NDRのダッシュボードの例
※クリックすると拡大画像が見られます
NDRが効果を発揮した事例
NDRは、すでに導入している組織も多く、導入事例を公開しているベンダーも多い。こうした事例を確認することは、NDRをより理解することに役立つとともに、製品選びにも有効となる。ここでは、従来のセキュリティ対策では難しかった、IoT機器へのセキュリティ対策と、内部不正対策にNDRを活用した事例を紹介する。
IoT機器へのセキュリティ対策の事例では、NDRによってIoT機器を乗っ取ろうとする攻撃を防御している。一時期話題になった「Ripple20」の脆弱性を突いたIoT機器への攻撃である。Ripple20とは、IoT機器に存在する脆弱性群のことで、イスラエルのセキュリティ企業が公開したもの。
脆弱性群は、米企業Treckが1990年代後半に提供したソフトウェアに存在していた。このソフトウェアはIoT機器にインターネット接続機能を提供するもので、プリンターやルーターからエアコンまで、広範な製品に搭載されている。
脆弱性群には、遠隔から任意のコードを実行できる脆弱性、つまり外部からインターネット経由で脆弱性を悪用し、最終的にはIoT機器を乗っ取ることができる脆弱性も含まれている。これによりサイバー攻撃者は、IoT機器を踏み台にして企業のネットワークに侵入したり、IoT機器を誤作動させることなどが可能になる。
この企業が導入したNDRは、ICMPを利用したRipple20に関連するスキャン(偵察行為)を検知した。サイバー攻撃者はスキャンによって同社のIoT機器にRipple20の脆弱性が存在することを把握し、約45分後に同機器へ攻撃コードを送信、乗っ取りを試行した。NDRは機械学習によりこの動作を怪しい挙動としてリアルタイムに検知した。
ある金融機関では、NDRにより内部不正によるデータ持ち出しを防御している。同社の契約社員は、データベースから1.4GBにも及ぶ大量の機密データを抽出したが、NDRは、これを機械学習によって通常の利用から逸脱する大量のデータ抽出として検知した。
こうした振る舞いを検知してアラートを発出する製品は多いが、検知した際に分析できるデータをあわせて表示できる製品は少ない。NDRの中でもこうした機能を持つ製品であれば、迅速に調査できる。
NDRは「誤検知の少なさ」「運用の容易さ」「導入の容易さ」が特徴であるが、これに加えて「ハイブリッド環境への対応」「ヘルス・チェック(サイバーハイジーン)」「ネットワーク障害の調査・トラブルシューティング」といった機能を持つことも、NDRを選ぶ際の有効なポイントとなる。
- 福山貴也(ふくやま・たかや)
- ExtraHop Networks Japan カントリーマネージャー
- サイバーセキュリティ業界で15年以上にわたり、大手の日系企業に対するセキュリティ対策の啓蒙、営業活動に従事する。直近ではファイア・アイとメンロー・セキュリティの日本事業の立ち上げ、エンタープライズ営業本部、金融営業本部の上級職を歴任
- 2020年4月、ExtraHop Networksの日本進出にともない、日本ビジネスの総責任者としてExtraHop Networks Japan の立ち上げ、日本国内のパートナービジネスの強化に従事。大手企業へのNDRの啓発活動など、日本での事業全般の成長戦略を担う
