NDRとは、ネットワークの異常をリアルタイムで検知し、迅速に対応できるシステムです。社内ネットワークのセキュリティ向上に高い効果があり、近年注目を集めています。
今回は、NDRの概要やメリット・選ぶ際のポイントなどを解説します。ゼロトラストを実現したいとお考えの企業様はぜひご参考にしてください。
NDRとは
NDR(Network Detection and Response)とは、社内ネットワークの通信状態(トラフィック)について、異常を検知(Detection)し、対応(Response)するセキュリティ対策です。
ここでは、NDRの特徴や必要性をご紹介します。
NDRはゼロトラストを実現できるソリューション
NDRは、近年重要視されるゼロトラストの実現に有用です。
ゼロトラストとは、「あらゆるネットワークやデバイスにセキュリティリスクがあることを前提に対策を行う」という考え方です。ゼロトラストを実現するためには、エンドポイントのみでなく、ネットワークやシステム全体に対策を行う必要があります。
そのため、マルウェアの侵入を前提にネットワーク全体の安全性を高めるNDRは、ゼロトラスト実現の有効な手段といえるのです。
NDRが必要とされる背景
NDRが必要とされる背景として、サイバー攻撃などの脅威の巧妙化が挙げられます。
日々、新しい攻撃手法が生み出され、見破ることが難しい侵入経路が増えている昨今、従来のセキュリティソフトだけでは対応が難しいこともあります。
社内ネットワークに侵入された場合にも早期対応し被害を最小限に抑えられるNDRは、巧妙化している攻撃からシステムを守る上で欠かせません。
NDRの主要な機能
NDRの主要な機能は、可視化・検知・分析・対応の4つです。
- ネットワークの通信状況をリアルアイムで可視化
- 異常を検知、通知
- AIで脅威を分析
- 必要な対応を実施
NDRでは、通信状況に関する複数のログをリアルタイムで収集し、平時と異なる動きを検知すると通知します。さらに、AIでどのような脅威なのかを分析し、最適な対処を行い阻止することも可能です。
NDRとEDR・SIEMの関係性
NDRと関係の深いシステムとして、EDRとSIEMが挙げられます。最適なシステムを導入するためにも、それぞれがどのような機能を有し、NDRとどのような関係性にあるのかを把握しておきましょう。
EDRとは
EDR(Endpoint Detective and Response)とは、ネットワークの終着点(Endpoint)であるPCやサーバーなどについて異常を検知(Detection)し、対応(Response)するセキュリティ対策のことです。
具体的には、通信内容や挙動を監視し、不審な動きを見つけ次第遮断します。
お役立ちコラム
下記のコラムでは、各種端末をセキュリティ事故から守る「エンドポイントセキュリティ」の1つである「EDR」とはどんなものなのか、「EPP」との違いは何なのかなどを解説します。
「エンドポイント対策で注目されるEDRとは何か?EPPとの違いとは?」を読むNDR・EDRを組み合わせたXDRが効果大
NDRとEDRは、組み合わせて運用することでシステム全体をカバーできるため、セキュリティを飛躍的に向上させることができます。
NDRはネットワーク、EDRはエンドポイントに特化した仕組みであるため、単体で運用してもシステム全体を可視化できず、十分な効果を発揮しづらいでしょう。
なお、最初からNDRとEDRの機能をあわせ持つシステムとして、XDR(Extended Detection and Response)もあります。
SIEMとは
SIEM(Security Information and Event Management)とは、複数機器のログを収集・分析し、脅威を発見するセキュリティ対策のことです。
SIEMを導入すると、ログを単体で確認するよりも分析の精度が上がり、速やかに脅威を発見することに期待できます。
NDRとSIEMの関係性とは
NDRとSIEMの2者は、補完関係にあります。両方を同時に運用することで、セキュリティ対策の効率化が可能です。SIEMが、NDRの集めたログに他のログを組み合わせることで、精度の高い分析結果を導き出せるようになります。
運用負荷やコストなどの問題から一度に両方を導入することが難しい場合には、NDRのほうを優先的に導入することをおすすめします。これは、NDRの分析AIが、利用するごとに成長していくためです。NDRの分析機能が成長した段階でSIEMの導入をすると良いでしょう。
NDR導入のメリット・注意点
NDRの導入には、次のようなメリット・注意点があります。
NDR導入のメリット・注意点
メリット
- サイバー攻撃の被害を最小限に抑えられる
- 現在のシステムのセキュリティ上の弱点が分かる
注意点
- 運用負担が大きくなりがち
それぞれの項目について、順番に解説します。
NDR導入のメリット
サイバー攻撃の巧妙化により、サイバー攻撃を受けることを完全に防ぐのは難しいため、近年は被害を予防することとあわせて、被害を受けた際に迅速に対処することが重要視されています。
NDRを導入すると、ネットワーク内にマルウェアなどの侵入を許してしまった際に迅速な対処が可能です。そのため、サイバー攻撃の被害を最小限に抑えられます。
また、通信状況のログを収集し分析することで、いずれ攻撃の対象になり得るシステムのセキュリティ上の弱点を突き止めることも可能です。
このように、NDRには攻撃の事後対応だけでなく、予防の面からもメリットがあります。
NDR導入の注意点
NDR導入時に注意したいのが、運用負担が大きくなりがちである点です。
NDRは24時間体制で監視し異常を通知してくれますが、異常から脅威を読み解き、最終的な対処を決めるのは運用担当者です。
運用負担を軽減するためには、XDRの導入や運用のアウトソーシングなどを検討する必要があるでしょう。
NDR選定時の2つのポイント
NDRの恩恵を最大化するために、押さえるべきポイントが2つあります。
- 対応プロトコルの多いものを選ぶ
- 運用しやすさを重視する
どのような点がポイントとなるのか、もう少し詳しく見ていきましょう。
対応プロトコルの多いものを選ぶ
NDRを選ぶ際は、対応するプロトコルの多い製品を選びましょう。プロトコルとは、通信の規格のことです。
攻撃者は、従来のセキュリティ製品が対応していないプロトコルを狙い撃ちする傾向にあります。対応プロトコルの少ない製品を選ぶと、異常の検知漏れが起きやすくなるでしょう。
対応するプロトコルは、NDR製品によって異なります。可能な限り、多くのプロトコルに対応した製品を選び、サイバー攻撃被害を可能な限り抑制しましょう。
運用しやすさを重視する
NDRは、導入後の運用のしやすさまで視野に入れて選ぶ必要があります。
NDRは、導入するだけでなく、適切に監視することが重要だからです。24時間監視し、通知された内容を読み解き、適切に分析や対応計画を検討するといった運用によって、セキュリティが飛躍的に向上します。
ダッシュボードが使いやすい・収集できるデータが豊富・分析能力が優れているなど、自社にとって運用しやすい機能が充実している製品を選びましょう。
まとめ
NDRとは、ネットワークの異常を検知し迅速に対処することで、セキュリティを高められるシステムです。近年の巧妙化するサイバー攻撃から社内のシステムを守るには、NDRは欠かせません。この機会に、EDRやSIEMとあわせて導入を検討することをおすすめします。
NDRの導入・運用などでお困りであれば、JBサービス株式会社までご相談ください。
