The Hacker Newsはこのほど、「Why Organisations Need Both EDR and NDR for Complete Network Protection」において、EDR(Endpoint Detection and Response:エンドポイントにおける検出と対応)およびNDR(Network Detection and Response:ネットワークにおける検出と対応)の必要性について伝えた。
昨今、企業・組織のセキュリティチームはスマートフォン、ラップトップ、モバイルデバイス、デスクトップなどによって生じるセキュリティリスクに対して被害が及ぶ前に対処する必要があり、EDRとNDRの導入を勧めている。
EDRは、エンドポイントをリアルタイムで可視化し、マルウェアやランサムウェアなどの脅威を検出する。エンドポイントを継続的に監視することで、セキュリティチームは悪意のある活動を発見して脅威を調査し、組織を保護するために適切な対応をとることができる。
しかしながら、EDRだけではエンドポイントの可視化しか行えないため、セキュリティの課題が残り、サイバー攻撃のリスクが高くなってしまうという。EDRでは解決しきれないリスクとして、以下が挙げられている。
- EDRソリューションを無効化するマルウェア
- 従業員やサードパーティユーザーによるBYOD (Bring Your Own Device)。
- モノのインターネット(IoT: Internet of Things)デバイスやレガシーデバイスなど、EDRでサポートできないデバイス
- 組織のネットワーク上にあるすべてのエンドポイントに対するEDRソリューションの保守および展開の負担
そこで、NDRを導入することで、上記のようなリスクを解消できるという。NDRの導入メリットとしては、以下が挙げられている。
- ログデータベースのNDRはネットワーク内の複数の異なるデータソースからデータを収集するため、マルウェアは検出を回避することができない
- NDRはシャドーIT(組織に承認されていないデバイスやネットワーク)を特定して監視できる。
- ファイアウォールおよびゲートウェイの誤設定を検知できる
- ネットワークベースのデータ収集の改ざん防止が、エンドポイントベースに比べて優れている。
- すべてのネットワーク接続とデータフローを完全に可視化することができる。
なお、EDRソリューションとNDRソリューションは補完的な関係にあり、検出能力を組み合わせることで、高度なサイバー攻撃から組織を効果的に保護することができるという