの境界はCNAPPへと統合されつつありますが、その基盤となる機能は必須です。 アーキテクチャの見直しにおいて適切な問いかけは、「CDRという製品を持っているか?」ではなく、「3つのクラウドプレーン全体でランタイム検出機能を実現できているか?」である。
プロセスイベントとネットワークテレメトリをリアルタイムで収集する――重要なワークロードのランタイム分析において、eBPFベースのエージェントは現時点で最良の選択肢である。 特にコントロールプレーンやIAMイベントについては、クラウドプロバイダーの監査ログの保持期間をデフォルトの30~90日を超えて延長してください。長期に及ぶ侵入は、デフォルトの保持期間を超えてしまう可能性があるためです。検知時点のクラウドスナップショットの証拠(EBS、Azureマネージドディスク、GCPパーシステントディスクのスナップショット)を保存し、それらのスナップショットをフォレンジックアーティファクトとしてタグ付けすることで、自動クリーンアップによって破壊されないようにします。 クラウドプロバイダーの不変ストレージプリミティブ(コンプライアンスモードのS3 Object Lock、Azure Immutable Blobストレージ)を使用して、フォレンジック上の証拠の保管連鎖を維持してください。一時的なワークロードは、デフォルトで証拠として失われやすいものとみなしてください。リアルタイムでデータをキャプチャしていない場合、通常はそのデータは失われてしまいます。