標的型攻撃やバラまき型の攻撃といったサイバー攻撃が増えている。今や大手有名企業や政府系機関はもちろん、大手と取引のある中小企業なども踏み台にするために攻撃ターゲットとなっている。また攻撃に使われるマルウェアの種類は増加し続けており、攻撃手法も高度化している。高度化し増え続けるサイバー攻撃に対し、従来の境界型のセキュリティ対策製品やアンチウイルス・ソフトだけでは、もはや攻撃を防ぐことは難しい。
ネットワークを監視するNDRで網羅的に脅威を検知する
昨今のマルウェアなどは多様化しており、アンチウイルス・ソフトだけでは防げない。標的型攻撃も巧妙化しており、目的が達成されるまで執拗な攻撃が続く。また、新型コロナウイルス対策で急激テレワークが普及したことも、新たなリスクとなっている。
オフィス内のLAN環境であれば、ファイヤーウォールやプロキシ、サンドボックスといった境界防御で守られている。しかし、テレワークではファイヤーウォール等のない自宅からインターネットへアクセスすることとなる。また社内ネットワークへの接続を行う際は、VPN経由でアクセスすることになる。
「現状は、テレワークのためにVPNの環境を急ごしらえで準備しているケースも確認されます。VPN装置のバージョンが古いままな場合は、それが踏み台にされてしまう可能性もあります」と言うのは、マクニカネットワークス 第1技術統括部 第2技術部第1課 課長の井形 文彦氏だ。
取材はオンラインで実施した
ファイヤーウォールやプロキシ、サンドボックスといった境界防御は、もちろん重要だ。とはいえ、外部から侵入を試みる攻撃全てを検知・ブロックすることは現実的には難しい。
境界防御をすり抜けてきた脅威を検知し、迅速に対策を打てるようにしなければならない。そのためには「EDR(Endpoint Detection and Response)などの、侵入されることを前提とした対策は有効です」と井形氏。
ここ最近EDRなどを導入する組織も増えてはいるが、入ってきたものを素早く見つけ迅速に対処する体制としては、NDRもテーマとして欠かせない。「その対策を強化するのが、NDR(Network Detection and Response)です」と言うのは、マクニカネットワークス 第2営業統括部 第3営業部第2課 課長 羽田野 栄志氏だ。
EDRはユーザーのPCなど、エンドポイントの監視を強化して標的型攻撃やランサムウェアといった様々な脅威を、検出するものだ。一方NDRはネットワークを監視して、脅威をいち早く見つけ出す。EDRでは対象となるプラットフォームの制約から、展開において制約が出てくることがある。
たとえば工場のライン制御の端末などには、エージェントのインストールが許されないケースも散見される。NDRによるネットワークの監視であれば、個々の端末にエージェントなどをインストールする必要はなく、全体を網羅的に監視、把握でき効率的に脅威を検知できるのだ。
とはいえNDRさえあれば、EDRが不要になるわけではない。「NDRでは脅威の一次切り分けが、効果的に実施できます。NDRで脅威を見つけ、そこからさらに深い調査をするのにEDRが活用できます」と羽田野氏。EDRは、端末の中で何が起きているかを把握できる。NDRでは、そこまで深くは追いかけられない。「EDRとNDRの互いの良いところを活かすことで、よりサイバー攻撃対策の効果が発揮できます」と井形氏は言う。
この記事は参考になりましたか?
- この記事の著者
-
谷川 耕一(タニカワ コウイチ)
EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
