3分でわかる!Darktrace(ダークトレース)
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
昨今のサイバー攻撃の傾向
サイバー攻撃は巧妙化しており、ファイアウォール等の出口・入口対策ソリューションの脆弱性などを突いて組織の内部ネットワークへ侵入してきます。
実際、IPAセキュリティ10大脅威においても多くの国内企業よりサイバー攻撃の被害事例として、ランサムウェアや標的型攻撃・サプライチェーン攻撃といった「内部ネットワークへ侵入した脅威」を要因とするものが報告されています。
そのため「侵入後、いかに早期検知、対処できるか」が重要となります。
侵入後の対策ソリューションとして、エンドポイントの振る舞いを監視する「EDR」の普及が進んでいる一方で、新たにネットワーク全体を網羅的に監視する「NDR」が注目されています。
本ブログでは、NDRとEDRの違いを説明しながら、NDRが必要となる背景や特徴を解説していきます。
NDRとEDRの違いとは?
NDRを説明する前に、NDRとEDRの違いを簡単に説明します。
NDR | 比較する項目 | EDR |
---|---|---|
ネットワーク全体 | 対象の領域 | エンドポイント(端末 / サーバー) |
ネットワークに侵入した脅威の「全体像の把握」や「影響範囲の特定」 | 利用シーン | 導入端末におけるインシデントの詳細な原因分析 |
監視対象ネットワーク機器のミラーポートと接続 | 導入方法 | 監視対象エンドポイントへインストール |
NDRとEDRは、ともに脅威が侵入することを前提とした最新のセキュリティソリューションであり、脅威に対する「検知」と「対応」を担うという点で共通しています。両者の違いとして、EDRは「エンドポイント(クライアントPCや端末等)」を対象に、一方のNDRは「ネットワークトラフィック全体」を対象に脅威検知を行う、という点にあります。
カバー領域や検知するイベントが異なるため、相互に補完しあうことでより大きなセキュリティ効果を期待できます。
NDRが必要とされている3つの理由
EDRが広く普及する一方で、弊社には、EDR導入後にNDRの追加検討される企業や、EDRとNDRどちらを入れるべきか迷われている企業からの相談が多数寄せられています。
お客様がNDRを検討されている理由は以下の3つです。
理由① 侵入経路の変化
警察庁の調査によると「組織への侵入経路として、VPN機器やリモートデスクトップ経由の侵入が増加している」と指摘されております。
これまでは、不審メール経由の攻撃が多かったため、メールシステムとエンドポイント(PC)の対策をしていれば防ぐことが可能でした。しかし、昨今の侵入経路の変化に伴い、多くの侵入口に対して幅広く対策する必要性が増してきています。
理由② エンドポイントセキュリティ(EDR)の課題
弊社のお客様への実態調査アンケートによると、約4割のお客様にて「内部ネットワークへの侵入を経験」しております。さらに、侵入された経験があるお客様へ「どうやって侵入に気づいたか?」を尋ねたところ、その半数は、エンドポイントなどのセキュリティシステムでは検知できず、システム障害となって初めて気づいたと回答されました。
主流となっているエンドポイントでの対策ですが「これだけに頼ることができない」ことを物語っている結果となりました。
また、EDRは端末の視点で影響範囲や痕跡調査等を確認できる点では非常に優れています。
ところが、運用が難しい側面もあります。
製品理解や高度なセキュリティスキルが必要とされ、最適なポリシー設計が困難な点や、過検知が続くことから、業務影響を鑑み、検知しないように設定変更することで、本来の攻撃をすり抜けてしまうこともあるそうです。また、ポリシー設計や過検知の調査および、端末の入り替え等による動作検証など、運用担当者の負担が高くなる傾向があります。
理由③ EDRは強力なツールではあるが、導入されていない機器では無意味
企業の内部には、PCやサーバーの他に、スマホやタブレット、ネットワーク機器やIoT機器など様々のものが接続されています。そのような機器の中には、「セキュリティ対策したくても対策ソフトウェアが導入できない」、「セキュリティ機能が実装されていない」ものが存在します。
また、取引先やグループ会社ともネットワークで接続されていることも一般的となっておりますが、自組織の管理対象外である取引先やグループ会社の機器に対しての管理や対策は難しいと言えます。
上記の理由からネットワーク全体を網羅的に可視化・対策でき、ユーザの業務への影響がかからず管理者の運用負荷が少ない「NDR」の検討が進んでいます。
MOTEXがおすすめするNDR製品「Darktrace」と特長
「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集し、ネットワーク全体の通信状況の可視化と異常な挙動を検知するNDR ソリューションです。AI による機械学習と数学理論を用いた通信分析で自己学習し、通常とは異なる通信パターンを検知することで未知の脅威に対応することができます。LANSCOPE プロフェッショナルサービスの主力ソリューションの一つとして、MOTEX が提供するサポートと共に導入できます。
「Darktrace」は以下の特徴をもっております。
1.AIによる機械学習で、手間をかけずに常に最新の脅威に対応できる
2.ネットワーク全体を網羅的に可視化・対策できる
3.特別な設計は不要で、手軽に導入しやすい
4.システム管理者の工数を大幅に削減
詳しくは以下の資料で説明しておりますので、ぜひご覧ください。
3分でわかる!Darktrace(ダークトレース)
「LANSCOPE プロフェッショナルサービス」は、最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。
関連する記事