NDRと、EDRは双方とも不正なネットワークに対する攻撃を検知することではおなじソリューションですが、ネットワークトラフィックとエンドポイントの監視を行う点で守備範囲・検知対象の違うソリューションです。
2つのソリューションは、双方とも導入するとより攻撃を防御するのに効果的ですが、双方の違いをもう少し深堀りすると同時に、双方を統合し、より全体最適を目指すソリューションであるXDRについてもご紹介します。
導入の方法についてもおすすめの方法がありますので、企業で導入や、セキュリティ体制の強化・再編をお考えの方はぜひ参考にしてください。
NDRとEDRをおさらい
NDR=Network Detection and ResponseとEDR=Endpoint Detection and Response双方の概要をおさらいしてみましょう。
NDRとは「ネットワークトラフィック」を対象としたセキュリティ手法
NDRは、ネットワークに対する不正攻撃を検知するため、リアルタイムの通信トラフィックデータ情報をメインの監視対象とします。ネットワーク内にあるアクセスログやセキュリティログなどデータも集めて、データ分析・解析を行いリスクを検知します。
この手法は、2020年に定義された新しいセキュリティ手法です。現に生じている攻撃リスクに対応する点が、それまでリスクをゼロにするため予防・ブロックすることを目的としていたIDS (Intruder Detection System) やIPS (Intruder Prevention System)と発想が異なります。
クラウドサービスへの接続・社外からの接続によるテレワークの浸透により、により、防御対象となる企業内ネットワークそのものが変容しています。
一方、攻撃を加えるために用いられるマルウェアは巧妙化しています。ゲートウェイに置かれたIDSやIPSなどは偽装により突破してしまうことがあります。そのうえ、遠隔操作・AIなどを使って防御をすり抜け、機器のポートから侵入してしまうこともあります。
こうしたより高度な攻撃が行われるなかでIDSやIPSによる防御は、実際に発生している脅威に必ずしも効果的ではありません。
NDRは企業で管理する機器間のトラフィックそのものから異常を検知し、より効果的に脅威を捕捉できる手法です。
異常通信を検知し、そこから攻撃を推定することのほうが、かつての攻撃パターンへのあてはめにより異常を検知する方法より優れており、AI技術により、異常の検知はリアルタイムで行うことができます。
EDRとは「エンドポイント」を対象としたセキュリティ手法
EDRはエンドポイントの不正攻撃を検知するソリューションです。
エンドポイントとは、「末端」「終点」を意味し、セキュリティの世界では、ネットワークに接続されている機器のことをいいます。PC・サーバ・スマートフォン・タブレットなどの端末を監視対象とします。
端末は現在非常に数が多いことがあるので、エンドポイントセキュリティは自動化による効率化が課題です。EDRソリューションもAIによる自動化を用いて、端末をリアルタイムで一斉に監視します。
デバイスが攻撃されると、保存されている情報が攻撃されることになるので、深刻な被害が生じがちです。エンドポイントの機器類に保存している情報を攻撃から守るために、リアルタイムの監視を行うのがEDRソリューションです。
ネットワークを監視するだけでなく、デバイスのポートを中心とする守りを固めると、デバイス内に保存された情報の保護が十分になります。さらにNDRと組み合わせて利用すると、より十分にセキュリティ上の脅威に対応できます。
NDRとEDRの違いは「検知の対象」
セキュリティに対する脅威の検知の対象は、NDRではネットワーク、EDRではエンドポイントです。違いは検知の対象にあります。
検知の対象となるネットワークは、企業LANのことのみを指すのではなく、接続しているクラウドサービスなども含め、企業のリソース(情報および機器)に接続しているネットワーク空間全般のことをいいます。
これらのトラフィックに対して、ゲートウェイのミラーポートから接続をして監視し、異常トラフィックを検知するのがNDRです。
マルウェアはかつての攻撃パターンを超えて、あらかじめ内部で侵入に成功しているマルウェアとの通信を行いつつ、遠隔操作を行うなどして非常に巧妙にネットワークに攻撃を加えます。
そのため、リアルタイムの通信の振る舞い・動きから異常を検知し、別のソリューションで速やかに防御を行うことが攻撃に対する初動の対策として重要です。
また、エンドポイントは機器のことをいいますが、サーバ・PC・スマートフォン・タブレットなど、情報を保存・管理する端末全般を指しています。EDRは、機器を対象に、リアルタイムで異常を検知します。
NDR・EDR双方ともに検知すれば、通信遮断・マルウェアを排除するのに使用されるソフトウェアなどを利用する対策をとることができます。結果、被害を最小限に抑えられます。
似ている用語に「XDR」もある
NDRの特徴とEDRの特徴を掛け合わせたのがXDRです。NDRがネットワークを検知対象・EDRがエンドポイントを検知対象とするのに対して、XDRはこれらを合わせた複数の対象を検知対象とします。より広くデータを集め、統合し、1つのソリューションで脅威を検知します。
XDRはNDRとEDRの検知対象から広くデータを検出し、リスクを検出するものですが、これには企業のセキュリティ部門の業務の効率性を上げる効果があります。
今までのノードごとの異常検知や、ゼロリスクをベースとする考え方によると、いくつものセキュリティアプライアンスや、クラウドベースのセキュリティツールを重ねて利用することが通常です。結果、業務の細分化や、セキュリティアラートの頻発があり、セキュリティ部門を疲弊させる結果にもつながってきました。
XDRによる総合的な監視・異常検知が可能になると、全体のなかでどこに異常が起きていて、有効な対策は何か、より可視化されて多くのアラートに悩まされずに済むと同時に、セキュリティ専門人員は脅威を排除する対策により時間と能力を使うことができます。
企業のセキュリティ体制の全体最適化・人手不足による情報セキュリティ部門の高負荷を改善するためには、NDRとEDRの検出領域を統合するXDRが効果的と考えられます。
まとめ
NDR、EDR、これらの検知領域をカバーするXDRは、新しいセキュリティ手法として、従来のセキュリティ手法の過度の細分化・高コストおよび高負荷を克服するソリューションとして注目されます。情報セキュリティ部門の人手不足が深刻な問題となっている昨今では、企業の導入事例は増える見通しです。
導入のハードルも低く、NDR・EDR・XDRは導入にも運用にもリソースを多く割く必要はありませんが、製品導入と同時に自社のセキュリティ体制の最適化に関して、課題が見つかることがあります。こうした場合は、製品を扱い、サポート経験が豊富なベンダーからアドバイスを受けることや、導入サポートを依頼するのがおすすめです。
