エンドポイント保護はサイバーセキュリティの基礎ですが、今日の拡大し続けるデジタル環境においては、エンドポイントは非常に多様なデバイスにまたがり、従来のエンドポイントセキュリティだけでは頻発するサイバー攻撃への対処は十分とは言えません。
クラウドの普及、リモートワーク、システムアクセスの拡大は、課題をさらに増幅させています。この変化する状況の中で、セキュリティ情報イベント管理 (SIEM) システムなどの追加ツールを使用してセキュリティ強化も行われますが、攻撃データの分析と経験を通して、さらに追加すべきサイバーセキュリティスタックが必要だと考えられるようになりました。それが、ネットワーク検出と対応 (Network Detection and Response、NDR) です。このブログでは、NDR が必要な4つの理由を説明します。
理由その1: NDR は、EDR と SIEM では見逃される部分を補充
サイバーセキュリティにおいて不可欠なツールである EDR (Endpoint Detection Response、エンドポイント検出と対応) と SIEM は、どちらにも制限があります。EDR は、個々のエンドポイントで不審なアクティビティを監視するのに優れています。EDR は多くの場合、個々のエンドポイントにインストールされたエージェントに依存し、最新のエージェントが展開されていないデバイスには盲点が存在する可能性があります。攻撃者がすでにネットワークにアクセスし、システム間を横方向に移動している場合、EDR はこのアクティビティを検出できません (横方向の移動によってエンドポイントが感染した場合は検出できます)。SIEM はログデータの収集と分析に優れていますが、ログを生成しない脅威、誤検知なども加わってログデータの量が膨大になり過ぎて見つけにくくなってしまう脅威なども存在します。
NDR は、ネットワークトラフィックパターンの異常を直接分析することで、EDR と SIEM では対処し切れない、見逃される部分を補充します。高度な分析と脅威インテリジェンスを使用して、脅威を紛れ込ませてしまう SIEM データのノイズをカットしてセキュリティ上の懸念を表面化し、直ちに調査できるようにします。何らかの理由でエンドポイントを通過してしまった場合の横方向の移動も監視できます。ビル警備の比喩がよく使われますが、EDR が建物の各ドアの警備員として機能し、SIEM が建物全体を監視する CCTV システムとして機能するのに対し、NDR は、ビル内を歩き回って、侵入者が部屋に侵入して危害を加えたり、何かを盗んだりする前に捕まえるインテリジェントなパトロールとして機能します。
EDR、NDR、SIEM は合わせて SOC 可視化トライアドを形成します。SOC 可視化トライアドは、Gartner が考案した説明的な概念であり、お互いを補い合うセキュリティツールを展開することで、ネットワーク、サーバー、エンドポイントに対して、それぞれ単独で実現できるよりも優れた全体的なセキュリティが提供されます。
理由その2: NDR はクラウドおよびハイブリッド環境の保護を支援
クラウドやハイブリッドインフラストラクチャが採用されることが多くなっていますが、従来のセキュリティソリューション、EDR と SIEM は複雑なクラウド管理に対応するのが難しい面を持っています。対照的に、NDR はエージェントなしで動作し、オンプレミス、クラウド、またはハイブリッドであっても、ネットワーク全体のより詳細なビューを提供します。この統合されたビューにより、発生源に関係なく、脅威をより適切に検出して対応できるようになります。セキュリティを監視しながら、クラウドのアジリティと拡張性を活用できます。
マルチクラウド導入はますます一般的になっており、複雑さの中にあっても脅威を見逃さないよう、どのような環境でも、使用中のネットワークを監視するソリューションが必要です。また、クラウドプラットフォームプロバイダーが提供するネイティブな監視ツールは、ネットワーク帯域幅とデータストレージのコストが原因で高価になる場合があり、複数の異なるクラウド環境を監視するコストも考慮するべきです。Flowmon NDR には、クラウドおよびデータセンター環境全体にわたって、異常で不審なネットワークトラフィックを監視するツールがあり、必要な可視性を失うことなくコストを削減できます。
理由その3: NDR は暗号化トラフィックに隠された脅威を検出
ディープパケットインスペクションを行って脅威を検出する従来のセキュリティソリューションにとって、暗号化の広範な使用は検出の妨げになる可能性があります。暗号化で隠蔽されてしまう悪意のあるアクティビティの検出には、暗号化トラフィックを分析できる NDR テクノロジーが役立ちます。
現代の攻撃者は、トラフィックの暗号化が自分たちの活動を偽装するのに役立つことを知っています。従来のソリューションでは、暗号化されたデータ内に何が隠されているかを確認できません。暗号化されたトラフィック内であっても、動作分析と異常検出を使用して疑わしいパターンを特定できる NDR にはこの制限はありません。上述のビル警備のたとえを使うなら、NDR は建物内を歩き回るだけでなく、ネットワークエンティティの内部を確認する X線ビジョンも備えているとも言えます。
理由その4: NDR はシグネチャベースでなく、ML を活用
シグネチャをベースとする従来のセキュリティソリューションは、受付通過を拒否すべき人物のリストを持った警備員のように機能します。既知の脅威は特定できても、新しい脅威や巧妙に偽装された脅威を検出することはできません。Flowmon のような NDR ソリューションは、高度な機械学習 (ML) とヒューリスティックアルゴリズムを用いて継続的に学習し、進化する脅威に適応します。
NDR は、プロアクティブなアプローチを採用することで、シグネチャが利用可能になる前に新たな脅威を特定できます。ゼロデイ攻撃や新種のマルウェアにも対応が可能となり、サイバー脅威に対する脆弱性を軽減することができます。
無料でダウンロードできるホワイトペーパー、『ネットワーク脅威の検出と対応によるサイバーセキュリティ』は、NDR について詳しく説明しています。
優れた NDR を提供する Flowmon ソリューション
Flowmon の NDR は、強化されたネットワーク可視性、AI を活用した脅威検出、および迅速な対応機能を提供します。Flowmon ソリューションは、既存のセキュリティインフラストラクチャとスムーズに統合でき、ネットワークとデータをより適切に保護できるようになります。
Flowmon NDR の主な利点は次の通りです。
- ネットワークの可観測性の向上: 複数のデバイス、アプリケーション、クラウド環境にわたるネットワークトラフィックの、より深い洞察を得ることができます。
- AI を活用した脅威検出: 機械学習を利用して、攻撃者が検出を回避しようとしたとしても、極力何らかの異常や不審な動作を検出します。
- 迅速な対応機能: 脅威を迅速に特定して隔離し、ビジネスへの影響を最小限に抑えます。
- 既存のセキュリティインフラストラクチャとの統合: EDR、SIEM、その他のセキュリティソリューションとシームレスに統合できます。
Flowmon NDR ソリューションを導入することで、プロアクティブに脅威を特定して対応できるようになり、全体的なサイバーセキュリティ体制が大幅に強化されます。Flowmon ソリューションは、今日のデジタル環境で進化する脅威に対する防御に役立つ、より優れた保護と可視性を提供します。
Flowmon 詳細については Flowmon プラットフォーム概要、Flowmon の NDR 機能を担う、ネットワーク異常検出システムの情報については Flowmon ADS を参照してください。Flowmon に関するご質問があれば、お問い合わせください。