現代のネットワークの現実
少し前までは、「ネットワーク」といえば、データセンターやキャンパス環境など、境界線が明確なものがイメージしやすかった。そのような世界はもはや存在しない。今日、最新のネットワークは、データセンター、リモートワーク、SaaSプラットフォーム、クラウドワークロード、IoTやOTデバイス、そして最も重要なのは、それらすべてを結びつけるアイデンティティにまたがっている。
この拡大により、攻撃対象は巨大でハイブリッドな相互接続されたエコシステムへと変貌を遂げた。そして攻撃者は適応した。彼らは、「エンドポイント」、「クラウド」、「アイデンティティ」といったサイロでは考えない。彼らは、侵入、移動、悪用するための1つの大きな統一された表面を見ている。
そのため、侵入の40%が複数のドメインにまたがり、ランサムウェアの攻撃者は48分以内に横方向の移動を達成している。つまり、サイロ化して防御を続ければ、防御者は常に後手に回るということだ。
SOCの挑戦
ほとんどの組織は、ツールに多額の投資をしてきた:エンドポイント用のEDR、ログの相関とワークフロー用のSIEM/SOAR、そして現在は「プラットフォーム化」のためのXDRだ。これらの投資は必要ではあるが、十分ではない。なぜだろうか?
SOCチームはアラートに溺れているからです。チームは1日あたり4,000件近いアラートを受信しているが、実用的なアラートは1%にも満たない。アナリストはアラートの管理だけで1日3時間近くを費やしている一方、敵は1時間以内に横の動きを見せている。
これが「防御者のジレンマ」である。ツールはノイズが多く、サイロ化され、コンプライアンスや予防のために調整されている。だからこそ、多くのSOCリーダーが私にこう言うのだ。"何かを見逃すのは時間の問題だ "と。
EDRでは不十分な理由
EDRは依然として基礎的なものだ。しかし、EDRは決してすべてをカバーするようには設計されていない。考えてみてほしい:
- カバレッジ・ギャップ:EDRエージェントは、管理されていないデバイス、IoT、OT、サードパーティの請負システム上では実行できない。しかし、攻撃者は意図的にこれらの盲点を狙っている。
- バイパスと回避:EDR は日常的に無効化または回避されている。CISA Red Team の評価では、攻撃者がドライバの改ざん、VM ディスクのマウント、またはフック除去ツールを使用して、エンドポイント・エージェントを見えなくする方法が示されています。
- アイデンティティの悪用:攻撃者が「ハッキング」ではなく「ログイン」した場合、EDRは悪意のあるものを検知しないことが多い。特権の乱用、OAuthトークンの窃盗、メールボックスの委譲など、これらはmalware見えませんが、攻撃者にとっては金になるものです。
- ネットワークの盲点:EDRは、ホスト上で発生するものを見ている。システム間の東西トラフィック、暗号化されたトンネル、ドメインをまたぐ横方向のピボットなどは見えない。
簡単に言えば、EDRだけに頼っていると、現代の攻撃がどのように展開されるのかの大部分が見えなくなってしまうということだ。
SIEMとSOARが不十分な理由
SIEMとSOARプラットフォームは、一元化された可視性と自動化されたワークフローを約束する。しかし、これらは取り込まれるデータの品質に依存している。ゴミが入ればゴミが出る。
- 量と価値:SIEMは毎日何千ものログイベントを取り込みますが、そのほとんどは良性と悪性を区別するためのコンテキストを欠いています。
- 遅延:ログベースの相関は反応的で時間がかかる。信号がつなぎ合わされる頃には、攻撃者はすでに次の段階に進んでいる。
- 複雑さ:ルールやプレイブックを維持するのは手間がかかる。SOCは調査よりもチューニングに多くの時間を費やすことが多い。
SIEM/SOARはコンプライアンスとオーケストレーションのために必要である。しかし、それらはリアルタイムの行動ベースの検知の代わりにはならない。
XDRがフィットする場所
XDRは、ツールの乱立に対する回答として登場した。XDRは、エンドポイント、ネットワーク、クラウド、アイデンティティにまたがる統合を約束する。しかし、現在提供されている「XDR」のほとんどは、各ベンダーのエコシステムが自社のコア機能であるEDRやSIEMを拡張しているに過ぎない。つまり、同じような盲点やサイロが存在するということだ。
忠実度の高いネットワークとアイデンティティ・シグナルのないXDRは、新しい名前のEDRにすぎない。そして、そのシグナルがなければ、XDRは攻撃を検知する代わりにアラートを追いかけることになる。
最新のSOCにNDRが不可欠な理由
そこで、ネットワーク検知と応答(NDR)の出番となる。Vectra AIのような最新のNDRプラットフォームは、侵害を想定し、他のツールが見逃しているものを検知 ことを目的として構築されています:
- エージェントレスカバレッジ:NDRは、管理対象外のデバイス、IoT/OT、クラウドワークロード、アイデンティティを可視化します。
- 振る舞い検知:NDRは、シグネチャに依存する代わりに、AIを使用して、攻撃者が有効な認証情報を使用している場合でも、隠しトンネル、特権の乱用、横移動などの攻撃者の手法を検知 します。
- 東西トラフィックの可視化NDRは、攻撃者が攻撃後に生活する内部通信を検査し、偵察、持続、および流出活動を浮上させます。
- ノイズ除去:Vectra AIのNDRは、最大99%のアラートノイズをフィルタリングするため、アナリストは有効で優先順位付けされた攻撃の進行のみに集中することができます。
- 統合されたレスポンス:NDRはSIEM、SOAR、EDRと統合し、ホストの隔離、クレデンシャルのリセット、ファイアウォールのブロックをリアルタイムでトリガーします。
こう考えてほしい:EDRは攻撃者の侵入を阻止しようとする。NDRは攻撃者が侵入するのを阻止しようとする。この2つを合わせて、現代のディフェンスの2つの側面を形成している。
NDR、EDR、SIEMの組み合わせ:ハイブリッドSOC可視化アプローチ
SOC Visibility Triad-SIEM、EDR、NDR-は、完全にカバーするための最良のモデルであり続けている。各ツールには役割があります:
- コンプライアンス、アグリゲーション、オーケストレーションのためのSIEM/SOAR。
- 詳細なエンドポイントの遠隔測定と封じ込めのためのEDR。
- ネットワーク、クラウド、アイデンティティをリアルタイムで検知するNDR。
今日の違いは、NDRはもはやオプションではないということだ。それは、SOCの検出アーキテクチャを完成させる欠落したレイヤーなのだ。
NDRによる実世界での成果
NDRをEDR、SIEM、SOARスタックに追加した組織は、一貫して測定可能な改善を報告しています:
- 6ヶ月の投資回収で391%のROI。
- 37%の時間短縮で52%以上の脅威を特定。
- 警告音を99%低減し、SOC効率を40%向上。
- MTTDとMTTRを数日から数時間に短縮。
これらはマーケティング上の主張ではない。エンドポイントやログだけでは不十分であることを身をもって学んだ実際の顧客からの成果なのだ。
結論NDRがもはやオプションではない理由
最新のネットワークには最新の防御が必要だ。攻撃者は素早く移動し、土地で生活し、従来のツールでは対応できなかった方法で死角を突く。
EDRは必要だが十分ではない。SIEM/SOARは価値があるが、検知エンジンではない。XDRは統合を約束するが、NDRなしでは不完全だ。
NDRは、ハイブリッド・ネットワーク全体で最新の攻撃を確認し、阻止するために必要なカバレッジ、明瞭さ、コントロールを提供する唯一の技術である。
次の情報漏えいの見出しになることから組織を守りたいのであれば、NDRをオプションと考える余裕はない。必須なのだ。
情報源
- Vectra AI、2024年脅威の検知と対応の現状:防御側のジレンマ
- Vectra AI、2024年脅威検知・対応効率レポート
- Vectra AI、リサーチ・ブリーフノイズを減らし、脅威を高める(2025年)
- Vectra AI、ネットワーク検知とレスポンスの事例(2025年)
- Vectra AI、EDRでは不十分な5つの理由(2025年)
- クラウドストライク、2025年グローバル脅威レポート
- IBM、2024年データ漏洩コスト報告書
- IDC、 Vectra AIのビジネス価値(2025年)