ネットワークを監視するNDRで網羅的に脅威を検知する
昨今のマルウェアなどは多様化しており、アンチウイルス・ソフトだけでは防げない。標的型攻撃も巧妙化しており、目的が達成されるまで執拗な攻撃が続く。また、新型コロナウイルス対策で急激テレワークが普及したことも、新たなリスクとなっている。
オフィス内のLAN環境であれば、ファイヤーウォールやプロキシ、サンドボックスといった境界防御で守られている。しかし、テレワークではファイヤーウォール等のない自宅からインターネットへアクセスすることとなる。また社内ネットワークへの接続を行う際は、VPN経由でアクセスすることになる。
「現状は、テレワークのためにVPNの環境を急ごしらえで準備しているケースも確認されます。VPN装置のバージョンが古いままな場合は、それが踏み台にされてしまう可能性もあります」と言うのは、マクニカネットワークス 第1技術統括部 第2技術部第1課 課長の井形 文彦氏だ。
取材はオンラインで実施した
ファイヤーウォールやプロキシ、サンドボックスといった境界防御は、もちろん重要だ。とはいえ、外部から侵入を試みる攻撃全てを検知・ブロックすることは現実的には難しい。
境界防御をすり抜けてきた脅威を検知し、迅速に対策を打てるようにしなければならない。そのためには「EDR(Endpoint Detection and Response)などの、侵入されることを前提とした対策は有効です」と井形氏。
ここ最近EDRなどを導入する組織も増えてはいるが、入ってきたものを素早く見つけ迅速に対処する体制としては、NDRもテーマとして欠かせない。「その対策を強化するのが、NDR(Network Detection and Response)です」と言うのは、マクニカネットワークス 第2営業統括部 第3営業部第2課 課長 羽田野 栄志氏だ。
EDRはユーザーのPCなど、エンドポイントの監視を強化して標的型攻撃やランサムウェアといった様々な脅威を、検出するものだ。一方NDRはネットワークを監視して、脅威をいち早く見つけ出す。EDRでは対象となるプラットフォームの制約から、展開において制約が出てくることがある。
たとえば工場のライン制御の端末などには、エージェントのインストールが許されないケースも散見される。NDRによるネットワークの監視であれば、個々の端末にエージェントなどをインストールする必要はなく、全体を網羅的に監視、把握でき効率的に脅威を検知できるのだ。
とはいえNDRさえあれば、EDRが不要になるわけではない。「NDRでは脅威の一次切り分けが、効果的に実施できます。NDRで脅威を見つけ、そこからさらに深い調査をするのにEDRが活用できます」と羽田野氏。EDRは、端末の中で何が起きているかを把握できる。NDRでは、そこまで深くは追いかけられない。「EDRとNDRの互いの良いところを活かすことで、よりサイバー攻撃対策の効果が発揮できます」と井形氏は言う。
