サイバー攻撃者とそれを守る側の攻防は現在、「攻撃者優位」とされている。攻撃者は狙いを定めた企業にさまざまな角度から複数の攻撃を仕掛け、一度でも成功すれば良いが、守る側は全ての攻撃に対応して確実に防御しなければ成功とはならないためだ。
このためポイントごとの対策が増えることになり、総括的な対策は難しくなっている。特に、企業のIT環境は約3割しか可視化できていないという。
これを100%に引き上げ、隠れた攻撃をあぶり出し、内部不正も明らかにするのが「NDR(Network Detection and Response:ネットワークにおける検知と対応)」である(前編はこちら)。
「セキュリティトライアド」を完成させるNDRの特徴
増加するサイバー攻撃はコロナ禍によって加速し、リモートワークへの移行やIoT機器の増加による「アタックサーフェス」の拡大も相まって大きな被害が発生している。
一方、従来のファイアウォールや不正侵入防止システム(IPS)などのログやエージェントで検知するセキュリティ対策では、企業のIT環境の30%しか可視化できない。しかも、企業の内部で活動するサイバー攻撃では、ログの削除や改竄、エージェントの停止などの隠蔽工作を行うため、企業が侵入されたことに気付くまでに約56日かかっているのが現状だ。
そこで注目を集めているのが「NDR(Network Detection and Response:ネットワークにおける検知と対応)」である。NDRは企業のネットワークの状況をすべて可視化するもので、ログやエージェントを使用せず、ネットワーク上のパケット(ワイヤーデータ)を使用する。このためデータが改竄や削除される心配がなく、クラウドを含む企業ネットワークの状況をリアルタイムに可視化することができる。
NDRが収集するワイヤーデータ
※クリックすると拡大画像が見られます
NDRはその特徴から、企業ネットワークの性能の状況も監視できるものも存在する。いわゆるNPM(Network Performance Monitor)と呼ばれる領域のものだ。またアプリケーションの性能監視も可視化できるので、例えばネットワーク障害のトラブルシューティングにも活用できる。つまり、ネットワーク監視センター(Network Operation Center:NOC)でも利用することができる。
セキュリティ対策の面では、クラウドやリモート接続を含む企業のネットワークを可視化し、リアルタイムでの脅威検知を可能にする。また、ルールベースと振る舞いベースを組み合わせた検知により、企業のネットワーク内に潜む脅威も特定できる。ウイルス対策ソフトや次世代アンチウイルス製品(Next Generation Anti Virus:NGAV)さえもすり抜ける脅威を検知することができる。
NDRにはまた、3つの導入メリットが考えられる。
一つは「導入の容易さ」である。コアスイッチのミラーポートからワイヤーデータを取得するため、デバイスなどにエージェントをインストールする手間がなく、包括的なネットワーク内のアクティビティを即座に可視化できる。本番環境に影響を与えないことも特徴だ。
