NDRが注目される5つの理由
NDR(Network Detection and Response)というコンセプトは最近立ち上がってきた考え方です。これまでもトラフィック解析やアプリケーションの分析あるいはベンダーが提供するSuspiciousなIP情報を用いた攻撃検知など、それらしい機能というものは市場に認知されていました。
しかしながら、攻撃者によるサイバーアタックが高度化する中で、セキュリティの観点に基づいて網羅的に自社ネットワークを可視化・把握できるソリューションというものはありませんでした。
SIEMという選択肢も考えられましたが、専門的なプロセスとスキルが求められるため、自社ネットワークのリスクを掌握できている企業は非常に限定されていました。
そんな中、NDRがここ最近セキュリティにおけるネットワークの可視化ソリューションとして注目されています。今回は、その理由5つについて、解説します。
1.簡単かつ効率的な実装
NDRソリューションは基本的にはハードウェアで提供されている形態が多く、コアスイッチからミラーで情報を取得する事により、限定的な筐体数でネットワークを可視化します。エンドポイントセキュリティのように実装・管理する手間がありませんので、簡単かつ効率的に実装する事が可能です。
2.AIを用いた自動学習機能
多くのセキュリティ製品で課題になるのはルールのチューニングであり、平たく言えば「何がそのネットワークにとって、普通か、そうでないか」という判断をする必要があります。しかし、これは多くの企業にとって課題であり、多大なプロセスや労力が費やされる事になります。NDR製品の多くはAIによる自動学習機能を用いて、その企業それぞれの閾値を自動生成する事ができます。これにより、数週間から数か月で、その企業ネットワークの"普通"を手間なく生成する事ができます。
3.セキュリティ・フレームワークを用いた検知
NDRソリューションは閾値の設定に留まらず、より高度な検知を可能にするため、セキュリティ・フレームを採用することが多いです。企業の中には一定数は、多くの担当者が実施しているオペレーションと異なる業務に取り組んでいる方がおられますが、単なる閾値生成では誤検知が発生する可能性が多いにあります。そのため、より高度な検知を可能にするため、セキュリティ・フレームワークを採用する製品もあり、攻撃者が目的実行のために行う挙動が連続した場合に、セキュリティ・イベントのレベルを大幅に引き上げてアラートされる機能を実装しています。
4.フォレンジックによる振り返り分析
何かのセキュリティ・イベントが検知された時に重要になるのは過去に遡ってイベントを精査する事が重要になります。その攻撃の多くは、他の社内ネットワークを侵害して起きたイベントの可能性がありますので、影響範囲を幅広く特定する必要があるためです。その際に、特にNDRはインシデントレスポンスにおける1次調査のために非常に有効なツールになります。なぜなら、PCやサーバだけでなく複合機やIoT機器等IPアドレスを持つ端末であればすべて監視対象となり、ネットワーク全体を面で抑える事ができるため網羅的に自社ネットワークを監視する事ができるからです。
5.3rd partyソリューションとの連携
ここでは具体的にはエンドポイントとSIEM連携について触れます。上述の通り、初期フェーズで攻撃やクリティカルなイベントを早期検知する事にNDRは特に強みを発揮しますが、そのレスポンスの中でエンドポイント製品との連携が重要になります。昨今は、EDR(Endpoint Detection and Response)といったソリューションが出ていますが、同ソリューションはエンドポイントで発生したイベントを深く追いかける事ができます。実装されるプラットフォームは限定されるため、「面で早期検知するNDR」「点で深く検知するEDR」との親和性が極めて高いです。また、SIEMで企業ネットワークを統制されている企業にとっては、NDRのログをSIEMに展開する事により、より高度なセキュリティポリシーを構築する事が可能です。
