ブログ

catch-img

侵入を前提としたセキュリティ対策NDRの必要性 ~従来の境界型防御の課題とは~

<目次>

目次[非表示]

  1. 1.近年のサイバー空間における脅威について
  2. 2.従来の対策例とその課題
  3. 3.NDR(Network Detection and Response)とは
    1. 3.1.NDRの必要性
  4. 4.NDRとEDR、SIEMとの比較
    1. 4.1.NDRとEDRの関係性について
    2. 4.2.NDRとSIEMソリューションとの違い
  5. 5.おわりに

近年のサイバー空間における脅威について

近年のサイバー攻撃は急速な勢いで増殖し続け、高度化且つ巧妙化しています。
警察庁によると令和3年中のサイバー犯罪の検挙件数が12,209件と過去最多を記録し、ランサムウェアによる被害が拡大するとともに、不正アクセスによる情報流出やサイバー攻撃事案への国家レベルの関与も明らかになるなど、サイバー空間をめぐる脅威は深刻な情勢が続いています。

また同庁により公表されている企業・団体等におけるランサムウェア被害の件数は、年々増加しており、2022年上半期は、2020年下半期と比べて5倍以上にもなっています。


(出典)警察庁「令和4年上半期におけるサイバー空間をめぐる脅威の情勢等について」を基に当社が編集https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf

サイバー犯罪やランサムウェア被害は年々増加し、多くの日本企業が導入している境界型防御だけでは日々進化する攻撃者達に対応できず、深刻なインシデントも急増しています。

従来の対策例とその課題

境界型防御は攻撃者を内部に侵入させないというコンセプトですが、巧妙化したサイバー攻撃により侵入された場合、内部で何が行われているか可視化することができません。
デバイスへ侵入された脅威の検知・対処が可能なEDRでも、導入できないエンドポイントがあることや、アラート件数が多く運用が煩雑になっているケースも見られます。

従来の対策では限界を迎えつつあり、以下のようなソリューションで脅威を早期に発見する体制が必要になります。
・脅威を初期段階で検知し、内部で行われているイベントを可視化できる
・ネットワーク全体を俯瞰し、対策すべき脅威の優先順位付けができる

これらの課題を解決するためにはNDR(Network Detection and Response)が有効です。

NDR(Network Detection and Response)とは

NDR(Network Detection and Response)はEDR(Endpoint Detection and Response)の次のセキュリティ対策として、昨今注目を集めています。
社内ネットワークの境界に置くゲートウェイ型、PCやサーバに直接インストールするエンドポイント型とは違い、途中のネットワークでパケットをキャプチャーし、脅威を発見するソリューションとなります。
ネットワーク全体の動きを監視しているため、既に侵入、潜伏している攻撃者に目標を達成するための時間を与えず、早期の検知を行い、対策することが可能です。

NDRの必要性

これまでのセキュリティ投資は侵入されないようにファイアウォールやIPSなどの境界防御に集中しており、内部ネットワークで何が行われているか把握ができていませんでした。
この内部活動(潜伏脅威)の期間中に目的遂行のために情報の搾取を行っており、インシデントが起きてからのログ調査では対応が間に合いません。
そのためNDRを活用して侵入後の早期検知と対策が重要になります。

NDRとEDR、SIEMとの比較

NDRとEDRの関係性について

NDRとEDRは、導入の容易性、カバー領域、検知、調査、フォレンジックなどからフォーカスしているポイントが異なります。比較するものではなく、相互に補完する事で大きな効果を発揮します。

NDRの脅威検知をトリガーにして、EDRで詳細調査がベストプラクティスになります。

NDRとSIEMソリューションとの違い

NDRに近しいソリューションとして、FWやIDS/IPS、Proxy製品などの各ノードから出力されるログを突き合わせてSIEMで相関分析を実施し、インシデントを検知する方法があります。SIEMとの違いには以下のようなものが挙げられます。

・NDRはネットワークをキャプチャーして、自身で通常通信を学習し通常ではないものを異常通信として脅威検知する

・AI(機械学習・ディープラーニング)を使って異常判定(脅威検出)を行う

・AIは通信の特長(IPアドレス、プロトコル、アプリケーション、コンテンツ、書き込み量、ログイン量、データ転送量等)を学習し不審な振る舞いを異常検出する

※FWやIDS/IPSのアラートはシグネチャにマッチした情報が主となり、SIEMで分析できるものはアラートとして取り込めるもののみ。
※一方NDRは通信のログや特徴を分析する(つまり特定のアラートが対象ではない。)

SIEMを活用してNDRのような動きを実現するためには閾値の設定やメンテナンスを行う必要がありますが、難易度も高く工数も多く発生します。NDRであれば通常と異なる振舞いを自動で検知しアラートを発するため、効率的にネットワーク内部の脅威を検出することが可能です。

おわりに

サイバーセキュリティ対策は脅威が侵入されないよう未然に防ぐことが第一ですが、ネットワークへ侵入されてしまった後も異常な挙動を追い続け、迅速に対処することが鍵となります。脅威に対し、いつ・どこから・どのように侵入したかを可視化することができるNDR製品の導入をぜひご検討ください。

当社が取り扱っているNDR製品のVectra AIは下記のようなアプローチでサイバー攻撃の課題に対応します。

・デバイスに依存しない高い網羅性を誇る
 -エージェントは不要であり、ミラーパケットがあれば導入可能。
 -Brainと複数のSensorを組み合わせることでネットワーク全体を俯瞰できる。

・リアルタイムな脅威検知により一連の流れを俯瞰的に確認                                        
 -機械学習によるリアルタイムな脅威検知を行う。
 -脅威はフェーズを追うごとにスコアリングを更新。脅威度が時間推移と共に変化。

・脅威となるホストを特定することが可能
 -検知された脅威は自動的にホストに紐付けられる
 -対象のホストが、現在どのレベルの脅威にさらされているかが一目でわかる

詳細はこちらからご確認ください!

CONTACT

ITインフラに関してお悩みの方は
お気軽にご相談ください

ご不明な点はお気軽に
お問い合わせください。
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。

人気記事ランキング

タグ一覧