近年、世界的にサイバー攻撃の件数が増え続けています。NDRはその対策として注目を集めるセキュリティソリューションの一つです。本記事ではNDRの仕組みや特徴、EDRやXDRといった近しいセキュリティソリューションとの違いや併用について紹介します。
 |
目次 |
1. NDRとは
NDR(Network Detection and Response)はネットワーク上の通信を監視し、不審な通信や未知の脅威をリアルタイムに検知するセキュリティソリューションです。マルウェアなど、感染拡大の恐れがある脅威をいち早く検知・対処することで、サイバー攻撃の被害を最小限に抑えられます。
また、NDRという単語は配達不能通知(Non Delivery Receipt)の略称としても使われます。この場合のNDRは、電子メールが宛先へ送達できない場合に、メールサーバーが送信者にその旨報告する自動メールという意味を持ちます。本稿では、セキュリティにおけるNDRについて解説します。
NDRが求められる背景
NDRが求められる背景には、いくつかの要因があります。
まず、サイバー攻撃の被害は世界的に年々増加傾向にあります。チェック・ポイント・リサーチが2023年1月16日に公表したレポートによると、2022年におけるサイバー攻撃の週平均の件数は前年と比較し、グローバルで38%、日本でも29%増加しました。
次にサイバー攻撃手法の高度化が挙げられます。その中でもネットワークの脆弱性を狙ったサイバー攻撃は近年のトレンドの一つです。サプライチェーン攻撃の対象は、最終的な攻撃対象となる大企業の小会社や取引先です。関連会社ではコストの関係で十分なセキュリティ対策が行われていないにも関わらず、業務関係上、互いのネットワークが密に接続されているケースが少なくありません。
3点目は企業のIT環境の変化です。組織がクラウドサービス・SaaS利用が急激に進んだことで、ネットワークの複雑さや範囲が拡大しています。
最後はコロナ禍をきっかけとした、テレワーク(リモートワーク)の急激な普及です。従業員が自宅や外出先からネットワークアクセスすることが一般的になり、セキュリティ上のリスクが高まりました。
こうした背景から、サイバー攻撃から組織内ネットワークを守るために、NDRは重要な技術となっているのです。
従来のセキュリティソリューションとの違い
NDRはネットワーク内部に対してもセキュリティ対策を講じる点が、従来のセキュリティソリューションと異なります。
従来のセキュリティ対策は、境界型セキュリティと呼ばれます。ファイアウォールやIPS(Intrusion Prevention System)などでネットワーク内外の境界を厳しく制限し、侵入を防ぎますネットワーク内部は安全に守られているという前提で、ネットワーク通信に対する可視化や監視にあまりコストがかけられてきませんでした。
一方で攻撃者がひと度ネットワーク内部への侵入に成功すると、自身の活動に関するログ改竄を行い、足跡を残しません。結果として攻撃を受けてから、その検知までに長い時間を要してしまい被害が拡大するケースがあります。
このような流れを受けて、企業のシステム担当者は「ネットワーク内部の安全性が担保されていない」という前提でセキュリティ対策を行わなければならなくなりました。NDRはネットワーク内部への侵入を想定し、異常や脅威をリアルアイムに検知します。そうすることで、問題の対処にかかる時間を短縮化し、セキュリティ被害を最小限に抑えるのです。
NDRの仕組みとメリット
NDRは基本的に下記の仕組みで構成されます。
・データの収集、分析
・不審な振る舞い(通信)の検知
・脅威の分析
・対応
NDR製品の多くはネットワーク機器へのエージェント(通信を監視するためのソフトウェア)インストールが不要となるエージェントレス形式です。ネットワークスイッチのポートから直接、データ収集が行われます。ネットワーク機器上で専用のアプリケーション動作を必要としないため、システム稼働への影響を最小限に抑えつつ、スムーズに導入可能です。
収集されたネットワークトラフィックデータは膨大で、人手での解析は非効率です。そこでNDR製品は各社独自のAIやアルゴリズムを導入し、リアルタイムにデータの収集から異常検出を行い、異常があった場合のみ通知を行う仕組みが取り入れられています。この仕組みによって、未知の脅威や潜在的なセキュリティインシデントについても検出可能になります。
また管理画面では集計データが可視化され、リスクが高そうな箇所について洗い出しができます。製品によってはフォレンジック機能も搭載されています。フォレンジック機能とは、セキュリティインシデントの調査や原因分析を行うための仕組みです。
ネットワーク機器は社内ニーズに応じて頻繁な入れ替え等も想定されます。導入と運用にかかる人的コストを抑えつつ、包括的なネットワークセキュリティ対策を行えるNDRは、システム担当者のニーズに沿ったソリューションと言えます。
2. EDR、XDRとの違い
NDRとEDR、XDRは脅威を検知する対象やその範囲が異なります。以下ではその違いについて紹介します。
| NDR | EDR | XDR | |
| 対象 | ネットワーク | エンドポイント(コンピューターやデバイス) | 複数のセキュリティ領域(ネットワーク、エンドポイント、クラウド、電子メールなど) |
| 目的 | ネットワーク内部の脅威や異常の早期検出 | ネットワーク内部の脅威や異常の早期検出 | ネットワーク内部の脅威や異常の早期検出 |
| 機能 | ネットワークの異常検出、対応、フォレンジック | エンドポイントの異常検出、対応、フォレンジック | 異常検出、対応、フォレンジックを複数のセキュリティ領域で統合的に実行 |
| 異常検出方法 | 機械学習、データ分析 | 機械学習、ヒューリスティック、シグネチャベース | 機械学習、アナリティクス、ヒューリスティック、シグネチャベース |
| 導入に必要なツールや設定 | ネットワーク機器(スイッチ)のパケットミラーリング | エンドポイント(端末)へのエージェントのインストール | パケットミラーリング,エージェントのインストール |
| 攻撃された対象の復旧 | 不可能 | 一部可能 | 一部可能 |
NDRとEDRの最も大きな違いは監視の対象です。NDRではネットワーク、EDRはエンドポイント(PC等の端末)を対象に監視と異常検知を行います。またそれぞれの監視の仕組みも異なっており、EDRでは監視対象からログを収集するためのエージェントインストールが必要になることが多いです。
EDRとは
EDRはEndpoint Detection and Responseの略です。エンドポイントは英語で「終点、端点」を意味しており、セキュリティの文脈では通信ネットワークに接続された端末や機器を指します。
EDRは社内ネットワークに接続されている端末からデータ収集を行い、そのデータをもとに不審な挙動や脅威の検知を行います。NDRと同様にインシデント対応やフォレンジック機能が搭載されています。EDRは監視対象となる端末一つ一つに監視エージェントのインストールが必要なことが多いため、NDRに比べると導入コストが高くなる傾向があります。
XDRとは
XDRはExtended Detection and Responseの略です。EDRの機能を拡張することで、エンドポイント・ネットワーク・アプリケーション・クラウドといった幅広いITリソースのセキュリティリスクを一元管理できるセキュリティソリューションです。EDRとNDRの両方の機能を備えていることもあり、一つのツール内で効率的に管理・運用を行えます。
またクロスプラットフォーム対応しているという点もXDRの重要な特徴です。具体的には、オンプレミス環境、クラウド環境、ハイブリッド環境に対応し、さまざまなプラットフォームやデバイス間でのセキュリティ対策を一元的に管理できます。
XDRはNDRやEDRと連携し、組織全体のセキュリティ対策強化に役立ちます。包括的なセキュリティ対策が実現するため、企業は迅速に変化するサイバーセキュリティの脅威環境に適応し、効果的な防御策を講じられます。
3. NDRとEDRの併用
NDRとEDRでは監視対象が異なるため、片方だけの導入ではセキュリティ対策として不十分です。そのため自社のITリソースや監視ツールに適した組み合わせを検討し、セキュリティ対策を行う必要があります。NDRとEDRを併用することで以下のようなメリットが得られます。
より幅広い脅威検出
NDRはネットワークトラフィックを監視し、EDRはエンドポイントの状態を監視します。両者を組み合わせることで、様々な種類の脅威や攻撃パターンが検出可能です。
インシデント間の関連性の分析
NDRとEDRから得られる情報を相互に参照することで、脅威の関連性を理解しやすくなります。これにより、インシデント対応の効率や質が向上し、リスクが軽減できます。
フォレンジック機能の強化
NDRとEDRの両方がインシデント調査とフォレンジック機能を有しています。これらの情報を統合することで、攻撃のルートや影響範囲をより正確に特定し、適切な対策を講じることが可能です。
4. まとめ
IT環境の変化に伴いサイバー攻撃の脅威が年々増加する中、企業に求められるセキュリティ対策も変化しています。NDRはクラウドやリモートワークを前提としたIT環境において非常に効果的なセキュリティソリューションです。既知の脅威だけでなく、未知の脅威や異常をリアルタイムに検知し、セキュリティリスクを最小限に抑える上でも、NDRの導入は今後企業で必須のセキュリティ対策となっていくと考えられます。
とはいうものの、NDRやEDRの「運用」については、専門スキルを持った人材が必要になります。JBCCでは、専門家によるインシデント対応や調査支援を行う「マネージドサービス for EDR Plus」の他、あらゆるサイバー攻撃から企業の資産を守るセキュリティサービスをご提供しています。お気軽にお問い合わせください。
サイバー攻撃から企業の資産を守る!JBCCのセキュリティ
https://www.jbcc.co.jp/products/solution/sec/security/
【ソリューション】マネージドサービス for EDR Plus
https://www.jbcc.co.jp/products/solution/sec/mgd_for_edr_plus/
 |
JBCC株式会社JBCC株式会社は、企業のデジタル・トランスフォーメーション(DX)を支援する総合ITサービス企業です。クラウドサービスを中心にシステムの設計から構築、運用までを一貫して手掛けており、クラウド 2,150社、超高速開発による基幹システム構築 440社、セキュリティ 1,100社の実績があります。 |
