現代のネットワークの現実
そう昔のことではありませんが、「ネットワーク」といえばデータセンターやキャンパス環境、明確な境界を持つ世界を指していました。その世界はもう存在しません。現在のモダンネットワークは、データセンター、リモートワークフォース、SaaS プラットフォーム、クラウドワークロード、IoT や OT デバイス、そしてそれらすべてを結びつけるアイデンティティにまで広がっています。
この拡張により、アタックサーフェスは巨大でハイブリッドかつ相互接続されたエコシステムへと変貌しました。そして攻撃者は適応しました。彼らは「エンドポイント」「クラウド」「アイデンティティ」といったサイロで考えません。彼らにとっては 1 つの大きな統合されたサーフェスであり、侵入し、移動し、悪用するものなのです。
そのため、現在 40% の侵害は複数のドメインにまたがって発生しており、ランサムウェア攻撃者は 48 分以内にラテラルムーブを達成しています。結論は明白です:もし防御をサイロで続けるなら、防御側は常に遅れを取ります。
SOCの課題
ほとんどの組織はツールに大きく投資しています。エンドポイント用の EDR、ログ相関とワークフロー用の SIEM/SOAR、そして「プラットフォーム化」を謳う XDR。しかし、これらの投資は必要ではありますが十分ではありません。なぜでしょうか?
これが「ディフェンダーのジレンマ」です。ツールはノイズが多く、サイロ化され、コンプライアンスや予防に最適化されているものの、ステルスな攻撃者の振る舞いのリアルタイム検知には向いていません。だからこそ、多くの SOC リーダーが口をそろえてこう言うのです。「見逃すのは時間の問題だ」と。
これが「防御者のジレンマ」である。ツールはノイズが多く、サイロ化され、コンプライアンスや予防のために調整されている。だからこそ、多くのSOCリーダーが私にこう言うのだ。"何かを見逃すのは時間の問題だ "と。
EDRでは不十分な理由
EDR は基盤として重要ですが、すべてをカバーするよう設計されてはいません。例えば、
- カバレッジギャップ:EDR エージェントは未管理デバイス、IoT、OT、サードパーティのシステムには導入できません。しかし攻撃者は意図的にそうした盲点を狙います。
- バイパスと回避:EDR は日常的に無効化・回避されています。CISA のレッドチーム評価では、攻撃者がドライバ改ざん、VM ディスクマウント、フック除去ツールを利用してエージェントを盲目化する手口が確認されています。
- アイデンティティの悪用:攻撃者が「ハッキング」ではなく「ログイン」する場合、EDR は悪意ある挙動を検知できません。特権乱用、OAuth トークン窃取、メールボックス委任などはマルウェアのようには見えませんが、攻撃者にとっては金鉱です。
- ネットワークの盲点:EDR はホスト上での活動を監視しますが、システム間の東西トラフィック、暗号化トンネル、クロスドメインでのラテラルムーブは見えません。
簡単に言えば、EDRだけに頼っていると、現代の攻撃がどのように展開されるのかの大部分が見えなくなってしまうということです。
SIEMとSOARが不十分な理由
SIEM と SOAR プラットフォームは集中可視化と自動ワークフローを約束しますが、それは取り込むデータの品質に依存します。ゴミを入れれば、ゴミが出るのです。
- 量vs価値:SIEM は毎日膨大なログを取り込みますが、その多くは無害と有害を区別する文脈を欠いています。
- 遅延:ログベースの相関は反応的かつ遅いのです。シグナルがつながる頃には攻撃者はすでに先へ進んでいます。
- 複雑さ:ルールやプレイブックの維持は労力がかかります。SOCs は調整作業に多くの時間を費やし、調査には十分な時間を割けません。
SIEM/SOAR はコンプライアンスやオーケストレーションには必要ですが、リアルタイムで振る舞いを検知する代替にはなりません。
XDR の位置づけ
XDR はツールのスプロールへの答えとして登場しました。理想的に導入されれば、エンドポイント、ネットワーク、クラウド、アイデンティティ全体を統合することが可能です。しかし、今日の多くの「XDR」は実際にはベンダーの EDR や SIEM の機能拡張にすぎません。そのため、同じ盲点とサイロが残ったままです。
高精度なネットワークおよびアイデンティティシグナルを持たない XDR は、名前だけ変えた EDR にすぎません。そしてそのシグナルがなければ、XDR も依然としてアラートを追いかけるだけで、攻撃を見抜くことはできません。
最新のSOCにNDRが不可欠な理由
ここで登場するのが NDR(ネットワークの検知とレスポンス)です。Vectra AI のようなモダン NDR プラットフォームは、侵害を前提とし、他のツールが見逃すものを検知するために設計されています
- エージェントレスカバレッジ:管理外デバイス、IoT/OT、クラウドワークロード、アイデンティティなど、エンドポイントエージェントが届かない場所を可視化。
- 振る舞い検知:シグネチャに依存せず、AI を使って隠れたトンネル、特権乱用、ラテラルムーブなどを検知。攻撃者が正規の認証情報を使っても見逃しません。
- 東西トラフィックの可視化:侵害後に攻撃者が活動する内部通信を監視し、偵察、永続化、データ流出を検知します。
- ノイズ除去:Vectra AI の NDR は最大 99% のアラートノイズを除去し、アナリストが検証済み・優先度の高い攻撃進行に集中できるようにします。
- 統合されたレスポンス:SIEM、SOAR、EDR と統合し、ホスト隔離、資格情報リセット、ファイアウォールブロックをリアルタイムで実行。
言い換えると、EDR は攻撃者が「入ってくるのを止める」、NDR は「入った後を止める」ためのものです。両者を組み合わせて初めて、現代の防御の両輪となります。
NDR、EDR、SIEM を組み合わせたハイブリッド SOC 可視性アプローチ
SOC 可視性トライアド(SIEM、EDR、NDR)は依然として完全なカバレッジの最良モデルです。それぞれの役割は以下の通りです。
- SIEM/SOAR:コンプライアンス、アグリゲーション、オーケストレーションのため
- EDR:詳細なエンドポイントの遠隔測定と封じ込めのため
- NDR:ネットワーク、クラウド、アイデンティティをリアルタイムで検知する
違いは、NDR がもはやオプションではないという点です。SOC の検知アーキテクチャを完成させる欠けたレイヤーなのです。
NDRによる実世界での成果
NDR を EDR、SIEM、SOAR と組み合わせて導入した組織は、一貫して定量的改善を報告しています。
- 6ヶ月の投資回収で391%のROI。
- 37%の時間短縮で52%以上の脅威を特定。
- 警告音を99%低減し、SOC効率を40%向上。
- MTTDとMTTRを数日から数時間に短縮。
これらはマーケティングの主張ではなく、エンドポイントやログだけでは不十分だと身をもって知った顧客の実際の成果です。
結論:なぜ NDR はもはや「選択肢」ではないのか
最新のネットワークはモダン防御を必要とします。攻撃者は迅速に動き、正規の仕組みを利用し、防御ツールが想定していなかった盲点を突きます。
EDR は必要ですが、それだけでは十分ではありません。SIEM/SOAR は価値がありますが、検知エンジンではありません。XDR は統合を約束しますが、NDR がなければ不完全です。
NDR こそが、ハイブリッドネットワーク全体でモダンな攻撃を見抜き阻止するために必要なカバレッジ、明確さ、制御を提供する唯一の技術です。
次の侵害ニュースの見出しに自社が載ることを避けたいなら、NDR を「オプション」と見なす余裕はありません。NDR は不可欠なのです。
出典:
- Vectra AI, 2024 State of Threat Detection and Response: The Defenders’ Dilemma
- Vectra AI, 2024 Threat Detection and Response Efficiency Report
- Vectra AI, Research Brief: Reducing Noise, Elevating Threats (2025)
- Vectra AI, The Case for Network Detection and Response (2025)
- Vectra AI, 5 Reasons EDR is Not Enough (2025)
- CrowdStrike, 2025 Global Threat Report
- IBM, 2024 Cost of a Data Breach Report
- IDC, The Business Value of Vectra AI (2025)