ネットワーク検知とレスポンス（NDR）とは？

ネットワーク検知とレスポンス（NDR）は、ネットワーク・トラフィックの分析を通じて悪意のあるアクティビティを検知する、サイバーセキュリティの一分野です。 エンドポイント検知とレスポンス（EDR） と同様、 NDRセキュリティ・ソリューション は悪意のあるアクティビティを防止するわけではありません。そうではなく、これらのソリューションの目的は進行中の攻撃活動を、損害が生じる前に阻止することにあります。NDRはEDRと異なり、エージェントを利用して悪意のあるアクティビティに対する洞察を得るわけではありません。その代わりに、ネットワークや仮想タップを利用して、オンプレミスおよびクラウドのワークロード全体のトラフィックを分析します。GartnerとIDCによると、NDRは2020年のセキュリティ市場において2番目に成長速度の高いセグメントであり、年平均成長率（CAGR）は25%となっています。NDRソリューションはネットワーク・トラフィックを分析し、East-Westの通信経路と呼ばれることもある境界内部の悪意のあるアクティビティを検知して、インテリジェントな脅威検知、調査、対応を支援します。帯域外のネットワーク・ミラー・ポートや仮想タップを利用して、NDRソリューションはネットワーク通信をパッシブにキャプチャし、行動分析や 機械学習 といった高度な技法を適用して、既知と未知両方の攻撃パターンを特定します。また、こうしたデータは侵害後のアクティビティに関するリアルタイム調査や、フォレンジック的なインシデント調査を実行するために利用できます。すべてのNDRソリューションがネットワーク・トラフィックを復号するわけではありませんが、特に高度なソリューションはセキュアな復号化機能を提供し、暗号化トラフィックに隠れている脅威の特定を手助けします。

脅威がますます巧妙化 SUNBURST攻撃 の規模や巧妙さについてニュースで詳しく伝えられるようになった頃、多くのグローバル・セキュリティ・チームは頭の痛い現実に直面しました。国家の支援を受けているとはいえ、脅威が非常に多くの組織の監視網をかいくぐり、検知されないまま長期間にわたり居残ることができたのはなぜでしょうか？ これは境界防御、エンドポイント検知、アンチウイルスといった、セキュリティ・リーダーらが利用する大部分のツールを回避した攻撃について示した図です。SUNBURST攻撃はルールベースやシグネチャベースの検知手法の欠陥を浮き彫りにし、ログ記録やエージェントベースのアプローチによって残されたセキュリティ上の死角を明らかにしました。

レポートを読む：SUNBURSTによるソフトウェア・サプライチェーン攻撃の調査で分かった教訓

しかし、SUNBURSTのように巧妙な サプライチェーン攻撃 でさえも、NDRが悪意のあるアクティビティに対して浴びせる、ネットワークを利用した「スポットライト」から隠れることはできません。### サイバー犯罪が増加中 SolarWindsキャンペーンが実行されたことから、今日のエンタープライズITセキュリティ・リーダーたちは国家主導の脅威に対する懸念を深めています。しかし、金銭的な動機に基づくサイバー犯罪は、依然としてことさら恐ろしい脅威です。年間1.5兆 ドル以上の規模に相当するといわれる地下経済に支えられ、サイバー犯罪者は自らの望むツールやノウハウを入手しています。サイバー犯罪者の活動と国家の支援を受けた工作員との間にある境界線は、曖昧になっています。最近のランサムウェア・キャンペーンの一部では、 リモート・デスクトップ・プロトコル（RDP） エンドポイントの侵害、資格情報の窃取、 横方向の移動 、正当なWindowsツールの悪用といった、 APT方式のツール や戦術を利用して、自らの活動を隠すケースが増えています。攻撃者はそうした技法を利用してランサムウェアを展開したり、金銭を確実に脅し取るために用いるデータを窃取したりします。### 攻撃対象領域が拡大中 最新のIT環境の特性により、サイバー防御は非常に困難になっています。クラウド・アプリケーション、ユビキタスなモバイル・デバイスへの扉を開いたBYOD（Bring Your Own Device）ポリシー、サードパーティ・サービス、IoTデバイスの登場により、ネットワーク境界という従来の概念は消滅しました。特に問題となるのが、最後に挙げたIoTデバイスです。それは、メーカーの更新が遅い場合があり、エンドポイント・セキュリティの適用が難しいためです。2019年の調査によると、 リスク専門家の84%は 、自身の組織が今後2年のうちにIoT侵害の被害を受けると確信しています。5Gネットワークの稼働開始によって新たなリスクや脆弱性を伴うエンタープライズIoTデバイスの新時代が到来し、監視・保護しなければならないトラフィックが劇的に増加すると考えられ、 IoTセキュリティ の課題は間違いなく急増することが予想されます。

関連資料：ネットワーク検知とレスポンス――クラウド・セキュリティのミッシング・リンク

クラウド、モバイル、IoTを取り入れるデジタル・トランスフォーメーションの取り組みによって、企業の攻撃対象領域は広がり、しかもセキュリティ・チームが疑わしいトラフィックに対する可視性を獲得することは難しくなっています。構成ミスの見落としから クラウド・フォレンジック という特有の課題に至るまで、クラウドはとりわけ分かりづらいことが多い領域です。クラウド・プロバイダとクラウド顧客の間の責任共有に関する議論において、 Gartnerは2025年までのクラウドのセキュリティー障害の99%が顧客側の落ち度から発生すると主張しています 。こうした問題を一層難しくするのが、「あらゆる場所での暗号化」に向けた流れです。今日のトラフィックは大部分が暗号化されており、そうしたトラフィックの検査が難しくなっていることは、さまざまな資料によって示唆されています。敵対者は（中国による米国人事管理局へのハッキング のケースのように）、悪意のあるアクティビティを暗号化されたトラフィックの中に隠すことで、境界を横断したり、ネットワーク内で横方向に移動したりできます。約91%の組織は、暗号化とクラウドの導入によってセキュリティの可視性を失うことに 懸念を抱いています 。

Dark Readingより：IT運用とサイバーセキュリティ運用の現状

こうしたことはすべて、保護しなければならない新たなリモート・エンドポイントの急増の原因となった、今後もずっと続く可能性のある、労働力自体の大幅なシフトの最中に起きています。在宅ワーカーは、デバイスやネットワークを他者と共有し、フィッシング攻撃にさらされやすい環境に身を置くなど、オフィスでは考えられないような 新たなリスクをオンラインで負っており 、組織は当然のことながらそれについて懸念を抱いています。また脅威アクターがRDPサーバやVPNインフラへの攻撃を強めた一方で、多くのITチームはパンデミックの只中での 対応を優先 しようと苦慮していました。

NDRは ネットワーク・トラフィック分析 （NTA）から発展したものです。NTAとは、脅威の検知・調査のための主なデータ・ソースとしてネットワーク通信を利用するセキュリティ製品のカテゴリです。時が経つにつれ、ネットワークを利用したセキュリティ分析で実現できることは検知と調査にとどまらないことが明らかになってきました。ネットワーク・セキュリティ・ツールにより、脅威を検知できるだけでなく、自信を持って迅速に対応できるようにもなるのです。NDRのカテゴリは、ネットワークをセキュリティの主要なデータ・ソースとして利用するという、より広範の、あらゆる領域にわたるポテンシャルを秘めています。NDR製品はNTAを使用しますが、その上に重要なレイヤを追加します。例えば、調査や脅威ハンティングのための時系列メタデータのほか、ファイアウォール、EDR、NAC、SOARプラットフォームとのインテリジェントな統合を通じた自動的な脅威対応などです。### 従来型ツールの落とし穴 レガシーなIDSをはじめとするシグネチャベースのツールも、マルウェアが今より単純でほとんどの脅威を境界で阻止できていた時代には適していたかもしれません。しかし、現在は状況も変わり、攻撃者は正当な資格情報や承認済みのサービスを使用して、ますます巧みに姿を隠すようになっています。行動検知を使用し、シグネチャベースの検知も組み入れることで、NDRは密かに仕掛けられた攻撃を見つけ出すと同時に、これまで 侵入検知システム がカバーしてきたユースケースにも対応することができます。さらに、SUNBURSTなどの高度な脅威のように、エンドポイント検知とレスポンス（EDR）エージェントは巧妙なサイバー攻撃者によって完全に回避されることがあります。またSIEMのようなログベースのツールもオフにされたり、データが改変もしくは破壊されたりする場合があります。コスト面の理由から、そうしたツールには効果的な検知、対応、フォレンジックに必要とされる広範なカバレッジや詳細な時系列情報が欠落していることもあります。### NDRのメリット NDRソリューションは迅速な調査、内部の可視性、インテリジェントなレスポンス、そしてオンプレミス、クラウド、ハイブリッド環境における強力な脅威検知といった機能を備えています。ネットワーク・レイヤでの攻撃検知は、脅威アクターが自身のアクティビティを隠すのが極めて難しくなるため、優れた効果を発揮します。攻撃者はエンドポイントやログ・データのスイッチオフまたは回避は可能であっても、ネットワーク情報を改ざんすることはできず、自身が監視されているかどうかは知る由もありません。ネットワーク上で通信しているデバイスは、どれもすぐに検出することができます。さらに、攻撃者は正当なユーザやサービスを装いシグネチャベースの検知を回避することで、ファイアウォールや従来型のIDSを欺けるかもしれませんが、NDRを回避することはできません。なぜなら、攻撃者がネットワーク上の特定の重要なアクティビティを避けることはほとんど不可能であっても、NDRはそれを検知できるためです。NDRは機械学習テクノロジを利用してルールベースの検知を強化し、ネットワーク上のエンティティの行動をモデル化して、既知の攻撃技法と類似したものをすべてコンテキストによって特定します。そのため、正当と思われるプロセスであっても、異常に見える場合にはフラグが付けられる可能性があります。しかし、すべての機械学習システムが同じように作られているわけではありません。クラウドのスピードとスケーラビリティを活用して機械学習モデルを実行するシステムは、制限のあるローカルの演算リソースを使用するシステムに対して優位性を持つことになるでしょう。

EDRやSIEMと併せてNDRを導入することで、組織はGartnerの SOCの可視性の3本柱 を達成できます。 しかし、それは実際どのような効果があるのでしょうか？企業とIT部門では、以下のようなメリットを得られます。* リスクにさらされる度合いを低減 。また、深刻なデータ侵害や、ランサムウェアによるサービス停止に伴う経済面および風評面の被害を軽減 * プレッシャーにさらされているSOCチームを 最適化された脅威検知とレスポンス で支援 * 脅威検知、レスポンス、フォレンジックに向けた単一のワークフローでITの効率性を向上 * コンプライアンスのギャップを解消 * オンプレミス、クラウド、ハイブリッド環境で機能する単一の強力な検知およびレスポンス・ツールで予算を節約 * エンドポイント・セキュリティがインストールされていないIoTデバイスに対する脅威を監視 * セキュアな基盤上に構築できるという確信の基に デジタル・トランスフォーメーション ・プロジェクトを支援