Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

“侵入を前提とした”防御で
セキュリティ強化を図るNDR、EDRとは

昨今、新たなセキュリティソリューションとして注目されつつあるのがNDRです。NDRとはどのようなものか、EDRとの連携や検討したいソリューションについても解説します。

“侵入を前提とした”防御でセキュリティ強化を図るNDR、EDRとは:昨今、新たなセキュリティソリューションとして注目されつつあるのがNDRです。NDRとはどのようなものか、EDRとの連携や検討したいソリューションについても解説します。
マンガ画像01
マンガ画像02
マンガ画像03
マンガ画像04

“侵入を前提とした”防御とは

サイバー攻撃の多くは、攻撃対象となる組織の内部にあるコンピューターにマルウェアを感染させることから始まる。攻撃者は感染に成功したマルウェアを外部から操り、内部のシステムへ不正アクセスして機密資料の窃取を謀るといった流れだ。また昨今では、PCやファイルサーバーに保存されたファイルを暗号化し、元の状態に戻す代わりに金銭を要求するランサムウェアの被害も相次いでいる。

こうしたサイバー攻撃を防ぐには、マルウェアの迅速な検知がポイントになる。そのために使われているのがウイルス対策ソフトだが、新種のマルウェアやオリジナルのマルウェアを改変した亜種が矢継ぎ早に生み出されているため、ウイルス対策ソフトのマルウェア検知率は低下しているのが現状である。ちなみに、JPCERTコーディネーションセンター(JPCERT/CC)は、2020年7月に発表した「インシデント報告対応レポート」において、マルウェアサイトの件数は、2020年2月以降下降線をたどっている。

もちろん、セキュリティ対策ソリューションは、ウイルス対策ソフト以外にも数多く提供されている。代表例として、ファイアウォールやIDS/IPS、プロキシー、あるいは未知のマルウェアの検知を行うサンドボックスなどが挙げられる。ただしサイバー攻撃の手法は日々高度化しており、さらに従業員による内部不正も考えられる状況では、サイバー攻撃を100%防ぐことは事実上不可能だと言える。

このような背景から昨今広まっているのが、侵入されることを前提としつつ、侵入をいち早く検知し対処することで被害を最小化するという考え方である。これを実現するためのプロダクトとして注目されているのが「NDR」(Network Detection and Response)や「EDR」(Endpoint Detection and Response)といったソリューションである。

NDRはネットワーク、EDRはエンドポイントを監視

NDRはネットワークトラフィックを収集し、それを分析することによって攻撃を検知するソリューションである。とはいえ企業のネットワークを流れるトラフィックは膨大であり、それを人手で分析することは現実的に不可能だ。そこで利用されるのがAIである。

具体的には、収集したトラフィックをAIで分析し、普段とは異なる“異常な通信”を検知するという仕組みである。異常な通信としては、組織内に侵入したマルウェアから外部システムに向けたビーコン通信や、ランサムウェアがファイルを暗号化する際のファイルサーバーに対する異常な数のトラフィックなどが挙げられる。これをAIで検知することができれば、攻撃の阻止や被害の最小化に向けたアクションを素早く実行できる。

一方、EDRはネットワークではなくエンドポイント、つまりクライアントPCの監視を行うためのソリューションだ。クライアントPCにインストールされたエージェントと呼ばれるソフトウェアが常時監視し、マルウェアによるシステムの操作など不審な挙動を検知すれば管理者に通知を行い、迅速な対処を促す。

NDRとEDRを組み合わせれば、面(ネットワーク)と点(クライアントPC)の双方で監視を行うことが可能になり、外部からのマルウェアの侵入や、すでに侵入したマルウェアの活動を迅速に検知することが可能になる。進化し続けるサイバー攻撃を防ぐ手立てとして、このNDRとEDRが新たなセキュリティ対策の1つとして浸透する可能性は高いだろう。

運用が鍵を握るこれからのNDR、EDR

NDRやEDRは有用なセキュリティソリューションだが、一方で課題となるのは運用である。ネットワーク、あるいはクライアントPCで何らかの異常が発生し、それをNDRやEDRが検知しても、実際に何が起こっているのかを適切に判断し、対処を行うのはあくまで人間である。つまりNDRやEDRを使ってセキュリティレベルを高めるためには、運用までを視野に入れて環境を整える必要がある。

この運用体制において課題となってくるのが、言うまでもなく人材不足である。特にNDRやEDRの運用においては、通知された内容を読み解けるだけのスキルが求められるうえ、分析や対応計画の検討といったインシデントハンドリングも行わなければならない。またサイバー攻撃はいつ行われるかわからないため、24時間365日、いつでも対応できる体制を整えておきたい。しかし、社内の人材でこれに対応するのは難しいというのが多くの企業の実情ではないだろうか。

ちなみに、NDRに近いソリューションとしては、ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを組み合わせて相関分析を行い、インシデントを検知するSIEM(Security Information and Event Management)がある。ただし、SIEMは専門家による分析が基本となるため導入の敷居が高いという印象があるだろう。

そこで検討したいのがマネージドセキュリティサービスである。これはセキュリティに特化した運用管理サービスであり、セキュリティ機器から発せられたアラートの調査やインシデントハンドリングなどをアウトソースできる。

たとえばNTT ComがGlobal Management Oneのメニューの1つとして提供している「トータルマネージドセキュリティ」では、24時間365日体制でセキュリティオペレーターがインシデントハンドリングを行い、セキュリティインシデントの未然防止および解決を図る。こうしたマネージドソリューションを利用すれば、自社で人材を確保することが困難なケースでもNDRおよびEDRを活用できる。とりわけ、NDRとして既存のセキュリティ環境へも容易に導入が可能なAIアノマリー検知ソリューションは、注目のソリューションと言える。

これからNDRやEDRを導入するのであれば、こうしたソリューションの活用まで視野に入れて検討を行うべきだろう。

Global Management Oneメニュー

関連リソース

PDFファイルをご覧いただくためには、「Adobe Reader」がインストールされている環境が必要となります。

関連サービス

このページのトップへ