docomo business | NTT Communications

【マンガ付きコラム】
NDR、EDRは侵入を前提としたセキュリティ

昨今、新たなセキュリティソリューションとして注目されつつあるのがNDRです。NDRとはどのようなものか、EDRとの連携や検討したいソリューションについても解説します。

“侵入を前提とした”防御でセキュリティ強化を図るNDR、EDRとは:昨今、新たなセキュリティソリューションとして注目されつつあるのがNDRです。NDRとはどのようなものか、EDRとの連携や検討したいソリューションについても解説します。
サイバー攻撃対策しっかりやってるか?はい!もちろんウイルス対策ソフトは常時稼働させています!そうか!問題は起きてないようだな!はい!ですが部長サイバー攻撃も年々巧妙化しているようですし単純にソフトだけで防ぎきれるのでしょうか?そうだな…確かにウイルス対策ソフトは既知のウイルスには力を発揮してくれるが未知のものに対する対策としては不十分だな。ではどうしたら…その点に関しては全社を挙げて対策を進めている!本当ですか?
まずは大前提として現在ウイルスの侵入を100%防ぐことは不可能であることを認識したうえで侵入してきたウイルスや不正アクセスをいち早く検知して食い止めるという方策が大切だ。でもさきほど未知のウイルスに対しては対策ソフトでは防ぎきれないと…そう!だから近年はNDRとEDRという対策が重要になってきているし我が社でもそこに力を注いでいる。NDRとEDRですか?NDRとはネットワークトラフィックを分析して以上な通信を検知するシステムのことだ。なるほど通常とは違う通信量やアクセスがあった場合サイバー攻撃が疑われるということですね!その通り!
一方のEDRは各社員のPCつまりエンドポイントでの不審な挙動を検知するシステムだ。エージェントと呼ばれるソフトが常時君たちのPCを監視しているわけだ。そっか…常にみられているわけですね…残念ながら機密情報の流出に内部の人間関わった例も多数ある。会社としてそこに関してしっかり目配りしていく必要ある。サイバー攻撃への対策も多様性というか柔軟性が求められますよね。そうだな現在はネットワークという面、エンドポイントという点の両方から対策するという方向性かな。でもそれには優秀な人材が必要ですよね。あと運用面でも課題が…
そこだ…セキュリティに関する高度な専門知識のある人材…さらに24時間365日の運用…サイバー部長としてもそこが一番の悩みどころなんだがそういう対策や運用を引き受けてくれるソリューションも出てきているから外部への委託も含めて今後も検討を重ねていくつもりだ!さすがサイバー部長!任せて安心ですね!おう!しかしセキュリティで一番重要なのは社員一人ひとりの情報に対する意識だからな会社の情報を守っているのは君自身なんだ!頼むぞ!はい!
続きを読む

“侵入を前提とした”防御とは

サイバー攻撃の多くは、攻撃対象となる組織の内部にあるコンピューターにマルウェアを感染させることから始まる。攻撃者は感染に成功したマルウェアを外部から操り、内部のシステムへ不正アクセスして機密資料の窃取を謀るといった流れだ。また昨今では、PCやファイルサーバーに保存されたファイルを暗号化し、元の状態に戻す代わりに金銭を要求するランサムウェアの被害も相次いでいる。

こうしたサイバー攻撃を防ぐには、マルウェアの迅速な検知がポイントになる。そのために使われているのがウイルス対策ソフトだが、新種のマルウェアやオリジナルのマルウェアを改変した亜種が矢継ぎ早に生み出されているため、ウイルス対策ソフトのマルウェア検知率は低下しているのが現状である。ちなみに、JPCERTコーディネーションセンター(JPCERT/CC)は、2020年7月に発表した「インシデント報告対応レポート」において、マルウェアサイトの件数は、2020年2月以降下降線をたどっている。

画像:図6 マルウェアサイト件数の推移

引用元:JPCERT/CC インシデント報告対応レポート[2020年4月1日~2020年6月30日] [PDF p.7]

もちろん、セキュリティ対策ソリューションは、ウイルス対策ソフト以外にも数多く提供されている。代表例として、ファイアウォールやIDS/IPS、プロキシー、あるいは未知のマルウェアの検知を行うサンドボックスなどが挙げられる。ただしサイバー攻撃の手法は日々高度化しており、さらに従業員による内部不正も考えられる状況では、サイバー攻撃を100%防ぐことは事実上不可能だと言える。

このような背景から昨今広まっているのが、侵入されることを前提としつつ、侵入をいち早く検知し対処することで被害を最小化するという考え方である。これを実現するためのプロダクトとして注目されているのが「NDR」(Network Detection and Response)や「EDR」(Endpoint Detection and Response)といったソリューションである。

NDRはネットワーク、EDRはエンドポイントを監視

NDRはネットワークトラフィックを収集し、それを分析することによって攻撃を検知するソリューションである。とはいえ企業のネットワークを流れるトラフィックは膨大であり、それを人手で分析することは現実的に不可能だ。そこで利用されるのがAIである。

具体的には、収集したトラフィックをAIで分析し、普段とは異なる“異常な通信”を検知するという仕組みである。異常な通信としては、組織内に侵入したマルウェアから外部システムに向けたビーコン通信や、ランサムウェアがファイルを暗号化する際のファイルサーバーに対する異常な数のトラフィックなどが挙げられる。これをAIで検知することができれば、攻撃の阻止や被害の最小化に向けたアクションを素早く実行できる。

一方、EDRはネットワークではなくエンドポイント、つまりクライアントPCの監視を行うためのソリューションだ。クライアントPCにインストールされたエージェントと呼ばれるソフトウェアが常時監視し、マルウェアによるシステムの操作など不審な挙動を検知すれば管理者に通知を行い、迅速な対処を促す。

NDRとEDRを組み合わせれば、面(ネットワーク)と点(クライアントPC)の双方で監視を行うことが可能になり、外部からのマルウェアの侵入や、すでに侵入したマルウェアの活動を迅速に検知することが可能になる。進化し続けるサイバー攻撃を防ぐ手立てとして、このNDRとEDRが新たなセキュリティ対策の1つとして浸透する可能性は高いだろう。

運用が鍵を握るこれからのNDR、EDR

NDRやEDRは有用なセキュリティソリューションだが、一方で課題となるのは運用である。ネットワーク、あるいはクライアントPCで何らかの異常が発生し、それをNDRやEDRが検知しても、実際に何が起こっているのかを適切に判断し、対処を行うのはあくまで人間である。つまりNDRやEDRを使ってセキュリティレベルを高めるためには、運用までを視野に入れて環境を整える必要がある。

この運用体制において課題となってくるのが、言うまでもなく人材不足である。特にNDRやEDRの運用においては、通知された内容を読み解けるだけのスキルが求められるうえ、分析や対応計画の検討といったインシデントハンドリングも行わなければならない。またサイバー攻撃はいつ行われるかわからないため、24時間365日、いつでも対応できる体制を整えておきたい。しかし、社内の人材でこれに対応するのは難しいというのが多くの企業の実情ではないだろうか。

ちなみに、NDRに近いソリューションとしては、ファイアウォールやIDS/IPS、プロキシーなどから出力されるログやデータを組み合わせて相関分析を行い、インシデントを検知するSIEM(Security Information and Event Management)がある。ただし、SIEMは専門家による分析が基本となるため導入の敷居が高いという印象があるだろう。

そこで検討したいのがマネージドセキュリティサービスである。これはセキュリティに特化した運用管理サービスであり、セキュリティ機器から発せられたアラートの調査やインシデントハンドリングなどをアウトソースできる。

たとえばNTT ComがX Managed®のメニューの1つとして提供している「トータルマネージドセキュリティ」では、24時間365日体制でセキュリティオペレーターがインシデントハンドリングを行い、セキュリティインシデントの未然防止および解決を図る。こうしたマネージドソリューションを利用すれば、自社で人材を確保することが困難なケースでもNDRおよびEDRを活用できる。とりわけ、NDRとして既存のセキュリティ環境へも容易に導入が可能なAIアノマリー検知ソリューションは、注目のソリューションと言える。

これからNDRやEDRを導入するのであれば、こうしたソリューションの活用まで視野に入れて検討を行うべきだろう。

コラム一覧へ

関連サービス資料

このページのトップへ