【仕組みとNDR製品を紹介】ネットワーク内のセキュリティを向上させるNDRとは？

業種や業態を問わず、多くの企業でITシステムの活用が一般的となっている現代においては、社内システムへの外部攻撃や情報漏えいなど、サイバー攻撃被害に関するニュースをよく耳にします。こういった背景から、セキュリティの更なる強化を検討中の企業も増えてきているのではないでしょうか。

ファイアウォールやウイルスソフトによる入り口対策だけでは対応しきれないサイバー攻撃に対して、注目のソリューションがNDR（Network Detection and Response）です。NDRはネットワーク内の通信状況をリアルタイムで見張り、異常を検知・対応まで行います。

本記事では具体的にNDRの役割を紹介するとともに、代表的なNDR製品をご紹介します。

巧妙化するサイバー攻撃に対応するため、様々なセキュリティソリューションが考案され、製品化されています。本節ではそのひとつ、NDRについて解説します。

NDRとは、システム内のデータ通信状況を監視し、通常と異なる挙動を検知し、対応（原因プログラムの削除、感染箇所の復旧）するセキュリティソリューションです。

近年のセキュリティ対策は、「悪意あるプログラムや不正アクセスのシステムへの侵入を完璧に排除する」という従来の考え方から、「もし侵入は許したとしても、重大な影響が及ぶ前に対処する」という考え方に変わっています。その理由として、攻撃手口の巧妙化に加え、IT活用が広範化した現代ビジネスでは、そもそもセキュリティリスクの一切ないシステムを作ることは困難なことが挙げられます。

NDRはネットワーク内の通信状況をリアルタイムで可視化します。平時と異なる動きを検知すると管理者にアラートを送るとともに、AI（人工知能）が異常を分析・対処まで行います。

EDR（Endpoint Detective and Response）は、NDRとよく似た働きをするセキュリティソリューションです。通信の異常を検知し、管理者に警告し、異常への対応を試みるというプロセスはほとんど一緒です。

異なる点はそれぞれが受け持つ守備範囲です。
EDRはエンドポイントに特化したセキュリティソリューションです。システムにアクセスしているPCやタブレットなど、内部ネットワークから外部ネットワークへのアクセスを使用するそれぞれの端末であるエンドポイントにおいて、データ通信に普段と異なる点や挙動がないかを監視します。EDRは検知・警告し、異常への対応に加えて、不正プログラムの影響を受けた可能性のある端末をネットワークから隔離し、被害の拡大を防ぎます。

NDRとEDRの違いについては以下記事で詳しく解説しております。ぜひご参考にしてください。
▼EDRとNDRの違いとは？ 機能や必要とされる理由、XDRについて詳しく解説

NDR導入前に知っておくべきメリット、デメリットをまとめました。

NDRは社内のネットワーク全体を監視し、ネットワーク内でやりとりされる様々な通信データを蓄積し、正規化します。ネットワーク全体を可視化し、未知の脅威にもリアルタイムで対応します。

EDRで対応できずに奥に入り込んだマルウェアや、内部からの不正行為など、NDRはネットワーク全体の包括的な可視化を行い、脅威となるインシデントが活性化することを防ぐ働きをします。

NDR以前のセキュリティ対策は非常に手間がかかるものでした。
システムの動きがおかしい、マルウェアに侵入されたかもしれないといった事態が起きてシステムの調査を行う場合、システムを停止しての調査が必要です。

NDRは正常稼働時のデータ通信ログを蓄積し、可視化できる状態にしています。不審な振る舞いの通信が発生しても容易に脅威の発生箇所、影響範囲の確認が可能です。
脅威発生から対処へ移るまでの工程が大幅に短縮され、早期のシステム復旧が可能になります。

またNDRはAIによる機械学習も行うため、運用実績が積み重なるほどにセキュリティレベルの向上が期待できる点も大きなメリットです。

最大限に効果的なNDR運用を行うためには、24時間365日の監視体制が必要となります。この点は、人的リソースや運用コストの面でデメリットと考える企業もあるでしょう。
しかし、サイバー攻撃の手口が多様化している現代においては、NDRによる対策がなされていない場合のリスク、ひいては被害時の対応コストなどのほうがもっと大きくなると考えられます。

代表的なNDR製品を2つご紹介します。ここでは概要のみのご紹介となりますが、それぞれの特徴を踏まえ、自社システムとの相性をご検討ください。

フォーティネットジャパン社が提供するFortiNDRは、悪意あるプログラムの侵入に対していかに迅速に対処するかに注力したNDR製品です。正常な通信に紛れ込もうとする脅威インシデントに対して、FortiNDRはAIや機械学習による分析、ソフトの振る舞い分析、人による分析を検知過程にフィードバックすることで、セキュリティチームの検知から影響範囲の特定、影響箇所の修復を強力にサポートしてくれます。

サポートの手厚さも特長のひとつです。FortiNDRのAIを使ったセキュリティサービスの開発や強化を支援するテクニカルサポート、プロフェッショナルサポートなど支援体制が充実しており、企業がFortiNDRを活用できるまでの道のりをサポートしてくれます。
FortiNDR導入について、テクバンへ相談する

シスコシステムズ社がSaaS（Software as a Service） で提供する「Cisco Secure Network Analytics」は、エージェント不要で既存のオンプレミスネットワーク機器やクラウドからネットワークデータを収集し、高度な分析により、脅威を検出します。
さらにCisco Secure Network Analyticsは、シスコシステムズ社のセキュリティリサーチチーム「Cisco Talos」による脅威インテリジェンスを活用し、脅威の判定・検出も行います。これにより、疑わしいホストやマルウェアによる偵察、エクスプロイト攻撃、C＆Cサーバー通信による遠隔操作、ラテラルムーブメント、機密データの不正な取得・持ち出し、DDoS攻撃などの挙動を検知し、迅速に対応できます。
Cisco Secure Network Analytics導入について、テクバンへ相談する

システムのセキュリティ対策としてNDRを導入するにあたって、肝心となるポイントをご紹介します。

システム全体を包括的に監視できるNDRですが、脅威にさらされやすいエンドポイントに特化したEDRと組み合わせることで、異常の検知や対応までの動きがより確実・迅速になります。

プロトコルとは通信方式のことです。システム内では様々なサーバーが同居しており、メールサーバー、WEBサーバー、ファイルサーバーの他、業務に特化した様々なアプリケーションがそれぞれ異なる通信方式を利用しています。それらすべての通信方式に対応しているNDRを選ぶことで、ネットワークの可視化が高まります。

EDRやNDRは、導入後の運用が成否を左右します。
ダッシュボードや支援ツールの使いやすさ、AI学習の精度なども重要な選択基準です。
分析をサポートするSIEM（Security Information and Event Management）のようなツールもあります。導入後に様子を見ながら、より運用しやすい体制を構築していきましょう。

EDRとNDR、両方の機能を併せ持つXDR（Extended Detection and Response）製品があり、導入候補として検討してみましょう。

テクバンではCrowdStrike FalconやSophos Intercept X Advanced、Cisco SecureXといったXDR製品を取り扱っており、導入支援を行っております。お気軽にご相談ください。

テクバンのセキュリティ対策導入事例については、下記でご紹介しています。ぜひ併せてご覧ください。
【事例】情シスの負担を増やさず場所を問わない安全な通信を実現
【事例】個別のセキュリティ対策を統合。セキュアで高精度のサーバー環境を構築
【事例】オフィス外からのアクセスも一元化、セキュリティリスクを軽減

EDR、NDRは自社システムに合った製品選びが重要です。また導入後の運用体制確立もセキュリティ対策の成否を分けるポイントです。
具体的な手法については、専門知識や多くの導入実績を持つ支援ソリューションへの相談をおすすめします。
テクバンでは、様々な業種・業態のお客様への導入支援を行ってきた実績をもとに、セキュリティレベルを向上させる製品・ソリューションをご提案します。

テクバンの次世代セキュリティ対策ソリューションについて詳しくはこちらから。

関連資料もご用意しておりますので、併せてご覧ください。
多様なアクセスポイントへの、ネットワークセキュリティ対策
【事例】リモート環境整備のための、適切なセキュリティ運用を実現
【事例】被害拡大のマルウェアEmotetも一網打尽。社員の負担なしでメールのリスクをシャットアウト