サイバー脅威の検知と対応：NDR、EDR、XDRの違いとは

写真：alphaspirit.it – shutterstock.com

ITセキュリティにおける略語の数は増え続けており、全体像を把握したり個々の技術を比較したりするのが難しくなっています。その一例が、脅威検知に関する3つの密接に関連した技術です：Network Detection and Response（NDR）、Endpoint Detection and Response（EDR）、Extended Detection and Response（XDR）です。それぞれが、さまざまなサイバー攻撃の検知と対応のための包括的なソリューションを提供しています。似たアプローチに基づいていますが、いくつかの違いも存在します。

EDRはエンドポイントレベルでの明確な変化を検知する

EDRはこの3つの検知技術の中で最も古く、エンドポイントを監視して攻撃を緩和するためのセキュリティソリューションです。エンドポイントとは、PC、ファイルサーバー、スマートフォン、IoT（Internet of Things）デバイスなど、ネットワークに接続して通信するネットワーク機器を指します。EDRはソフトウェアエージェントを利用して、マルウェアや、レジストリの変更や重要なファイルの改ざんなど、エンドポイントで検知された不審な活動をインベントリ化します。

ネットワーク環境が時間とともに複雑化し、脅威アクターやマルウェアがますます高度化する中で、EDRは以下のような課題に直面しています：

• 必要なEDRエージェントをすべてのデバイスや環境に導入できるわけではなく、可視性にギャップが生じ、攻撃の隙を生みます。

• 一部の一般的なアプリケーションはEDRを回避できます。たとえば、Microsoft SQL Serverは基盤となるWindows OSへの管理者権限を持ち、上記のEDR監視環境を利用せずに動作するため、攻撃者がエンドポイント検知を回避できてしまいます。

• マルウェアや攻撃者はますます巧妙になっており、エンドポイント上のアンチマルウェアソフトを検知したり、エンドポイント侵害の証拠を完全に隠したりすることができます。

EDRは現代のサイバーセキュリティ戦略に不可欠な要素ですが、単独では包括的なサイバーセキュリティを実現できません。

XDRは包括的な保護を提供する

XDRを製品やEDRの進化形と誤解している人も多いですが、XDRは、セキュリティ関連のテレメトリデータと高精度な検知を組み合わせることで、より迅速かつ効果的なインシデント対応を可能にする戦略です。

XDRにはさまざまな種類があります。1つは、単一ベンダーや「オールインワン」プラットフォームに特化し、そのベンダーのファイアウォール、EDR、NDRなど複数製品からテレメトリデータを提供するプロプライエタリなXDR戦略です。もう1つは、複数ベンダーや「ベスト・オブ・ブリード」技術・ツールを組み合わせ、ファイアウォール、侵入検知システム（IDS）、EDR、NDRなど、さまざまな製品タイプやベンダーからテレメトリデータを提供するオープンなXDR戦略です。

多くの企業はEDR中心のXDR戦略で十分だと考えていますが、それでは重大な死角が生まれます。EDRエージェントの可視性が失われると、潜在的な重大セキュリティ侵害を発見・調査する手段が他にありません。このような単一ポイントに依存したテレメトリ戦略では、攻撃者は1つの技術や防御を回避するだけでネットワークに侵入できてしまいます。サイバーセキュリティ担当者はネットワーク活動の変化を検知し、それをエンドポイントやクラウドデータと比較する必要があります。ここでNDRソリューションが、潜在的なサイバー脅威に集中するための必要なコンテキストを提供します。

おすすめ記事： おすすめのXDRツール11選

NDRはパケットレベルで脅威を検知し、リアルタイムで対応する

EDRやXDRソリューションとは異なり、NDRはネットワークトラフィックのパケットデータ分析に特化し、エンドポイントや他のデータストリームではなく、潜在的なサイバー脅威を検知します。NDRを、セキュリティ情報・イベント管理（SIEM）やEDRなどのログ分析ツールと組み合わせることで、企業はネットワーク内の死角を減らすことができます。NDRソリューションは、ネットワークコンテキストを提供し、脅威への対応を自動化することで、ネットワークとITセキュリティチームの連携や迅速な被害抑制を実現し、セキュリティ機能を強化します。

ただし、NDRに関連しては、現代のサイバーセキュリティスタックに求められる機能を備えた高度なプラットフォームの能力を区別することが重要です。さまざまなNDRを評価する際には、長期的なデータ保存を伴う信頼性の高いフォレンジック機能を提供しているかどうかを確認する必要があります。また、NetFlowベースのデータに依存しないことも重要です。NetFlowはすべての環境でサポートされているわけではなく、トンネリングを利用した巧妙な攻撃の余地を与えてしまいます。

高度なNDRシステムは、攻撃の前後や最中における脅威の挙動を調査するため、ネットワークトラフィックの遡及的な分析も可能であるべきです。たとえば、侵害の兆候（Indicator of Compromise、IOC）が発見された場合、セキュリティチームは侵害されたホストの通信を調査し、ラテラルムーブメント（横移動）を特定し、データ漏洩が発生したかどうかを判断できます。

EDR、XDR、NDR：連携することで強力に

まとめると、EDRは接続されたコンピュータやサーバーなどのエンドデバイスへの攻撃を監視・緩和するために設計されていますが、エージェントを導入できる場所に限られます。そのため、EDRは一部のクラウドベースのホスティング環境などでは機能しません。一方、XDRはデバイスやデータストリームの監視を統合的に行うプラットフォームアプローチを提供しますが、NDRがリアルタイムのパケット監視によって提供するネットワークコンテキストを持たないことが多いです。

現在、多くの大企業では、ネットワークデータとエンドポイントデータを他のセキュリティソリューションと組み合わせることで、絶えず変化する脅威状況をリアルタイムでより堅牢に把握できる包括的なソリューションが求められています。

高度なNDRソリューションは、ここで高いレベルのネットワークインテリジェンスを提供し、他のセキュリティスタックを効果的に補完します。また、高度なNDRソリューションは、SIEMだけでなく、SOAR（Security Orchestration, Automation and Response）やファイアウォールプラットフォームにも統合でき、ネットワーク境界での即時ブロックを実現します。

結局のところ、ネットワーク上で痕跡を完全に消すことは不可能であり、サイバー攻撃はますます巧妙化しています。これらのシステムを組み合わせて活用することで、攻撃者の行動や脅威の指標を包括的に把握できます。

高度なNDRは、全体的なサイバーセキュリティ戦略において重要な役割を果たし、運用リスクの最小化に貢献します。（jm）