企業・組織を脅かすサイバー攻撃は巧妙化を続けています。
ランサムウェアやなりすましメール、フィッシング、新種のマルウェアの登場など、枚挙に暇がありません。
こうした脅威に対し、情報セキュリティ対策においてもこれまでの境界型セキュリティの考え方から、ゼロトラストの考え方が主流になってきました。
ゼロトラストを実現するセキュリティ対策の一つが、NDRです。ネットワーク上の監視を行う対策ですが、ファイアウォールやIDS、IPSなどのセキュリティ対策とはどのような違いがあるのでしょうか。
本記事では、NDRについて、仕組みや誕生の背景、メリット・デメリットなどを紹介します。企業や組織のネットワーク対策の見直しにご活用いただければ幸いです。
また、企業の情報セキュリティご担当者様必見、LRMでは、企業・組織に必須な情報セキュリティポリシーの策定・運用ポイントをサンプル付きでまとめた資料を無料で配布しています。ぜひご活用ください。
NDRとは
NDRとは、Network Detection and Responseを略したもので、セキュリティ対策製品のカテゴリの一つです。
2020年ごろにガートナー社によって提唱された仕組みで、ネットワークトラフィックデータに動作の分析を適用し、異常なシステム動作を検出するというものです。
NDRはネットワークを常時監視し、異常を即時に検知(Detection)して、対応(Response)します。特に外部からの侵入だけを監視するのではなく、企業や組織のネットワーク内の通信も監視して、マルウェアなどによる不正な通信を検知できることが特徴の一つです。
従来のネットワークセキュリティ製品との違い
企業・組織のネットワークにおけるサイバー攻撃対策としては、これまでは、ファイアウォールやIDS、IPSが一般的かと思います。
これらの対策は企業や組織のネットワークを外部と内部に分け、その境界において侵入を防ぐ境界型防御です。
しかし、近年のサイバー攻撃ではすべての攻撃を境界で防げるとは限らないことや、一般のアプリケーションに紛れて感染後もすぐには発症させず被害を最大化するマルウェアの流行などが課題となっています。「すでに境界を超えて攻撃が行われているかもしれない、マルウェアへも感染しているかもしれない」と考えた上で、ネットワークの常時監視により、被害の拡大を防ぐ対策となるのがNDRです。
NDRは、ゼロトラストの考え方をネットワークセキュリティの面で実現するプロダクトといえます。
NDRが誕生した背景
NDRが誕生した背景として、サイバー攻撃の激化、多様化、ネットワーク環境の変化により、従来の境界型のセキュリティではサイバー攻撃から情報資産を守り切れなくなったことがあります。
国立研究開発法人情報通信研究機構(NICT)の観測レポートによると、2020~2022年の各年では、5,000億を超えるサイバー攻撃関連パケットが観測されています。2013年は約128億パケットであったため、この10年程度でとんでもなく増加していることがわかります。
また、サイバー攻撃の多様化も大きな問題です。手口やターゲットが多様化され、中小企業や官公庁、医療機関までが狙われています。
情報の漏えいだけでなくデータを暗号化して盾に取り身代金を要求するランサムウェアは、近年では大きな脅威として認識されるようになった手口の一つであり、今後も新しい手口が生まれることは想像に難くありません。
さらには、リモートワークやクラウドサービスの普及により、ネットワーク環境が大きく変化しました。業務においては社内や組織内のネットワークから接続することが従来の方式でしたが、リモートワークではどこのネットワークからでもVPN等を利用して接続することが求められます。
また、クラウドサービスはネットワークに接続できる環境があれば利用できますが、従来の境界型の考え方では外部にあたるエリアに位置するものでセキュリティの確保が考慮されていませんでした。
そこで、これらの背景から、従来の境界型セキュリティではなくゼロトラストに沿ったセキュリティが必要とされるようになっています。
NDRもゼロトラストを実現するセキュリティ対策の一つです。ネットワーク接続におけるゼロトラストのセキュリティ対策として、NDRは誕生しました。
ゼロトラストを実現するセキュリティ対策には、他にもEDR(Endpoint Detection and Response)などがあり、これらを組み合わせたXDRと呼ばれる製品も存在します。ゼロトラストの実現には、NDRも含め複数のセキュリティ対策を組み合わせ、広範で多角的なセキュリティを構築する必要があるのです。
ゼロトラストとは
改めて確認すると、従来の境界型セキュリティはネットワーク内に侵入させないことに重点を置いたセキュリティの考え方です。
しかし、未対応の脆弱性を突いたゼロデイ攻撃や通常のアプリケーションを装って感染し、感染拡大後に発症するマルウェアなどの登場により、境界型セキュリティですべてを防ぐことは事実上不可能という考えが広まりました。
ゼロトラストとは、サイバー攻撃の激化、多様化、巧妙化などに対し、すべてを境界で防ぐことは難しく、既にネットワークへのアクセスやマルウェアへの感染があるかもしれないという「何も信頼しない」ことを前提とするセキュリティに対する考え方です。
ゼロトラストではトラスト(信頼)がゼロという名前の通り、組織や企業のネットワーク内であってもすべての通信、アクセスを「信頼」しません。
ゼロトラストの対象は、ユーザー、デバイス、ネットワーク、アプリケーション、データなどとされています。ネットワーク面でのゼロトラストを実現する仕組みがNDRという位置づけです。
NDRの仕組み
NDRは主にデータ収集・検知・分析・対応の4つの機能で構成されています。
データ収集
NDRは特定範囲のネットワーク通信状況を収集、整理します。一般的には、ネットワークスイッチのポートから通信パケットを収集しており、継続的にデータの収集と蓄積を行っています。
検知
収集したデータから異常な通信を検知し、その際には管理者への通知を行います。異常な通信の検知では普段とは異なる通信先やデータを「異常な通信」として検知します。普段とは異なるというチェックの仕方は、蓄積されたデータをもとにAIを活用して検知する場合も多くあります。未知のサイバー攻撃も異常な通信として検知できることが特徴の一つです。
分析
収集、蓄積したデータを活用し、異常な通信の発生元や傾向などを分析する機能も重要です。AIなどを用いて攻撃の発生元を特定したり、攻撃の傾向を見出すことで以降のセキュリティ対策の強化に役立てることができます。
対応
NDRでは、分析結果に基づいてセキュリティ対策の実施をする機能もあります。ただし、こちらについてはすべて自動で対処できるというものではなく、攻撃を特定していて対処を設定したものが対象となります。新たな攻撃に対しては、セキュリティ担当者が通知を受けて対処します。
NDRのメリット
NDRをネットワークのセキュリティ対策として採用することには、既存のセキュリティ対策と比較して下記のメリットがあげられます。
激しさを増すサイバー攻撃に対し、迅速な対応が可能
NDRでは、普段とは異なる通信を異常として検知することができます。これにより、ネットワーク内でのマルウェアなどの動作を検知し、被害が拡大する前に対処することが可能です。
境界でのセキュリティ対策はすり抜けられてしまったとしても、被害を未然に防ぐことにつながります。
情報の漏えい、流出やランサムウェアによる脅迫、システムの破壊などは行われてしまってからでは対処は遅く、マルウェアに感染したとしても広がり切る前に検知、対処することで被害が防げます。
現状のセキュリティ対策の分析、強化に役立つ
NDRでは、ネットワークでの通信、アクセスのログを収集し、蓄積していきます。継続的に収集し、分析することで、攻撃元や狙われている情報、頻度などが明確化でき、セキュリティ上の課題の抽出、強化にもつながります。
負荷なく導入が可能
NDRには、ハードウェア、ソフトウェアの両方の形式が存在しています。いずれも既存のネットワークに接続して利用することができ、監視対象へのエージェントのインストールなどは不要です。大きなネットワークの変更などを伴わず、導入がかんたんである点もメリットの一つにあげられます。
NDRの注意点
NDRを導入する上で、注意しておきたいポイントを紹介します。
運用負荷
NDRでは、異常の検知と対応を行います。
対応については、既知の攻撃で簡易なものは設定しておくことも可能ですが、すべての攻撃に対して対処を定めておくことは難しいです。NDRの導入により24時間の監視が行われた場合には、いつでも新たな脅威が検知される可能性がでてきます。対処するNDRの運用者、セキュリティ管理者の負荷が高まることが懸念されるため、体制を整えて導入することが重要です。
製品により対応プロトコルが異なる
NDRは様々なベンダーから提供されており、監視対象として対応しているプロトコルはそれぞれ異なります。監視対象としたいプロトコルをカバーしていることが、製品の選定基準の一つです。対象のプロトコルが漏れていれば、検知はできないためです。
まとめ
NDRとは、ゼロトラストの考えに基づき、ネットワークにおけるすべての情報資産へのアクセス、通信をチェックするセキュリティ対策の一つです。
従来の境界型のセキュリティ対策では被害が広まってしまうような攻撃にも、迅速に検知、対応することで被害の拡大を防止することができます。ネットワーク上の通信やアクセスログを収集・蓄積しているため、現状のセキュリティ対策の分析や強化にも役立ちます。
