NDRのニーズが高まる理由とは
セキュリティ対策に終わりはないといわれる中で、多くの企業が新たなセキュリティ製品を導入するなど対策を進めている。そして、ここ数年で頻繁に耳にするようになったのが「NDR(Network Detection and Response)」だ。その一要因として、ガートナーでリサーチディレクターをも務めているAnton Chuvakin氏が2015年に発表した“SOC Nuclear Triad”を基にした、“SOC visibility triad(SOC可視化トライアド)”という概念が挙げられる。
そこで今回は、このSOC可視化トライアドとはどのようなものなのか。そして、NDRが注目を集め続けている理由について、ExtraHop Networksでカントリーマネージャーを務める福山貴也氏に訊ねた。
ExtraHop Networksは、2007年に米国シアトルで創業されたセキュリティベンダーだ。創業者であるJesse Rothstein氏とRaja Mukerji氏がF5ネットワークスのロードバランサ―などの開発を担当していたエンジニアということもあり、ネットワークのパフォーマンス監視やアプリケーションの可視化といったネットワークソリューションを中心に提供。ここ5年ほどは、NDRプラットフォームに特化した事業を展開しているという。
日本にも昨年進出しており、今年は日本市場における展開を本格化させるとしている。福山氏は、日本への進出に際してコロナ禍の大きな影響はなかったとする一方で、「従来の境界型防御では100%防ぎきることは難しく、侵入したことにいち早く気づくことが重要になっています」と企業を取り巻く脅威が高度化していると警鐘を鳴らす。特にクラウドシフトやリモートワークの普及、IoT機器の増加などを背景にアタックサーフェスが拡大しており、従来の手法だけでは守りづらくなっている。
その状況下で注目を集めているのが前述した“SOC可視化トライアド”だ。これは、セキュリティを構築する際にSIEM(Security Information and Event Management)、EDR(Endpoint Detection and Response)、NDRという3つのテクノロジーを組み合わせることで強固なセキュリティ基盤を構築するという考え方だという。
アメリカでは同様の考え方に基づいたセキュリティ構築も行われており、エコシステムも充実してきている一方で、日本ではこれから普及していく段階にある。福山氏は「SIEMについては、Splunkなどをはじめログデータ管理という観点からも多くの企業が利用しています。また、EDRに関しては大企業を中心に導入されており、『Microsoft Defender for Endpoint』がE5に同梱されるなど認知度も高まっています。ただ、NDRの導入は圧倒的に遅れています」と説明する。
もちろん、SOC可視化トライアドの実現に向けて各ソリューションを導入する順番はバラつきがある中で、SIEMやEDRを導入していない場合は、その簡易さなどからNDRから導入するという企業も増えているという。
また、NDRの検討を進める企業が増えている中で“XDR(eXtended Detection & Response)”という考え方も耳にするようになってきた。しかしながら、まだ具体的なテクノロジーが確立されている段階にはないという。とはいえ、最終的に目指す地点はNDRもXDRも同じ部分にあり、ExtraHop NetworksとしてはNDRに特化した形で展開を推し進めていき、自社だけで賄えない部分はエコシステムで補っていくと福山氏は述べる。
