NDRとは、Network Detective and Responseの略称で、日本語に訳すとネットワークにおける検知と対処のことです。
つまり、ネットワークにあるセキュリティの関連情報をリアルタイムで検知し、セキュリティ上の異常事態に素早く対処するためのシステムないし手法のことをいいます。
NDRは、ゲートウェイにおける侵入の検知や予防を行うIDS/IPSなどの従来のセキュリティアプライアンスやシステムに代わる、より有効な手法として注目されています。
この記事では、こうした新しいセキュリティ手法が必要となった背景について解説します。また、NDRを導入すると具体的にどのようなリスクがどの程度防げるのか、併せて実施すると効果的な施策とともにご紹介します。
NDRとは新しいセキュリティ手法の1種である
NDRとは、Network Detective and Responseの略です。ネットワーク全体の異常を早期に検知し、脅威の排除や防御策を施すことにより、セキュリティリスクを最小限にとどめることを目標としています。
NDRソリューションは、リアルタイムの通信トラフィックデータ、ネットワーク内にあるアクセスログやセキュリティログなどの情報を集めて、セキュリティに対する脅威を検知します。
この手法は、2020年に定義された新しいセキュリティ手法です。ソリューションは、検知機能を中心として、過去のログだけでなく、リアルタイムデータをもとに検知を行い、データ分析・解析等の機能を機能として有しています。
NDRの仕組みにおけるポイントは3つ
NDRの仕組みにおけるポイントは、「予防ではなく生じているリスクを検知して対処すること」「AIを使い、データの取得や検知を自動化して行うこと」「他のソリューションでリスクの除去や対処を行うこと」の3点です。
NDRのポイント①:不正を防ぐのではなく"検知"し対処する
NDRの仕組みは、起こってしまったリスクイベントに対応することを最大の特徴としています。それまでは、ネットワーク内への侵入の予防やそのためのネットワークの遮断など、ネットワーク内のリスクをゼロにすることを目標としていました。
しかし近年では、ウイルスやサイバー攻撃が多様化・悪質化しているため、ゲートウェイでIDSやIPSにより完全に侵入を予防することが現実的ではなくなっています。実際にゲートウェイで予防できる侵入は30%ともあるいはそれ未満ともいえる状況になってきています。
たとえば、正常な実行ファイルを利用あるいは仮託して、外からの侵入のための地ならしをし、悪意の侵入者をネットワーク内に侵入させるといった遠隔操作を利用した悪質な手口や高度な偽装が行われるのです。
NDRは検知したところでできるだけ早期に対応し、被害を最小限にすることを目標とするものです。
NDRのポイント②:AIを用いてネットワークトラフィックを収集・分析する
AIはオフィスでの業務の自動化に利用されていますが、サイバー攻撃を行う悪意ある者もAIを利用し、企業のネットワーク内の防御を交わすような高度な手法を日常的に使っています。
また、ネットワーク内に侵入したマルウェアを遠隔で操作する仕掛けを利用していることも多くあります。そのため、人の手だけでの検知や、定型化された攻撃パターンを想定して対応することは困難かつ不十分です。
そこで、AIに大量のネットワークトラフィック情報を取得させて分析することにより、通信の異常を通じて、より多くの攻撃の種類に対応できるようにしています。
NDRのポイント③:不正の検知をするが、対処は別で行う必要あり
NDRは検知をするソリューションなので、検知をした後の対処は人や別ツールで行う必要があります。
NDRで検知した異常事態にどのように対応するか、あらかじめ対応を決めて行います。重大事態には時間のかかる非定型的対応をせざるを得ませんが、NDRはそうした対応を極力減らすことに役立ちます。対応としては、ネットワークの遮断や、マルウェア・ウイルスに感染した機器の交換などをすることが多く行われています。
サイバー攻撃への早期対応をするために、NDRの注目度が上がっている
不正攻撃を受けた際の被害を最小限にするには、初期対応を早く行わなければなりません。しかし、ゲートウェイ側の防御だけでは、攻撃者側の高度な偽装により対応が遅れてしまう事例があるため、NDRが注目されています。
また、実際のサイバー攻撃の数が増加していること、企業の被害額が潜在的に大きいことを考えると、初動の遅れは致命的になるでしょう。
サイバー攻撃は、初動をとらえて適切に対応すれば、被害額が小さくできることが知られています。被害の発生を最小限にするためにNDRが注目されるのです。
NDRと似ている用語で「XDR」もある
XDRはネットワーク全体(ネットワーク、エンドポイント、クラウドなど、すべてのネットワーク)のデータを収集・検知するため、NDRよりも広範の不正検知をし、集中管理する仕組みのことです。XDRのXは変数であり、どこで侵入されても不正検知を可能にしようとしています。
攻撃を検知するシステムは、細分化がされており、何重にも同様の検知システムを設置することとなります。その結果、アラートが非常に多くなります。しかし、アラートを減らすように検知の感度を下げると、攻撃の前に動けないというジレンマが起こります。
これを包括的・統合して検知しようというのがXDRです。NDRもネットワーク全体のデータを検知できますが、エンドポイントにおけるEDRと合わせて導入すると、より効果が上がります。
XDRの統合ソリューションは、簡単にいうと、NDRとEDRを合わせた機能を持つものであり、一気にXDRの導入を行うとより監視部門の手間・コストがよりかからなくなるでしょう。
NDR導入のメリット
NDR製品は、アプライアンス・仮想版の双方により導入することができます。サーバにエージェントをインストールする手間は双方ともなく、導入に手間がかかりません。
さらに、今までのパターン分析ではなく、リアルタイムで怪しいデータを監視できるようにAIによるデータ処理・解析が即時に行われます。AIによる処理は、メンテナンスの手間を減らすことができます。最新のパターンに更新するようなメンテナンスが不要になるためです。
NDR導入のメリットは以下のようなことが挙げられます。
- 導入に手間をかけずに、不正攻撃に対する検知システムを導入できる
- 不正攻撃を受けた際の損失を最小限にできる
- AIで処理されるため、メンテナンス性が優れている
こうしたメリットのあるNDRの導入は、今後企業のセキュリティセンターにおいては必須となるでしょう。
まとめ
NDRは、ネットワークに対する脅威を早期に検知することで、サイバー攻撃による被害を最小限に抑えることを目的としたソリューションです。
NDRは、予防・ブロックなど、ネットワークに対するリスクをゼロにすることを前提としてつくられている従来のソリューションとは、考え方が異なります。NDRは脅威を受け入れたうえで、セキュリティリスクの低減をできる限り最小限にすることを目指すのです。低コスト・低負荷で無駄がないソリューションでもあります。
導入にあたっては、サポート経験が豊富なベンダーからアドバイスを受けることや、導入サポートを依頼するのがおすすめです。
