二つ目は「運用の容易さ」である。IPSなどは脅威の検知にシグネチャを使用するため、企業の環境や運用、あるいは最新の脅威に対応してチューニングする必要がある。チューニングは定期的に必要であり、
しかも専門知識が求められるため、その工数は少なくない。チューニングに不備があると、大量の誤検知が発生する可能性もある。NDRでは、機械学習により企業の環境を自動的に学習するため、チューニング作業などが一切必要なく、運用の手間がかからない。
三つ目は「リスクポイントの把握」である。NDRを導入することで、ネットワークの状況をリアルタイムに監視し、ネットワークを常に健全な状態に保つことが可能となる。
デバイスの設定不備などで起こる通信エラーの状況や脆弱な暗号スイートの利用などを放置していると、将来サイバー攻撃を受けた際に、攻撃者に利用され攻撃が拡大する恐れがある。そのため、こういったリスクポイントを把握し改善していくことは、企業内部のIT環境やエンドユーザーのPC、インターネットへの接続環境などを健全な状態に保つ「サイバーハイジーン」(cyber hygiene)の観点でも有効だ。
NDRを選ぶ際のポイント
NDRは複数のベンダーから提供されているが、どのような製品を選ぶべきなのか、そのポイントをいくつか紹介する。
まずは、ベンダーの出自である。出自が意外と製品に影響を与えるためだ。例えば、ゲートウェイ製品を得意分野としているベンダーと、ネットワーク製品を得意分野としているベンダーでは製品の特徴が異なる。ネットワーク製品を出自とするNDRは、対応プロトルの数が多い傾向にある。
ゲートウェイ製品では対応するプロトコルが限定されるため、それがNDR製品にも反映されるわけだ。現在の攻撃者は、従来のセキュリティ製品が対象外としていたプロトコルを使用するケースが増えているため、対応プロトルの数は重要なポイントとなる。
さらに、NDRを選ぶ上で重要となるポイントは検知後の調査、対応を行う際に必要となる情報の量である。脅威を検知したとしても、脅威に関する情報が少なければ、原因究明や影響範囲の特定など今後の対策を含めて適切に対応できない。そのため管理コンソールの使い勝手を含めて、検知した脅威に関連する詳細な情報に即座にアクセスできることが重要なポイントとなる。
また、既存テクノロジーとのエコシステムも重要である。例えば、NDRと連携が可能なファイアウォールであれば、NDRの検知に対してファイアウォールで該当する通信を自動ブロックすることが可能になる。
そのため、既存のセキュリティ製品と連携するアドオンプログラムが用意されているNDRであれば、容易に連携が可能になる。特にITコンサルティング会社の提唱するトライアドの要素であるEDRとSEIMの連携は重要だ。
また、攻撃者の行動をモデル化した「MITRE ATT&CKフレームワーク」に対応したNDRもあるので、こうした製品を選ぶことでセキュリティ運用に生かすこともできる。ダッシュボードの使い勝手はセキュリティ担当者の効率にも影響するので、確認しておきたいポイントだ。このほか、サポート体制などもしっかりと確認したい。
