更新日:2024年7月8日
寄稿者:Annie Badman、Matthew Kosinski
NDRは、元々生のネットワーク・トラフィック・データからネットワーク・トラフィック・モデルを抽出するために開発された技術、すなわちネットワーク・トラフィック解析(NTA)から進化したものです。NTAソリューションに動作分析と脅威対応機能が追加されたため、Gartnerの業界アナリストが2020年にカテゴリ名を「ネットワークの検出と対応」に変更しました。
ネットワークは今日の接続された世界の基盤であり、脅威アクターにとっては主な標的となるものです。
従来、組織はネットワーク・セキュリティを確保するために、ウイルス対策ソフトウェア、侵入検知システム(IDS)、ファイアウォールなどの脅威検知ツールに依存していました。
これらのツールの多くは、シグネチャベースの検知アプローチを採用しており、サイバー脅威のシグネチャ・データベースと侵害の兆候(IOC)を照合することで脅威を特定します。
シグネチャとは、既知のサイバー攻撃に関連するあらゆる特徴を指します。たとえば、特定のマルウェアのコードや特定のフィッシング・メールの件名などが挙げられます。シグネチャベースのツールはネットワークを監視し、以前に検出されたシグネチャを検出した場合にアラートを発生させます。
シグネチャベースのツールは、既知のサイバー脅威をブロックするには有効ですが、新しい、未知の、または新たな脅威の検知は困難です。また、以下のような、固有のシグネチャを持たない脅威や、正規の動作に似た脅威を検知することも困難です。
- 盗んだ認証情報を悪用してネットワークにアクセスするサイバー攻撃者
- ビジネス・メール詐欺(BEC)攻撃(ハッカーが役員のメール・アカウントを偽装または乗っ取る攻撃)
- 意図せずに危険な行為を行う従業員(会社のデータを個人のUSBドライブに保存したり、悪意のあるEメールのリンクをクリックしたりすることなど)
ランサムウェア集団やその他の高度標的型攻撃(APT)は、可視性のギャップを悪用してネットワークに侵入し、監視を行い、特権を昇格させ、適切なタイミングで攻撃を仕掛ける可能性があります。
NDRは、組織がシグネチャベースのソリューションで生じたギャップを埋め、ますます複雑化する最新のネットワークのセキュリティーを確保する際の支援を行います。
NDRは、高度な分析、機械学習、行動分析を用いて、既知のシグネチャがない潜在的な脅威も検知できます。このように、NDRはリアルタイムのセキュリティー・レイヤーを提供し、他のセキュリティー・ツールが見逃してしまうような脆弱性や攻撃を組織が発見する手助けをします。
IBM Security X-Force Threat Intelligence Indexを利用すると、サイバー攻撃への対策や対応をより迅速かつ効果的に行うためのインサイトを得ることができます。
ネットワークの検知と対応ソリューションは、ネットワーク上の脅威を管理するために、プロアクティブかつ動的に対応するアプローチを採用しています。NDRツールは、ネットワークのアクティビティとトラフィックのパターンをリアルタイムで継続的に監視・分析して、サイバー脅威を示す可能性のある疑わしいアクティビティを特定します。
NDRソリューションによる脅威の検知には通常、以下にある5つの手順で構成されます。
- データを収集する
- ネットワーク動作のベースラインを設定する
- 悪意のあるアクティビティを監視する
- インシデントに対応する
- 時間をかけて改良する
NDRソリューションは、遠隔地にあるデータの収集と送信に自動化を用いるテレメトリという手法により、生のネットワーク・トラフィック・データとメタデータを取得します。
NDRツールは、多くの場合、エンドポイント、ネットワーク・インフラストラクチャー、ファイアウォール、その他のソースからデータを収集し、ネットワークの包括的なビューを提供します。収集されたデータには、ネットワークのパケット・データ、フロー・データ、ログ・データなどがあります。
NDRツールは、行動分析、AI、機械学習を使用してデータを評価し、正常なネットワークの動作とアクティビティのベースライン・モデルを確立します。
ベースラインを設定した後、システムはネットワーク・トラフィックをリアルタイムで継続監視します。NDRは、その時点におけるネットワーク・アクティビティをそのベースラインと比較して、データ窃盗やその他の潜在的な脅威を示す可能性のある逸脱を検知します。
このような逸脱には、不正アクセスの試み、異常なデータ転送、異常なログイン・パターン(通常時間外でのデータへのアクセスなど)、または未知のWebサーバーとの通信などが含まれる可能性があります。
NDRソリューションは、不審なアクティビティを検知すると、セキュリティ・チームに警告を発して対応を促します。一部のNDRツールは、脅威を軽減する自動アクションも実行できます。これらの自動対応には、悪意のあるIPアドレスのブロック、侵害されたデバイスの隔離、不審なトラフィックを制限してさらなる被害を防ぐことなどが含まれます。
NDRシステムは、検知された脅威や対応からのフィードバックを組み込むことで、ネットワーク・アクティビティのモデルを継続的に適応させます。また、セキュリティ・アナリストや脅威インテリジェンスフィードからのインプットも統合します。この継続的な改良により、新たな脅威や進化する脅威を検知して、それに対応する際のNDRツールの精度と有効性が向上します。
NDRソリューションは、従来のシグネチャベースの脅威検知ツールよりも優れたさまざまな機能を提供します。これらの機能には、以下のものが含まれます。
NDRソリューションは、リアルタイムの監視と分析を提供し、潜在的な脅威をより迅速に特定して対応できるようにします。一部のNDRツールでは、潜在的な脅威の重大度に基づいて優先順位を決定し、セキュリティー・チームやセキュリティー・オペレーション・センター(SOC)にアラートを送信することもできます。
NDRは、オンプレミスおよびハイブリッドクラウド環境におけるすべてのネットワーク・アクティビティの可視性を提供します。この包括的な可視性により、組織はより多くのセキュリティー・インシデントを未然に防ぐことができます。
NDRソリューションは、ネットワーク・トラフィックの南北方向(出口と入口)と東西方向(内部)の両方を監視するため、ネットワーク境界における侵入とネットワーク内部での横移動の両方を検知できます。ネットワーク内の異常を特定できる機能は、NDRが待ち構えている高度な脅威を捕まえるのに役立ちます。一部のNDRツールは、暗号化されたトラフィックに潜む脅威も検知できます。
NDRは、AIと高度な機械学習アルゴリズムを活用して、ネットワーク・データを分析してパターンを特定し、潜在的な脅威(従来のツールでは見過ごされがちな未知の脅威も含む)を特定します。
一部のNDRソリューションには、疑わしいネットワーク接続を切断するなど、攻撃が発生している最中にその攻撃を阻止できる自動対応機能があります。NDRツールは他のセキュリティー・ツールとも統合でき、より複雑なインシデント対応計画を実行することができます。たとえば、脅威を検知した後、NDRはセキュリティー・オーケストレーション、自動化、対応(SOAR)プラットフォームに、事前に定義された対応プレイブックを実行するよう指示します。
多くのNDRツールは、MITRE ATT&CKフレームワークなどの脅威インテリジェンス・フィードやデータベースと統合できます。これらの統合により、動作モデルを強化し、脅威検知の精度を向上させることができます。その結果、NDRツールは誤検知が少なくなります。
NDRソリューションは、セキュリティー・チームがこれまで検知されていなかった脅威を積極的に検索する脅威ハンティング活動に使用できるコンテキスト・データと機能を提供します。
NDRソリューションにはメリットがあるにもかかわらず、限界がないわけではありません。現行のNDRツールの一般的なデメリットには次のようなものがあります。
NDRツールには、ハードウェア、ソフトウェア、サイバーセキュリティー担当者への多額の投資が必要となる場合があります。たとえば、初期設定には、ネットワーク・セグメント全体にセンサーを導入することや、大量のネットワーク・トラフィック・データを保存するための大容量データ・ストレージに投資することなどが含まれます。
成長を続けるネットワークに合わせてNDRソリューションを拡張することは、容易ではありません。データ・フローの増加でリソースに負担がかかり、ボトルネックが生じる可能性があり、大企業では脅威の検知と対応ソリューションの効果が低下する可能性があります。
NDRツールは多くの誤検知を発生させ、セキュリティー・チームをアラート疲労に陥れる可能性があります。正常パターンから少しでも逸脱すると、疑わしいものとしてフラグが立てられ、時間の無駄につながり、本当の脅威を見逃す可能性があります。
暗号化通信を含むネットワーク・トラフィックを継続的に監視すると、プライバシーの問題が生じる可能性があります。一般データ保護規則(GDPR)やPCI-DSS(Payment Card Industry Data Security Standard)などの規制を遵守しない場合、多額の罰金や罰則が科せられる可能性があります。
今日の企業ネットワークは分散化が進み、データセンター、ハードウェア、ソフトウェア、IoT(モノのインターネット)デバイス、オンプレミスとクラウド環境のワークロードを接続する大規模なネットワークとなっています。
組織とそのセキュリティー・オペレーション・センター(SOC)は、これらの複雑なネットワークを完全に可視化する堅牢なツールセットを必要としています。NDRと他のセキュリティー・ソリューションと組み合わせたソリューションへの依存度が高まっています。
たとえば、NDRはGartner社が提唱した概念「SOC Visibility Triad(SOC可視化トライアド)」の1つであり、EDR(エンドポイントの検知と対応)およびセキュリティー情報とイベント管理(SIEM)と並んで位置付けられています。
- EDR(エンドポイントの検知と対応)は、組織のエンドユーザー、エンドポイント・デバイス、IT資産をサイバー脅威から自動的に保護するように設計されたソフトウェアです。NDRがネットワーク・トラフィックの「俯瞰図」を提供するのに対し、EDRは個々のエンドポイントにおけるアクティビティの補足的な「地上図」を提供することができます。
- SIEMは、サーバー、アプリケーション、デバイスなど、異種のセキュリティー・ツールやネットワーク・ソースからセキュリティー関連のログやイベント・データを収集し、関連付けます。NDRツールは、ネットワーク・トラフィックのデータと分析結果をSIEMシステムにストリーミングすることでこれらの取り組みを補完し、SIEMのセキュリティーと法規制遵守の有効性を強化します。
最近では、SOCは拡張検知と対応(XDR)ソリューションも採用しています。XDRは、エンドポイント、ネットワーク、クラウド・ワークロードなど、組織のハイブリッドITインフラストラクチャー全体にサイバーセキュリティー・ツールを統合します。多くのXDRプロバイダーはNDR機能を備えており、オープンXDRソリューションは組織における既存のNDR機能を活用して、既存のセキュリティー・ワークフローに組み込むことができます。
IBMの脅威検知および対応ソリューションを活用すると、セキュリティーの強化と脅威検知の迅速化が図れます。
自信を持ってハイブリッドクラウドに移行し、クラウド・ジャーニーのあらゆるフェーズにセキュリティーを統合します。
実績のあるセキュリティー・スキル、専門知識、最新ソリューションで、高度なサイバーセキュリティーの脅威からインフラストラクチャーとネットワークを守ります。