従来のセキュリティ対策では、サイバー攻撃者の内部ネットワークの潜伏状況を把握することが困難であり、攻撃者の最終目的が容易に達成されて被害を拡大させてしまう要因となっている。
そこで注目を集めているのが「NDR(Network Detection and Response:ネットワークにおける検知と対応)」というソリューションである。ガートナーでもSOC(セキュリティオペレーションセンター)においてはEDR、SIEM、NDRの3つの組み合わせが重要であるとしている。以下、NDRについて紹介する。
「NDR」とは何か
従来のファイアウォールやIPS、またログやエージェントを利用した対策ではIT環境の30%程度しか可視化できていない。さらに、サイバー攻撃の対象となるアタックサーフェスも拡大している。しかも、高度なサイバー攻撃者の72%は侵入後にログの改ざんや削除を行い、自身の活動の痕跡を隠ぺいする。以前よりは改善されてはいるものの、企業が侵入されたことに気づくまでに約56日(中央値)かかっているのが現状だ。
そうした中、「NDR(Network Detection and Response:ネットワークにおける検知と対応)」の注目度が高まっている。NDRとは、ネットワークを包括的に可視化し、脅威や不審な振る舞いを検知し、即座に対応することで被害の発生を未然に防ぐことが可能となる新しい分野のソリューションだ。「EDR(Endpoint Detection and Response:エンドポイントにおける検知と対応)」のネットワーク版といえるが、その対象はオンプレミスやクラウド、さらにIoTデバイスなど広範囲に及ぶ。
NDRは検知ロジックとして機械学習を利用しているため、誤検知・過検知を抑制し、さらに検知したイベントに対して調査に必要となる情報を即座に提供することで解決にかかる時間を大幅に短縮できる。また、既存のセキュリティツールとAPI経由で自動連携することにより、NDRで検知したイベントに対して、遮断や隔離といったアクションを実行することが可能となる。
NDRは、ガートナーが2015年に発表した「Gartner Security Operations Center(SOC)Visibility Triad(SOC可視化トライアド)」に必要とされる要素の1つとされている。SOC可視化トライアドは、「ネットワーク上に潜伏し活動する攻撃者に、目標達成までに掛かる時間を十分に与えることを阻止することで、最終的な目的達成を防ぐ概念」である。
EDRは端末の感染検知や端末のフォレンジックにおいて、またSIEMは既存システムのログを相関分析しセキュリティ運用に役立てるという意味で有効なツールとなる。しかし、これらのツールではネットワークの東西トラフィックを可視化し、攻撃者の潜伏状況をリアルタイムに把握することができない。ここにNDRを加えることでトライアドが完成し、複雑なIT環境全体を可視化し異常を検知できるようになる。
NDR導入のメリット
NDRを導入するメリットとしては、主に3点が挙げられる。1点目は「導入の容易さ」である。コアスイッチのミラーポートからネットワーク・トラフィックをワイヤデータとして取得して解析するため、デバイスなどにエージェントをインストールする手間がかからない。また、本番環境への影響も一切与えず導入が可能である。このワイヤデータは攻撃者によって削除や改ざんが不可能なリアルタイム性に優れたデータとして注目を集めている。
2点目は「運用の容易さ」である。IPSなどのシグネチャに頼るセキュリティ製品では、企業の独自の環境や運用に合わせてチューニングを行う必要がある。NDRでは、機械学習により企業の環境を自動的に学習するため、チューニング作業などが必要ない。また、機械学習を利用しているため、誤検知・過検知が少ないのも特長だ。
3点目は「リスクポイントの把握」である。NDRを導入することで、現状のネットワークの利用状況を常に監視し、ネットワークを健全な状態に保つことが可能となる。また、リスクポイントを調査して監視することで、放置しておくと将来にサイバーリスクとなるようなポイントを洗い出す、サイバーハイジーンの観点での利用も可能となっている。
SOCにも有効な情報源となるNDR
企業において、さまざまなセキュリティ機器やサービスを運用して脅威を検知して対処する役目はSOCが担っている。NDRはSOCの運用の点でも大きな導入効果がある。
前述のトライアドの観点から、EDRとNDRによる検知をSIEMで相関分析することで、本当に重要なアラートを見極め、最小限の手間でより迅速な対応を実現できる。
さらにNDRは、インテリジェントな自動的かつ信頼性の高いレスポンス作業を可能にするため、企業が抱えるセキュリティアナリストの人員不足といった問題も同時に解決できる可能性が高い。
サードパーティのソリューションとも連携できるNDRであれば、エコシステムの形成によって、不正通信の遮断、感染端末の隔離など、セキュリティ運用の自動化・オーケストレーションを促進することが可能となり、SOCは少ない手間で企業のセキュリティレベルを大きく向上できる。
また、中にはSOCだけでなくNOC(ネットワークオペレーションセンター)にも有効なNDRソリューションもあり、ネットワークのパフォーマンス監視やアプリケーションの性能監視、障害時のトラブルシューティングにも活用できる。これらが、NDRが注目を集めている要因である。次回は、NDRの導入事例を紹介する。
著者プロフィール
ExtraHop Networks(エクストラホップ・ネットワークス)カントリーマネージャー
福山 貴也(ふくやま たかや)
サイバーセキュリティ業界において15 年以上にわたり、大手の日系企業に対するセキュリティソリューションの啓蒙・営業活動に従事する。直近ではファイア・アイ株式会社とメンロー・セキュリティ株式会社の日本事業の立ち上げ、およびエンタープライズ営業本部、金融営業本部の上級職を歴任。2020 年4 月、ExtraHop Networksの日本進出にともない、日本ビジネスの総責任者としてExtraHop Networks Japan の立ち上げ、および日本国内のパートナービジネスの強化に従事。大手企業へのNDR ソリューションの啓発活動など、日本における事業全般の成長戦略を担う。