【マンガ付きコラム】
NDRとは？EDRとの違いや運用における課題を解説

日々、巧妙化するネットワーク上の脅威を検出する手段としてNDRが注目されています。NDRとはどのようなものか、EDRとの違い、連携や検討したいソリューションについても解説します。

“侵入を前提とした”防御でセキュリティ強化を図るNDR、EDRとは：昨今、新たなセキュリティソリューションとして注目されつつあるのがNDRです。NDRとはどのようなものか、EDRとの連携や検討したいソリューションについても解説します。

サイバー攻撃対策しっかりやってるか？はい！もちろんウイルス対策ソフトは常時稼働させています！そうか！問題は起きてないようだな！はい！ですが部長サイバー攻撃も年々巧妙化しているようですし単純にソフトだけで防ぎきれるのでしょうか？そうだな…確かにウイルス対策ソフトは既知のウイルスには力を発揮してくれるが未知のものに対する対策としては不十分だな。ではどうしたら…その点に関しては全社を挙げて対策を進めている！本当ですか？

まずは大前提として現在ウイルスの侵入を100%防ぐことは不可能であることを認識したうえで侵入してきたウイルスや不正アクセスをいち早く検知して食い止めるという方策が大切だ。でもさきほど未知のウイルスに対しては対策ソフトでは防ぎきれないと…そう！だから近年はNDRとEDRという対策が重要になってきているし我が社でもそこに力を注いでいる。NDRとEDRですか？NDRとはネットワークトラフィックを分析して以上な通信を検知するシステムのことだ。なるほど通常とは違う通信量やアクセスがあった場合サイバー攻撃が疑われるということですね！その通り！

一方のEDRは各社員のPCつまりエンドポイントでの不審な挙動を検知するシステムだ。エージェントと呼ばれるソフトが常時君たちのPCを監視しているわけだ。そっか…常にみられているわけですね…残念ながら機密情報の流出に内部の人間関わった例も多数ある。会社としてそこに関してしっかり目配りしていく必要ある。サイバー攻撃への対策も多様性というか柔軟性が求められますよね。そうだな現在はネットワークという面、エンドポイントという点の両方から対策するという方向性かな。でもそれには優秀な人材が必要ですよね。あと運用面でも課題が…

そこだ…セキュリティに関する高度な専門知識のある人材…さらに24時間365日の運用…サイバー部長としてもそこが一番の悩みどころなんだがそういう対策や運用を引き受けてくれるソリューションも出てきているから外部への委託も含めて今後も検討を重ねていくつもりだ！さすがサイバー部長！任せて安心ですね！おう！しかしセキュリティで一番重要なのは社員一人ひとりの情報に対する意識だからな会社の情報を守っているのは君自身なんだ！頼むぞ！はい！

サイバー攻撃の高度化で従来の境界型防御が困難に
NDRとは？
NDRとEDRの違い、併用による相乗効果
運用が鍵を握るこれからのNDR、EDR

サイバー攻撃の高度化で従来の境界型防御が困難に

サイバー攻撃の多くは、攻撃対象となる組織の内部にあるコンピューターにマルウェアを感染させることから始まる。攻撃者は感染に成功したマルウェアを外部から操り、内部のシステムへ不正アクセスして機密資料の窃取を謀るといった流れだ。また昨今では、PCやファイルサーバーに保存されたファイルを暗号化し、元の状態に戻す代わりに金銭を要求するランサムウェアの被害も相次いでいる。

こうしたサイバー攻撃を防ぐには、マルウェアの迅速な検知がポイントになる。そのために使われているのがウイルス対策ソフトだが、新種のマルウェアやオリジナルのマルウェアを改変した亜種が矢継ぎ早に生み出されているため、ウイルス対策ソフトのマルウェア検知率は低下しているのが現状である。

もちろん、ウイルス対策ソフト以外にもセキュリティ対策ソリューションは数多く提供されている。代表例として、ファイアウォールやIDS／IPS、プロキシー、あるいは未知のマルウェアの検知を行うサンドボックスなどが挙げられる。ただしサイバー攻撃の手法は日々高度化しており、さらに従業員による情報の持ち出しなど内部不正も考えられる状況においては、従来の企業ネットワークと外部ネットワークの間でセキュリティ対策を講じる境界型防御では、サイバー攻撃を100％防ぐことは事実上不可能だといえる。

このような背景から境界型防御に替わり昨今広まっているのが、社内外を問わず、あらゆるユーザーやデバイスを信用しないゼロトラストセキュリティに基づき、侵入されることを前提としつつ、侵入をいち早く検知し対処することで被害を最小化する考え方だ。これを実現するソリューションとして注目されているのが「NDR」（Network Detection and Response）である。

NDRとは？

ネットワークのトラフィックを監視・分析し、異常な活動や潜在的な脅威を検知・対応するセキュリティソリューションがNDRである。ネットワーク全体を包括的に「見える化」し、AIを活用してさまざまな脅威に迅速に対処できるため、従来のセキュリティ対策では対応が難しかったサイバー攻撃、内部不正対策にも効果的だ。

NDRには次のような機能がある。

ネットワークの「見える化」

ネットワーク上のすべての通信をリアルタイムでキャプチャし、トラフィック量、通信先、アプリケーションの利用状況などを収集し、可視化できるようになる。

状態異常の的確な検知

あらかじめ登録しておいた攻撃パターンを使うシグネチャー型の検知ではなく、機械学習やAIを活用して正常な通信パターンを学習し、逸脱した挙動を自動検知。これにより、未知の脅威やゼロデイ攻撃も検知できるようになる。

迅速なインシデント対応

不審な活動を検知した場合、セキュリティチームに通知を行い迅速な対処が可能になる。さらに被害を最小限にするためにネットワーク遮断などのアクションを自動実行する機能を実装したNDRもある。

ただし、あくまでもNDRはネットワークに特化したセキュリティソリューションであるため、単体の利用はおすすめできない。ファイアウォールなどの従来型セキュリティ対策、あるいはEDRなどを組み合わせた多層防御の仕組みをつくることがポイントになる。

NDRとEDRの違い、併用による相乗効果

ネットワークに特化したNDRに対し、エンドポイント特化型、つまりクライアントPCの監視を行うセキュリティソリューションがEDRだ。クライアントPCにインストールされたエージェントと呼ばれるソフトウェアが常時監視し、マルウェアによるシステムの操作など不審な挙動を検知すれば管理者に通知を行い、迅速な対処を促す。

NDRとEDRを組み合わせれば、面（ネットワーク）と点（クライアントPC）の双方で監視を行うことが可能になり、外部からのマルウェアの侵入や、すでに侵入したマルウェアの活動を迅速に検知することが可能になる。非常に相性のいい組み合わせといえるだろう。進化し続けるサイバー攻撃を防ぐ手立てとして、すでにNDRとEDRを組み合わせてセキュリティ対策は多くの企業に採用されている。

運用が鍵を握るこれからのNDR、EDR

NDRやEDRは有用なセキュリティソリューションだが、一方で課題となるのは運用である。ネットワーク、あるいはクライアントPCで何らかの異常が発生し、それをNDRやEDRが検知しても、実際に何が起こっているのかを適切に判断し、対処を行うのはあくまで人間である。つまりNDRやEDRを使ってセキュリティレベルを高めるためには、運用までを視野に入れて環境を整える必要がある。

この運用体制において課題となってくるのが、言うまでもなく人材不足である。特にNDRやEDRの運用においては、通知された内容を読み解けるだけのスキルが求められるうえ、分析や対応計画の検討といったインシデントハンドリングも行わなければならない。またサイバー攻撃はいつ行われるかわからないため、24時間365日、いつでも対応できる体制を整えておきたい。しかし、社内の人材でこれに対応するのは難しいというのが多くの企業の実情ではないだろうか。

ちなみに、NDRに近いソリューションとしては、ファイアウォールやIDS／IPS、プロキシーなどから出力されるログやデータを組み合わせて相関分析を行い、インシデントを検知するSIEM（Security Information and Event Management）がある。ただし、SIEMは専門家による分析が基本となるため導入の敷居が高いという印象があるだろう。

そこで検討したいのがマネージドセキュリティサービスである。これはセキュリティに特化した運用管理サービスであり、セキュリティ機器から発せられたアラートの調査やインシデントハンドリングなどをアウトソースできる。

たとえばドコモビジネスがX Managed®のメニューの1つとして提供している「トータルマネージドセキュリティ」では、24時間365日体制でセキュリティオペレーターがインシデントハンドリングを行い、セキュリティインシデントの未然防止および解決を図る。こうしたマネージドソリューションを利用すれば、自社で人材を確保することが困難なケースでもNDRおよびEDRを活用できる。とりわけ、NDRとして既存のセキュリティ環境へも容易に導入が可能なAIアノマリー検知ソリューションは、注目のソリューションと言える。

これからNDRやEDRを導入するのであれば、こうしたソリューションの活用まで視野に入れて検討を行うべきだろう。