NDRとは？EDRとの違いや対応範囲の理解と補強ソリューションの解説

NDRはネットワーク全体を監視し、脅威の検出や分析、隔離対応をするためのセキュリティソリューションです。NDRはEDRと比較されますが、違いは対象範囲にあります。NDRはネットワーク全体が監視対象となる一方で、EDRはエンドポイント端末が対象範囲です。NDRは広範囲のネットワークセキュリティ監視に利用できますが、EDRやさらに高精度の検出ソリューションと組み合わせれば、より強固なセキュリティ環境が実現します。
本記事ではNDRができることとできないことを中心に解説し、できないことを補強するソリューションも紹介します。NDRの特徴を踏まえ、自社のセキュリティ強化に向けてNDR導入の検討材料としてください。

1. NDRとは

NDR（Network Detection and Response）は、ネットワーク上の異常なトラフィックや行動を検知し、リアルタイムで対応するためのセキュリティソリューションです。

NDRの概要を確認し、よく比較されるEDRやXDRとの違いを確認しておきましょう。

NDRの概要

NDRは従来の境界型ネットワークセキュリティとは異なり、ゼロトラストの概念を導入しています。ゼロトラストの概念を導入すると、未知の脅威や内部不正にも対応できるネットワーク環境の実現が可能です。またサイバー攻撃が高度化する中、脅威の検出にはAIを用いるなど最新の技術が導入されている製品も多くあります。

EDRとの違い

EDR(Endpoint Detection and Response)とNDRの主な違いは、監視対象の範囲です。

NDRはネットワーク全体を監視し、ネットワークトラフィックを分析して、異常な通信の検知、対応が対象範囲です。一方で、EDRはエンドポイント（PCやサーバー）の挙動を監視し、エンドポイント上でのマルウェアや不正行動の検知、対応が対象範囲です。

監視対象が異なるので、NDRとEDRを両方、導入することで、補完し合えるメリットがあります。

XDRとの違い

NDRとXDR(Extended Detection and Response)の違いも一言でいえば監視対象の範囲です。

XDRはネットワーク、エンドポイント、クラウド、サーバーなど複数のデータソースを統合して脅威を検知・対応する包括的なソリューションです。NDRやEDRの監視範囲も含まれているので、XDRはNDRとEDRを統合したソリューションとして説明される場合もあります。実際にはNDRとEDRにCASB(Cloud Access Security Broker)やCSPM(Cloud Security Posture Management)などの機能が加わっているものもあります。

XDRはNDRでできることに加えて、幅広いセキュリティ対策ができるソリューションです。

2. NDRの機能

NDRの主な機能として以下があります。

• ネットワークトラフィックの可視化
• 異常検知後の迅速な対応
• 脅威分析

ネットワークトラフィックの可視化

NDRはネットワーク内を流れるすべてのトラフィックを可視化できます。

ネットワーク上では正常な通信だけでなく、不正通信や異常な通信が行われる可能性があるため、識別が必要です。NDRはトラフィックを監視してFromとToを明確にしつつ、通常のトラフィックパターンと比較して異常な振る舞いや脅威の特定が可能です。異常や脅威を検出した場合は、後述する対応や分析の機能が生かされて、今後の対策を検討できます。

トラフィックを可視化すれば、対応の遅延を防ぎやすいです。異常や脅威の検出時は対応が早いほど被害を最小限に抑えられるため、可視化は重要なポイントです。

異常検知後の迅速な対応

NDRはリアルタイムで異常検知をできるだけでなく、迅速な対応により、被害の防止や最小化が可能です。異常検知はAIを用いてリアルタイムで異常を検知し、ゼロデイ攻撃やパターン登録されていない未知の攻撃にも対応できます。

ファイアウォールによるブロックやネットワーク隔離などの自動応答により、被害の最小化を実現します。

脅威分析

NDRは検出された異常や脅威の分析を行う機能があります。

NDRに検出された通信が単なる異常なのか、あるいは攻撃の一環なのかを評価し、今後のセキュリティ対策につなげられます。例として「攻撃性があるのか」「IPアドレスが危険な送信元のものではないか」など、さまざまな観点から評価を行います。

またNDRには評価内容のレポート化や今後の対応に向けた判断基準として取り入れられる機能を持つ製品もあります。この機能があれば「既知の脅威」として扱い「同様の通信を検出した際の対応は自動的にブロックする」などのルール設定が可能です。

NDRの脅威分析の機能により、新たな攻撃のリスクにも対応しやすくなります。

3. NDR導入によるメリット

NDRを導入のメリットは以下のとおりです。

• ネットワーク管理のしやすさが向上する
• セキュリティの弱点を把握しやすい
• 脅威対応の効率化ができる

ネットワーク管理のしやすさが向上する

NDRを利用するとネットワーク上のトラフィックや通信が可視化され、ネットワーク管理の透明性が大幅に向上します。またリアルタイムの監視ができ、状況を一目で把握できるため、セキュリティチームの対応がスピードアップするでしょう。

例として送信元、送信先や通信プロトコルなどの基本情報をはじめ、付帯ファイルや認証情報などを記録できます。本来は大量のログが記録され、知見がない担当者が見ると苦手意識を覚えるものですが、NDRであればわかりやすい画面での可視化が可能です。

ネットワーク管理のしやすさが向上すると、結果的に原因の特定や対処が迅速になるため、セキュリティ強化を実現しやすくなります。

セキュリティの弱点を把握しやすい

NDRを利用するとセキュリティの弱点を把握しやすくなる点もメリットです。

NDRの機能により、セキュリティログ出力や、攻撃を受けやすい箇所の分析が可能です。また未知の攻撃や怪しい通信にもAIによる分析ができます。これらの機能を駆使し、セキュリティにおける弱点の把握が可能です。

弱点を把握すると、対策がしやすくなるためさらなるセキュリティ強化ができます。例として強化すべき箇所の優先順位を決める、対応すべき内容の明確化などすると、弱点の補強を実現しやすいです。

脅威対応の効率化ができる

NDRを活用すると、AIの活用による未知の脅威や攻撃に対応できる可能性が高いこともメリットです。

担当者は知見を元に怪しい通信を分析します。しかし、知見がなければ、分析が行き詰まってしまうでしょう。AIは幅広い情報源から得た知見でのセキュリティ分析が可能です。また影響度やリスクの分析が可能で、優先順位を決められるため、対応に集中できます。

NDRがないと、影響度やリスクの分析に時間を取られてしまい、対応が遅れる場合もしばしばあるでしょう。しかし、NDRがあれば、分析部分を効率化できるため、対応までの時間を短縮できます。もちろん対応のアドバイスや対応自体の自動化も可能なNDRであれば、対応部分の時間短縮も可能です。

4. NDRではできないこと

NDRはシステム全体のネットワークセキュリティにおいて幅広い機能を持ち、セキュリティ強化を実現できます。しかし、NDRでも対応できないことがあります。

• エンドポイントでの詳細な分析
• クラウド環境の設定分析
• 脅威の根絶

エンドポイントでの詳細な分析

NDRはエンドポイントデバイスについては情報取得が難しく、分析できません。

NDRはネットワークトラフィックを監視して、異常を検出します。しかし、エンドポイントデバイス（PCやサーバー）上での詳細な活動分析は管轄外です。例として、マルウェアがエンドポイント内部でどのように動作しているか、またファイルを改ざんしているかなどの内部的な挙動の検知はできません。

NDRではカバーできないエンドポイントデバイスは、たとえばEDR (Endpoint Detection and Response)など別ソリューションで備える必要があります。

クラウド環境の設定分析

NDRはクラウド環境の設定分析はできません。

クラウド環境の設定に問題があると、脆弱性として攻撃者から狙われるポイントになりえます。しかし、NDRは主にネットワーク内の通信を対応範囲としており、クラウド環境における設定ミスや権限の誤設定の検出は対象外です。例としてクラウドリソースの設定やアクセス権限、コンプライアンスに関する問題などは検出できません。

しかし、クラウド環境の設定不備は解消しておかないと、脆弱性として残り続けるため、解消のためにはCSPM (Cloud Security Posture Management)やCASB（Cloud Access Security Broker）など別ソリューションを用意すべきです。

脅威の根絶

NDRは脅威そのものを完全には根絶できません。

NDRは分析や一部の対応を自動化できますが、マルウェアの完全削除や、完全無欠なセキュリティ対策を築けません。例として、マルウェアがすでにシステム内に侵入している場合でも、マルウェア自体を除去する機能はありません。検出はできても、攻撃を防げない可能性が高いです。よってさまざまな脅威に対応するためにはNDRだけでは不十分といえます。

NDRではできないことを補強するソリューション

NDRはセキュリティ対策として有効なソリューションですが、できないこともあると解説しました。NDRができないことを補強するソリューションは以下のとおりです。

• EDR
• CSPM
• CASB
• SOAR

NDRと上記を組み合わせれば、より強固なシステムセキュリティを実現できます。

EDR

EDR（Endpoint Detection and Response）は、エンドポイントに特化したセキュリティツールです。

EDRを用いるとエンドポイントであるPCやサーバーの内で、脅威や異常な挙動を詳細に分析できます。EDRによりNDRでは対応できない「エンドポイントでの詳細な分析」の補強が可能です。

実際にEDRとNDRを組み合わせた機能を持つXDRも注目を集めています。

CSPM

CSPM（Cloud Security Posture Management）は、クラウド環境の設定やセキュリティポリシーに関する問題を検出するソリューションです。

CSPMはNDRが対応できない「クラウド環境の設定分析」の補強が可能です。クラウド環境における、クラウドリソースの誤設定やアクセス権限の問題、コンプライアンス違反などを自動的に監視し、リスクを軽減します。具体的にはファイアウォールが許可するIPアドレスやポートの設定などを確認可能です。

NDRとCSPMを組み合わせるとオンプレミスとクラウド(主にIaaS/PaaS)の両方でセキュリティ強化を実現する環境を整備できます。

CASB

CASB（Cloud Access Security Broker）はクラウドサービスの利用を監視し、セキュリティポリシーを適用するソリューションです。

CASBは主にクラウドアプリケーションへのアクセス制御やデータ保護に優れています、CASBを用いれば、NDRができない「クラウド環境の設定分析」の補強が可能です。クラウド上でのデータ漏えいや不正アクセスのリスクに対応し、クラウド環境におけるセキュリティを強化できます。

NDRとCASBを組み合わせると、社内システムと、SaaS利用時のセキュリティ強化が可能です。

SOAR

SOAR（Security Orchestration Automation and Response）は、セキュリティインシデントの対応を自動化・効率化するプラットフォームソリューションです。

SOARによりNDRでは対応できない「脅威の根絶」をサポートできます。SOARが検知した脅威に対して、EDRやファイアウォールなどのほかのセキュリティツールを統合して迅速に対応できるため、被害の最小化を実現しやすいです。

NDRとSOARを組み合わせると、検出した脅威の対処までスムーズになります。

まとめ

NDRはネットワーク全体のトラフィックを可視化、管理し、脅威の検出ができるセキュリティソリューションです。ゼロトラストの概念を取り入れており、外部からの既知の攻撃だけでなく、未知の攻撃や内部不正にも対応できます。NDRにはさまざまなメリットがある強力なソリューションですが、できないこともあるため、EDRやCASBなど別のソリューションと同時導入が望ましいです。