NDR(Network Detection and Response)とは?

NDRは、高度なサイバーセキュリティ技術と手法を組み合わせ、他のセキュリティ対策では見逃される可能性のある異常を検知し、脅威に対応します。

なぜNDRが必要なのか

SOC(Security Operation Center)チームは、組織をサイバー脅威から守るという大きなプレッシャーにさらされています。脅威は進化と増殖を続け、ネットワークはますますボーダーレス化が進み、対処すべき攻撃対象領域はより大きく複雑になっています。パンデミック以降、リモートワークやハイブリッドワークの急増がこれに大きく貢献しており、マッキンゼーの推定によると、米国の従業員の少なくとも58%が既にリモートワークをしています。

広大なネットワーク内には、膨大な数の管理されていない資産が存在します。セキュリティエージェントがインストールされていないデバイス、セキュリティ設定が誤っているデバイス、あるいは古くなっているデバイスなどです。ある推計によると、管理されていない資産の数は管理されている資産の2倍に上ることもあります。

管理されていない資産はパッチ適用が困難です。脆弱性スキャンもほとんど行われず、スキャン自体が不可能な場合もあります。特に古いデバイスの場合、メーカーがセキュリティアップデートのリリースを遅らせる可能性があります。また、ITチームがアップグレードを行うには、まず再導入するかライセンスを追加する必要があるため、たとえそれらのデバイスがセキュリティリスクを負っているとしても、正当化するのが容易ではない労力とコストがかかります。

こうした背景から、サイバー犯罪者は管理されていないデバイスを好んで標的にします。それらは、ネットワーク内で目立たずに潜伏できる格好の隠れ場所となります。攻撃者は、合法かつ承認されたツールを悪用しながら、管理されていないデバイス間を移動し、数週間から数か月にわたり検知されずに潜伏することができます。

EDR(Endpoint Detection and Response)、ITDR(Identity Threat Detection and Response)、ASM(Attack Surface Management)といったセキュリティ技術やアプローチは、管理されていない資産に潜む脅威を発見したり、ネットワークトラフィックの内部を確認したりすることを目的として設計されていません。NDRはそのギャップを埋め、脅威によって引き起こされるわずかな異常でさえも検出し、相関関係を明らかにします。そうでなければ、見落とされてしまう可能性があります。

NDRはSOCチームのどのような課題を解決しますか

ある予測によると、2025年には地球上のデバイス数は180億台を超えると予想されています。たとえこれらのデバイスのごく一部が管理されていないとしても、セキュリティへの影響は甚大です。現在、攻撃対象領域全体、特に管理されていない資産を含むすべてのエンドポイントを可視化できるSOCチームはほとんどありません。手の届かない場所を防御するのは困難であり、目に見えないものを管理するのは不可能です。

SOCは、大量のアラートに圧倒され、誤報や攻撃の見逃しが発生していることでも知られています。大量のアラートがあっても、インシデントを完全に理解するために必要なデータが不足していることが多々あります。ノイズが多すぎる一方で、正確で緻密な、実用的な情報が不足しているのです。

NDRは、ネットワークトラフィックとネットワーク内のデバイスの動作を監視することで、こうした問題に対処します。管理されていないデバイス自体がダークネットワークであっても、その周囲のあらゆるアクティビティを検出、分析し、異常と判断できます。さらに、NDRの相関分析機能は、パターンを精査し、点と点を結びつけることで、真の潜在的な脅威と無害なアクティビティをより正確に区別します。

効果的なNDRソリューションがあれば、SOCチームはネットワーク上の管理されていない資産を発見し、「弱いシグナル」としか捉えられないものも検出・相関分析することで、脅威を特定し、攻撃者を根絶することができます。弱いシグナルとは、攻撃の有無を判断するのに十分な情報がない、信頼性の低いアラートまたはイベントを指します。

エンドツーエンドで攻撃をさかのぼって調査

NDRは、疑わしいトラフィックも含め、すべてのトラフィックからネットワークメタデータを抽出することで、SOCチームがネットワークで何が起こっているかをより詳細に把握できるようにします。このメタデータは潜在的な脅威と相関関係にあるため、SOCチームは攻撃の痕跡を可視化できます。攻撃チェーン全体を把握し、根本原因を特定し、セキュリティスタック全体にわたるインシデントの全容を把握できます。

NDRはまた、サードパーティ製スキャンツールの出力を専門家のセキュリティ知識と照合できるプラットフォームを提供することで、潜在的な脆弱性を発見する手段も提供します。これにより、潜在的な脆弱性が悪用される前に、事前にパッチを適用することができます。

これらすべて、特にEDR、ITDR、ASMなどの他のセキュリティソリューションと連携することで、検出時間の短縮、コストの削減、誤検知の減少を実現し、ほぼリアルタイムのアクションが可能になります。

NDRソリューションの構成要素とは

NDRは、ディープ・パケット・インスペクション、行動分析、機械学習を用いて、ネットワークトラフィックの継続的な監視と分析を提供します。異常を検知し、潜在的な脅威を特定し、脅威インテリジェンスソースと統合することで、最大限の効果を発揮します。リアルタイム監視と自動対応・緩和策を組み合わせることで、NDRはSOCチームが高度なサイバー攻撃を積極的に防御し、セキュリティインシデントの潜在的な影響を最小限に抑えることを可能にします。

これらの機能を実行するには、NDRは相互に関連する包括的な機能セットを必要とします。具体的には、以下の機能が含まれます。

  • 異常を際立たせ、特定のシグネチャを探すのではなく、行動ベースで検知できるように、ネットワークトラフィックをモデル化する機能。これには、機械学習と高度な分析が必要です。
  • ソリューションが適切にチューニングされていれば、誤検知率を低く抑え、SOCチームが信頼できる結果を得ることができます。
  • ガートナーが「構造化インシデント」と呼ぶものにアラートを集約・相関させる機能。これにより、セキュリティ専門家が脅威をより容易に調査できるようになります。
  • 自動レスポンスによって脅威を封じ込め、ブロックする機能も備わっています。

NDRソリューションは、ネットワークの拡大や接続デバイスの数の増加に合わせて拡張でき、一貫性と信頼性の高いパフォーマンスを提供する必要があります。理想的には、継続的な改善のための機能も組み込まれており、NDRソリューションの精度と効果を継続的に高めることができます。

NDRにはどのような追加機能が必要か

ガートナーやフォレスターなどのサイバーセキュリティ分析企業は、NDRソリューションに必要な保護範囲を完全に網羅するには、上記のコア機能に加えて、他の特性も必要であると示唆しています。

これらの高度な機能には、以下のものがあります。

  • ネットワークトラフィックの復号化。トラフィックパターンを分析することも重要ですが、トラフィックの内容を把握することは、サイバー保護を確実にするために、はるかに重要なことです。しかし、現在のネットワークトラフィックの大部分は暗号化されており、Webトラフィックのほぼすべて(95%)も同様です。つまり、ネットワーク上の資産間で疑わしいラテラルムーブメントが検出されたとしても、復号化がなければ、SOCチームはトラフィックの内容や、それが本当に有害であるかどうかを把握できません。
  • クロスレイヤー相関。ネットワークの単一レイヤー内で異常な動作を相関分析する機能は、紛れもなく有益ですが、過剰なアラートや誤検知が発生する可能性があります。複数のレイヤーからのデータを相関分析できるNDRソリューションは、真の脅威を分離し、SOCチームが信頼できる重要なアラートをトリガーできる可能性がはるかに高くなります。
  • ゼロトラストのサポート。ゼロトラストは、企業の資産やリソースへのアクセスを制限し、最大限の注意を払って侵害や攻撃を防ぐための、現在最適なフレームワークです。ゼロトラストアプローチとNDRを組み合わせることで、異常な動作をより顕著に捉え、脅威をより迅速に特定できるようになります。
  • SOCアナリストエクスペリエンスの優先順位付け。これは定量的というよりは定性的な要素ですが、非常に(場合によってはそれ以上に)重要です。SOCチームにかかるストレス、日々処理するアラートの量、そしてミスがもたらす潜在的な影響を考えると、SOCでの業務を簡素化するNDRソリューションを提供することは大きな価値があり、活用される可能性がはるかに高くなります。

トレンドマイクロのNDRへのアプローチとは

トレンドマイクロは、セキュリティベクトル全体からネイティブテレメトリを活用し、高い相関関係と豊富なコンテキストを備えた高精度な検知を提供します。トレンドマイクロのNDRへのアプローチにより、SOCはサードパーティのソリューションやSOAR(Security Orchestration, Automation and Response)プラットフォームと連携しながら、自動修復を組み込むことで、将来の攻撃を未然に防ぐことができます。

トレンドマイクロのNDRテクノロジーは、管理対象デバイスと管理対象外デバイスの両方に関連するリスクを特定し、異常を検知し、動作をモデル化することで、脅威の兆候となる可能性のあるわずかなパターンも見つけ出します。

多くのNDRソリューションはAI、機械学習、異常検知にほぼ全面的に依存していますが、トレンドマイクロは35年以上にわたる脅威インテリジェンスと高度な動作分析も取り入れており、極めて低い誤検知率で、すぐに脅威を正確に検知できます。

NDRは、組織のサイバーセキュリティツールキットに不可欠な要素であり、EDR、ITDR、ASMを補完することでネットワークの脆弱性をカバーし、本格的なXDR(Extended Detection and Response)を提供します。Trend Microは、包括的で信頼性の高いネットワーク検知・対応ソリューションを実現するために、NDRの中核要件と主要なサイバーセキュリティアナリストによって特定された追加機能の要件を満たしています。

関連記事