NDRとEDRの違いと連携のメリット
更新日 : 2024年07月25日
セキュリティ対策の一つとして、エンドポイントにセキュリティ対策ソフトウェアを導入し、マルウェアなどを検知・防御する手法がありますが、これだけではネットワークに流れる通信やエンドポイントに入り込んだマルウェアの動作を検知することが困難です。そこで、最近注目されているのがNDRです。
本記事の内容は、2023年9月に行った講演を基にしています。現時点でのセキュリティ脅威の動向をすべて反映しているわけではありませんので、ご了承ください。 |
目次 |
NDRとは
NDR(Network Detection and Response)とは、社内ネットワークの通信状態について、異常を検知し、対応するセキュリティ対策です。具体的には、通信状況に関する複数のログをリアルタイムで収集し、平時と異なる動きを検知すると通知します。詳しくは「NDRとは?ゼロトラスト実現に有効なセキュリティ対策のメリット・注意点を解説」でも解説していますので、合わせてご覧ください。
EDRとの違い
NDRとEDRは、それぞれネットワークとエンドポイントの不正な通信や異常な動作を検知して、インシデントに対応することができるソリューションです。NDRとEDRは、それぞれ異なる対象や目的、機能、導入方法、検知方法などを持っていますが、NDR製品とEDR製品との違いについて、サイバーキルチェーンの観点から説明します。
サイバーキルチェーンの各フェーズにおける違い
NDRの検知範囲 | EDRの検知範囲 | |
---|---|---|
1.偵察 攻撃者はターゲットの情報を収集 |
||
2.武器化 攻撃用のマルウェアを作成または調達 |
||
3.配送 ターゲットへ攻撃メールを送信(不審な添付ファイル、URL) |
〇 |
|
4.攻撃 受信者がメールを開封しクリックすることで攻撃コードが実行 |
〇 | |
5.インストール 受信者の端末にマルウェアがインストール |
〇 | 〇 |
6.遠隔制御 インストールされたマルウェアを攻撃者が遠隔操作 |
〇 | 〇 |
7.目的達成 攻撃者の目的(データ入手、改ざん、削除、金銭)達成 |
〇 | 〇 |
サイバーキルチェーンの観点からみるNDR製品とEDR製品との違い
「1.偵察」、「2.武器化」のフェーズでは、まだ攻撃者が準備をしている段階のため、NDRでもEDRでも検知できる状況ではありません。実際に攻撃が始まるのは、「3.配送」からです。メールなどに攻撃サイトへ誘導するURLが記載していたり、攻撃を開始するためのファイルを添付するといったフェーズです。NDRはこのメールのやり取りで検知できる可能性があります。注意点として、添付ファイルがパスワード付きのファイルで圧縮された場合などは、検知することが難しいケースも考えられます。
次に、「4.攻撃」では、実際に侵入した悪意のあるファイルなどが攻撃用のコードを実行します。例えば、マルウェアダウンロード用の実行ファイルを実施したり、悪意のあるファイルを複製するという動作を行います。ここは侵入した悪意のあるファイルがエンドポイント内(端末内)で行う動作のため、NDRの検知範囲ではありませんがEDRの検知範囲です。
「5.インストール」では、実際のマルウェアをインストールする段階です。外部のC&Cサーバーなどにアクセスし、改ざんを行うマルウェアをダウンロードし、インストールを行います。ここではマルウェアをダウンロードするために外部と通信を行い、その後端末内でマルウェアのインストールを実施します。そのため、外部と通信を行う際に通信情報からNDRでの検知、端末の不正動作でEDRの検知、マルウェアのインストール時にはEDRで検知が可能です。ただし、「4.攻撃」フェーズでマルウェアが内部で作成された場合、外部からマルウェアのダウンロードを行わないため、NDRでの検知は難しいかもしれません。
そして「6.遠隔操作」では、インストールしたマルウェアを遠隔操作して目的の情報を見つけたり、次回の攻撃用にバックドアを押し込んだり、他の端末への感染を実施します。外部の攻撃者の端末へ通信を行う場合、NDRで検知できるでしょう。エンドポイントに不審な動作が発生するため、EDRでも検知可能です。
最後は「7.目標達成」のフェーズで、ここでは攻撃者の目的であるデータを盗む、改ざんする、破壊するなどを実施します。この段階では、外部へデータを送る動作をするなど、端末外に影響する作業を行うことにより、NDRで検知することが可能です。また、端末の不審な動作が発生するため、EDRとしても検知可能です。
目的・導入方法・機能などにおける違い
NDRとEDRは、対象や目的、機能、導入方法、検知方法などさまざまな違いがあります。以下の表に、NDRとEDRの違いについてまとめました。
NDR | EDR | |
---|---|---|
対象 |
ネットワーク ※機器が収集している通信情報 |
エンドポイント(端末) ※ソフトウェアの導入が前提 |
目的 |
ネットワーク内部の脅威や異常の早期検出 |
エンドポイント内部の脅威や異常の早期検出 |
機能 |
ネットワークの異常検出、通知対応、通信ログの調査 |
エンドポイントの異常検出、通知対応、端末ログの調査 |
導入に必要なツールや設定 |
ネットワーク機器(スイッチ)のパケットミラーリングポート |
エンドポイントへ専用エージェントソフトウェアの導入 |
異常の検出方法 |
機械学習、データ分析 |
機械学習、ヒューリスティック、シグネチャーベース |
NDRは、ネットワークに流れる通信情報を収集・分析して、不正な通信を検知・通知します。ネットワーク機器のパケットミラーリングポートにセンサー機器を接続して、収集したデータをSaaS環境などに送付することで、NDRの機能を実現します。
EDRは、エンドポイントに導入したエージェントソフトウェアが、不正なファイルやプログラムを検知・通知します。エンドポイント(端末)に専用のエージェントソフトウェアを導入して、収集したデータを管理サーバーやSaaS環境などに送付することで、EDRの機能を実現します。
NDRとEDRどちらを導入すべきか
NDRとEDRのそれぞれの違いやメリットについて説明しましたが、導入する場合はどちらを選ぶべきでしょうか。理想としては、検知できる範囲が重複していないので、可能であれば両方導入すればさらにセキュリティリスクの削減が期待できます。しかし、コストや時間の制約から、両方を導入するというのは難しいでしょう。そこで、どちらを優先するのかという問題がありますが、率直に言えば、運用できる方を優先するべきだと思います。これは、セキュリティ製品の機能を最大限に発揮するためにも、自社またはもちろんアウトソーシングも含めて運用およびインシデント対応が可能な方を選ぶことをお勧めします。
理由としては、NDRおよびEDRにかかわらずセキュリティ製品を導入するだけでは最大限の効果が期待できません。日常的に運用を行い、インシデントが発生した場合には、原因や影響範囲を調査して対策を実行する必要があります。例えば、マルウェアがどこから侵入したのか、どんな情報が流出したのかなどを解析して、その対応をするのがディテクション・アンド・レスポンスの役割だと考えているからです。
また、NDRとEDRは攻撃にさらされることを前提とした製品なので、導入しておしまいというものでもありません。そのため、運用が重視されます。よって、NDRを導入するなら通信ログを分析できる運用者がいること、EDRを導入するなら端末の動作ログを分析できる運用者がいることが非常に重要です。この点は、外部のベンダーにアウトソーシングする場合も同じです。特にアウトソーシングの場合はサービスのレベルや対応の範囲についてきちんと確認しておく必要があるでしょう。
NDRとEDRは、それぞれ異なる観点からセキュリティ対策を行えますが、NDRとEDRを連携させることで、より効果的なセキュリティ対策が可能になります。次の章では、NDRとEDRの連携のメリットについて説明します。
NDRとEDRの連携のメリット
NDRとEDRを連携させることで、どのようなメリットがあるのでしょうか?NDRとEDRの連携のメリットは、大きく分けて二つあります。
1.ログの集約による分析
一つ目は、ログを一括して管理できることです。エンドポイントおよびネットワークの情報を組み合わせて分析できるので、より詳細な調査が可能です。例えば、NDRで不正な通信を検知した場合、その通信がどのエンドポイントから発生したのか、そのエンドポイントにどのようなファイルやプログラムが存在するのか、そのファイルやプログラムがどのような動作を行っているのかなどを、EDRのログと照らし合わせて調査できます。
同様に、EDRで不正なファイルやプログラムを検知した場合、そのファイルやプログラムがどのような通信を行っているのか、その通信がどのサーバーとやり取りしているのか、そのサーバーがどのような役割を持っているのかなどを、NDRのログと照らし合わせて調査できます。このことは、ディテクション・アンド・レスポンス製品の重要な機能であるインシデントの原因究明や対策の実行などのプロセスにおいて、大きな助けになります。
2.デバイスへの対応を自動化
製品間で連携できることが前提にはなりますが、EDR製品が制御しているデバイスに対して自動的にアクションを実行できるようになります。例えば、NDRで不正な通信を検知した場合、その通信が発生しているエンドポイントを特定し、EDR製品に指示して、そのエンドポイントをネットワークから隔離できます。この連携の利点としては、インシデント発生時に迅速に行う必要がある対象端末のネットワーク分離などを自動化できることです。また、EDR製品で実行できる他のアクションも対応可能であることも利点の一つです。
NDR製品の一例
パロアルトネットワーク社製品のPAシリーズ(STRATA)は次世代ファイアウォール製品ですが、NDRのセンサーとしても活用できます。社内スイッチのミラーポートに接続して通信情報をそこから取得し、取得したデータをSaaS環境上の別製品Cortex XDRのデータレイク(データベース)へ送付します。既にPAシリーズまたはCortex XDR製品を導入している企業には特におすすめしたい構成です。
まとめ
NDRとEDRの違いや連携のメリットについて、具体的な例を交えて解説しました。自社にとってどちらを導入すべきかぜひご検討ください。
JBサービス株式会社では、NDR製品のルールメンテナンス、端末の隔離の実施やレポート対応などをご支援します。NDR製品やEDR製品の導入や運用会社をお探しであれば、お気軽にJBサービス株式会社までご相談ください。