「NDRの機能を詳しく知りたい」
「NDRのサービスを有効に利用することでどういうメリットがあるのだろうか?」
ネットワークセキュリティについて、例えば社内ネットワーク上の機密情報などの重要なリソースをどのように攻撃から守るか、どのようなポリシーに基づいてセキュリティ対策を実施するか、迷われたことのある方は多いのではないでしょうか。
NDRは近年注目を集めているネットワークのセキュリティ向上に高い効果が見込めるソリューションです。本記事ではNDRについてご紹介します。
NDRとは
NDR(Network Detection Response)とは、ネットワーク上の通信を監視し、不審な通信を検知するセキュリティ対策ソリューションです。
トラフィックの監視や不正な通信の検出にはIPS/IDSやWAFといったソリューションが既に存在しており、これらのソリューションは主に外部から内部への不正アクセスをどのようにブロックするかという観点で設計されています。
NDRが大きく違う点は、エンドポイントに留まらず、ネットワーク全体を包括的に監視する機能です。
例えばネットワーク上の重要なファイルサーバなどに、どのような端末がどのように通信を行なったか、という情報まで細やかに可視化することができます。
NDRが必要とされる背景
従来のセキュリティ対策ではなくNDRが必要とされるようになった背景として、ゼロトラストの考え方と、攻撃者の攻撃手段の巧妙化があります。
ゼロトラスト
ゼロトラストとは、外部からの通信はもちろん、内部の通信も全て信用せずに、監視して制御するというセキュリティの考え方です。ゼロトラストが重要視されるようになったことについて以下のような要因が挙げられます。
・クラウドサービスの利用増加
・テレワークやBYODなど働き方の多様化
・情報漏洩などのセキュリティインシデントの増加
このように社内外のネットワークの境界が曖昧になったことにより、外部からの通信を監視するだけではなく、ネットワーク全体を監視することが現代の環境ではより適したセキュリティ対策と言えます。
攻撃手段の巧妙化
セキュリティ対策が進化していることと同様に攻撃手段も過去と比べてより多様化、巧妙化しています。
例えばランサムウェアや標的型攻撃は、従来は感染した端末をリセットすれば対処できたのですが、現在では感染した端末を踏み台にして、ネットワーク上のより重要なリソースに転移して発症する、という風に従来のセキュリティ対策では検知されないように巧妙化しているため、侵入を防ぐだけではなく侵入後に気づくという考え方が重要視されるようになりました。
NDRの機能
NDRの機能は主に以下の4つです。
・データの収集と分析
・不審な通信の検知
・脅威の分析
・対応の実施
収集されるネットワークトラフィックのデータは膨大なため、基本的にNDRサービスはAIやアルゴリズムによりリアルタイムの異常検出、管理者への通知を行う仕組みが組み込まれています。この機能により潜在的な脅威の検出が可能です。
管理画面では集計データの可視化を行うことが可能で、リスクの高い箇所の洗い出しや、何らかのインシデントが起こった場合に、原因調査を行うことができます。
またNDRサービスの多くはネットワーク機器へのインストールを必要としない形式のため、システム稼働への影響を最小限に抑えられて、スムーズに導入できます。
NDR、EDR、XDRの違い
EDR
EDR(Endpoint Detection and Response)は、ネットワークのエンドポイントに接続された各種端末を監視するソリューションです。NDRと異なり端末へのインストールが必要になるため、NDRと比べると導入コストが高い傾向があります。
XDR
XDR(Extended Detection and Response)は、EDRの機能を拡張したソリューションで、エンドポイント、ネットワーク、アプリケーション、クラウドといった多様なリソースを一元的に監視します。EDRとNDR両方の機能を備えている点が特徴で、1つのツール効率的に管理・運用が行えます。
NDR、EDR、XDRどれを導入すべき?
NDR、EDRいずれかのみでは監視対象が不十分になるため、NDRとEDRの併用、または両方の機能を備えたXDRの導入を推奨します。NDRとEDRを併用することで以下のような利点があります。
・ネットワークとエンドポイント両方からの幅広い脅威の検出
・インシデント発生時の、ネットワークとエンドポイント両方からの調査分析
NDRサービス選定のポイント
NDRの恩恵を最大化するためにはどのようなサービスを選ぶと良いでしょうか。
2点、NDRサービスの選定のポイントを挙げます。
対応プロトコルの多いものを選ぶ
プロトコルとは通信の規格の事です。攻撃者は従来のセキュリティサービスが対応していないプロトコルを意図的に使用する傾向があるため、対応プロトコルが少ないものを選ぶと異常の検知漏れが起きやすくなってしまいます。
対応するプロトコルはNDRサービスによって異なるため、多くのプロトコルに対応したサービスを選ぶようにしましょう。
導入後の運用しやすさを重視する
NDRは導入後、セキュリティ向上のために継続的に通信を監視して、適切な分析や対応計画の策定を行う必要があります。分析ダッシュボードが使いやすかったり、AI分析機能が充実しているなど、導入後の継続的な運用のイメージがしやすいサービスを選ぶと良いでしょう。
まとめ
NDRは、ゼロトラストセキュリティを前提とした最先端のセキュリティソリューションと言えます。
従来のセキュリティポリシーや対策だけでは防ぎきれない程攻撃手段は巧妙化してきているため、改めてNDRのようなセキュリティソリューションの導入や運用を計画してみるのはいかがでしょうか。本記事がそのきっかけとなりましたら幸いです。
ーーーーーーーーーーーーーーーーーーーー
企業のICT環境、情報システムでお悩みの方へ
株式会社KUIXでは、クラウドサービスやICTサービスに関すること、情報システム部門のサポートを総合的に行っております。
DX推進やBIツールの導入・活用におけるコンサルテーションも行っておりますので、ぜひお気軽にご相談ください!お問い合わせはこちらから
