ネットワークの検出と対応

ネットワークの検出と対応 (NDR) とは

NDRソリューションはネットワークを保護し、全体的なサイバーセキュリティ戦略の一環としてリスク軽減とコンプライアンスのメリットを提供できます。

• リスクの軽減: NDRは、機械学習、人工知能、行動分析を活用して、異常な通信パターンやデータ転送など、トラフィックパターンやネットワーク動作での異常を特定することによって、未知の脅威や新たな脅威を検出でき、シグネチャーベースの検出を補完します。
• 複雑な環境に対する堅牢な保護: 組織がクラウドに移行すると、NDRは、従来のツールだけではセキュリティを確保するのが難しくなることが多いクラウドおよびハイブリッドインフラストラクチャのトラフィックを監視することによって、可視性とセキュリティの維持に役立ちます。
• IoTおよびOTのセキュリティの強化: NDRは、従来のエンドポイントセキュリティでは効果がない可能性があるIoTおよび運用テクノロジー (OT) 環境のセキュリティ確保に不可欠です。そのようなデバイスにはセキュリティ制御が組み込まれていないことが多いため、ネットワークベースの監視が重要な防御線となります。
• 戦略的自動化: 調査と意思決定のサイクル中に手動のプロセスがあると、応答時間が遅くなる可能性があります。最適なNDRソリューションでは、検出、データ収集、保護に関する推奨が自動化されるため、運用の中断を回避しながら、人間が適切な決定を下すことができます。
• 応答時間の短縮: NDRによってネットワークイベントに関する重要なインサイトが提供されるため、セキュリティチームはインシデントをより迅速に調査して対応できるようになります。これにより、攻撃者がネットワークの奥深くまで侵入することや、機密データにアクセスすることを防ぐことができます。
• コンプライアンスの強化: GDPR、HIPAA、PCI DSSなどの多くの規制では、組織がネットワークトラフィックを監視して保護することが求められています。NDRは、詳細な監視、ログ記録、レポート機能を提供することで、これらの要件を満たすのに役立ちます。

• センサーとエージェント: センサーは、ネットワークを流れるトラフィックを監視およびキャプチャするパッシブデバイスであり、エンドポイントと直接やり取りすることなくトラフィックの脅威を分析します。エージェントは、個々のデバイスまたはエンドポイントにインストールされるアクティブなコンポーネントであり、特定のデバイスのアクティビティと動作をより深く把握できるようにします。センサーとエージェントはネットワークの至る所に配置され、トラフィックデータをリアルタイムでキャプチャして分析します。センサーはトラフィックパターンを監視することで、脅威である可能性を示唆する疑わしいアクティビティを検出するのに役立ちます。
• ネットワークテレメトリ: ネットワークのパフォーマンス、健全性、動作を監視するために収集して分析されるデータは、テレメトリと呼ばれます。ネットワークテレメトリの要素には、宛先IP、ポート、プロトコル、アプリケーションのトラフィック、クライアント情報、SSID、セッション情報、場所、ロール、ユーザーIDなどがあります。
• 脅威インテリジェンス: NDRシステムは、マルウェアのシグネチャーや、サイバー犯罪のアクティビティに結び付けられているIPアドレスなどの外部データを使用することによって、既知の脅威をより効果的に検出できます。
• 行動分析: 高度なNDRシステムは、既知の脅威や攻撃のシグネチャーを探すだけでなく異常な行動パターンも監視する行動分析を使用して、脅威を識別できます。たとえば、デバイスが突然見慣れないIPアドレスとの通信を開始した場合や、大量のデータを転送した場合は、疑わしいものとしてフラグが付けられる可能性があります。
• AIとML: AIと機械学習により、時間の経過とともに検出機能と対応機能が向上します。このシステムは、監視しているトラフィックとネットワーク環境から学習し、疑わしいアクティビティをより正確に識別し、適切な対応を推奨できるようになります。

NDRソリューションごとに特徴が異なるため、NDRソリューションを評価する際に以下の点を検討する必要があります。

• NDRソリューションでAIとMLを利用して検出と対応が強化されているかどうか。サイバーセキュリティの脅威は絶えず進化しており、シグネチャー検出などの既知のパターンのみに依存するNDR手法では対応が遅れて、組織が脆弱になる可能性があります。AIベースのアプローチにより、NDRソリューションは組織の環境と他の環境の両方から学習できるため、新しい種類の脅威や新たに出現した脅威の検出に役立ちます。AIは、対応の推奨事項やより正確な影響評価を提供することによって、セキュリティチームが攻撃をより迅速かつ効果的に防御できるように支援するために使用することもできます。
• AIが堅牢なデータによって裏付けられているかどうか。AIの良し悪しは、その背後にあるデータ次第であるため、NDRソリューションで使用されるAIとMLの手法が、多様性、量、速度に優れたデータによって裏付けられていることを確認します。
• NDRソリューションが他のソリューションとうまく統合されるかどうか。サイバーセキュリティは孤立した島ではなく、エコシステムとして考えるのが最適です。NDRソリューションからの脅威情報とアラートは、他のシステムに容易に配布して利用し、保護措置を講じることができるため、組織が強力なセキュリティポスチャと包括的な防御を実現することに役立ちます。