ネットワークは攻撃者が隠れることのできない唯一の場所であり続ける。あらゆる横方向の移動、あらゆるデータ流出の試み、あらゆるコマンド&コントロール通信はネットワークを経由せざるを得ない。これにより、ネットワークは境界防御を既に回避した脅威を検知する究極の真実の源となる。 組織が暗号化トラフィック、クラウドファーストアーキテクチャ、そして「現地資源活用型」手法を用いる高度な攻撃者に対処する中、ネットワーク検知・対応(NDR)ツールは現代のセキュリティ運用に不可欠な要素として台頭している。IBMのNDR技術分析によれば、これらのソリューションはエンドポイントやログベースのツールでは到底補えない重大な可視性のギャップを埋めるものである。
本ガイドでは、NDRツールの仕組み、EDRやSIEMなどの代替手段を上回る性能を発揮する場面、およびセキュリティチームが自社の環境向けにソリューションを評価する際に優先すべき事項について解説します。
ネットワーク検知とレスポンス(NDR)は、シグネチャベースではない検知手法(人工知能、機械学習、振る舞い分析など)を用いて、企業ネットワーク上の不審なアクティビティや悪意のあるアクティビティを特定するサイバーセキュリティ技術です。NDRツールは、ネットワークトラフィック(生パケットとメタデータの両方)を継続的に分析し、潜在的な脅威を示唆する異常な振る舞いを検知し、インシデントの封じ込めと調査のための対応機能を提供します。
ガートナーは2020年、このカテゴリーを「ネットワークトラフィック分析(NTA)」から「ネットワーク検知と対応(NDR)」へ正式に改称した。これは受動的な監視を超え、自動化された対応機能の追加を反映したものである。この区別は重要だ:現代のNDRツールは異常を通知するだけでなく、ホストの隔離、接続の遮断、SOAR統合による自動プレイブックの実行が可能である。
NDRソリューションは2つの重要なトラフィックフローを監視します。南北トラフィックは内部ネットワークと外部宛先間を移動し、初期アクセス試行やデータ流出を捕捉します。東西トラフィックは内部システム間で横方向に移動し、既に足場を築きアクセスを拡大している攻撃者を明らかにします。この内部可視性が、NDRを従来の境界防御型セキュリティツールと区別する特徴です。
NDRの導入根拠はこれまで以上に強固です。ZscalerのThreatLabz 2024調査によれば、現在87%以上のサイバー脅威が暗号化されたTLS/SSLチャネルを利用しており、高価な復号インフラなしでは従来のディープパケットインスペクションは無力化されます。NDRツールは、暗号化を破ることなく脅威インテリジェンスを抽出するメタデータ分析、トラフィックのタイミングパターン、TLSフィンガープリンティング技術を通じてこの課題に対処します。
脅威の状況はこの緊急性をさらに強めている。Elisity社の調査によれば、成功した侵害の70%以上が横方向移動技術を活用している——つまり攻撃者は初期侵入後、内部システム間を移動する。適切なネットワーク可視性がない場合、ラテラルムーブメント活動の平均検知時間は95日に及ぶ。この期間中、攻撃者はインフラのマッピング、権限昇格、データの準備、最大の影響を与えるための位置取りを行うことが可能となります。
市場の検証は技術的必要性に続いて行われた。ガートナーは2025年5月に初のNDR向けマジック・クアドラントを発表し、NDRを独立した成熟したセキュリティ分野として正式に認定した。NDR市場は2030年までに58億2000万米ドルに達し、年平均成長率9.6%で成長すると予測されています。
NDRを理解するには、相互に関連する3つの機能を検討する必要があります:データ収集、検知と分析、対応の自動化です。各層は前の層を基盤として構築され、生のネットワークトラフィックを実用的なセキュリティインテリジェンスへと変換します。
NDRツールは、それぞれ異なる利点を持つ複数の導入オプションを通じてネットワークデータを収集します。
SPANポートミラーリングは、スイッチポートからのネットワークトラフィックをNDRセンサーに複製します。この手法は初期導入時やトラフィック量が中程度の環境では効果的ですが、高負荷時にはパケットをドロップする可能性があります。
ネットワークTAP(テストアクセスポイント)は、ネットワーク性能に影響を与えずにトラフィックを受動的に複製する専用ハードウェアデバイスを提供します。TAPはトラフィックの急増時でも完全なパケットキャプチャを保証するため、本番環境で好んで採用されます。
パケットブローカーは複数のTAPおよびSPANポートからのトラフィックを集約し、NDRセンサー間でフィルタリングと負荷分散を行います。大企業では通常、センサーアレイ間のトラフィック分配を管理するためにパケットブローカーを導入します。
クラウドAPIはネイティブ統合により、クラウド環境におけるNDR可視化を実現します。AWS VPCフローログ、Azure Network Watcher、GCP監査ログは、従来のTAPインフラを必要とせずにネットワークテレメトリを提供します。組織がワークロードをオンプレミスデータセンター外へ移行する中、クラウドネイティブなNDR導入は不可欠となっています。
データがNDRセンサーに流れ込むと、複数の分析技術が並行して動作し、脅威を特定します。
表:NDR検知技術とその応用
現代のNDRプラットフォームは、単一の手法に依存するのではなく、これらの技術を組み合わせています。振る舞い、各ネットワークセグメント、デバイスタイプ、ユーザー集団における「正常な状態」が確立されます。その後、機械学習モデルが逸脱を良性の異常か真の脅威かに分類します。シスコのNDR概要によれば、この多層的なアプローチにより、シグネチャのみによる検知に付きまとう誤検知率が大幅に低減されます。
企業トラフィックの大部分が暗号化される中、NDRツールは暗号化セッションから脅威インテリジェンスを抽出する高度な技術を開発しており、復号を必要としない。
JA3/JA3Sフィンガープリンティングは、TLSクライアントおよびサーバーのHelloメッセージから一意の識別子を生成します。これらのフィンガープリントは特定のアプリケーション、 マルウェア ファミリー、攻撃ツールを特定します。既知の悪意あるJA3フィンガープリントにより、通信が暗号化されている場合でもコマンド&コントロール通信の検知が可能となります。
DNS相関分析は暗号化された接続を解決済みドメインにマッピングし、不審なインフラや既知の悪意あるインフラへの接続を明らかにします。脅威インテリジェンスフィードと組み合わせることで、DNS分析はC2ビーコン通信、ドメイン生成アルゴリズム、データ流出経路を特定します。
トラフィックのタイミング分析では、ビーコン間隔、セッション持続時間、パケットの発生間隔を含む接続パターンを検証する。自動化されたコマンド&コントロールフレームワークは、暗号化を経ても持続する特徴的なタイミングシグネチャを生成する。
証明書分析では、発行者、有効期間、サブジェクト属性などのTLS証明書メタデータを検査します。自己署名証明書、最近発行された証明書、および疑わしい属性を持つ証明書は、しばしば悪意のあるインフラストラクチャを示しています。
検知のみではアラート疲労を引き起こす。現代のNDRツールは自動化および半自動化された対応オプションを提供し、迅速な封じ込めを可能にする。
優先度付きアラート生成は、深刻度と信頼度に基づいて検知をランク付けし、アナリストが真の脅威に集中できるよう支援します。自動ブロック機能は、悪意のある宛先への接続を切断したり、感染したホストを隔離したりできます。SOARプラットフォームとの統合により、セキュリティツール全体でアクションを調整する包括的な対応プレイブックがトリガーされます。フォレンジックパケットキャプチャは、事後調査や脅威ハンティングのためのネットワーク証拠を保存します。
NDRツールは、ネットワーク可視性が他のセキュリティツールでは実現できない優位性を発揮する特定の脅威シナリオにおいて特に優れています。
横方向の移動——初期侵害後に内部システム間を移動する攻撃者——はNDRの最も強力なユースケースである。Palo Alto Networksの分析によれば、東西方向のトラフィック監視は、侵害された認証情報を使用して追加システムにアクセスする攻撃者を捕捉する。これは、正当な認証情報が関与する場合、境界防御ツールやEDRでさえ見逃す可能性がある。
NDRは振る舞い を通じて横方向の移動を検知します:ワークステーションがこれまでアクセスしたことのないファイルサーバーに突然アクセスする、通常のパターン外のシステムに対する認証試行、あるいは不自然な時間帯のRDP接続などです。これらの兆候は、ランサムウェアの展開の数日前から数週間前に現れることがよくあります。
MITRE ATT&CK は横方向の移動を戦術TA0008にマッピングし、以下のような手法を含む: T1021 (リモートサービス)をNDRツールが特に標的とする。
2025年にはランサムウェア攻撃が47%増加し、攻撃者は長期にわたる偵察とデータ準備段階を経て初めて暗号化を展開した。CISAのランサムウェア対策ガイダンスは、早期検知にネットワーク可視性が不可欠であると強調している。NDRは、攻撃者の制御確立を示すC2通信、アクセス拡散のための横方向移動、データ漏洩準備のためのデータ準備といった暗号化前の段階で警告を発する。Mandiantの「M-Trends 2024」レポートによれば、10日間という中央値の潜伏時間は、暗号化展開前の検知機会を生み出している。
暗号化が開始される段階では、攻撃は既に成功している。NDRは封じ込めが可能な準備段階で検知と対応を可能にする。
コマンド&コントロール通信により、攻撃者は持続的なアクセスを維持し、指示を受け取ることが可能となる。NDRツールはビーコンパターンを通じてC2を特定する——正当なトラフィックに偽装されても一貫して維持される、定期的なチェックイン間隔である。
DNSベースのC2およびトンネリングの試みは、異常なクエリパターンとして現れる:単一ドメインへの高クエリ量、DNSリクエスト内のエンコードされたデータ、または新規登録ドメインへのクエリなど。NDRはこれらの挙動MITRE ATT&CK (Command and Control)にマッピングする。
内部脅威とデータ流出は、振る舞い分析によって特定可能なネットワークアーティファクトを生成します。外部への大規模な転送、通常時間外のクラウドストレージへのアップロード、エンコードされた送信トラフィックなど、通常とは異なるデータ移動パターンは、たとえ内部関係者が正当なアクセス資格情報を持っていたとしても、NDR検知をトリガーします。
Verizon 2025年データ侵害調査報告書によると、侵害事例の88%で認証情報の盗難または侵害が確認された。攻撃者が有効な認証情報を使用する場合、ネットワーク上の振る舞いパターンが唯一の検知機会となることが多い。
セキュリティチームは、NDRが他の検知技術とどのように関連しているかを頻繁に尋ねます。答えはこうです:これらのツールは異なる可視性領域に対応しており、連携して最も効果を発揮します。
表:NDRとEDR、XDR、IDS、SIEMの比較
エンドポイント検出と対応(EDR)は、個々のエンドポイント上のプロセス、ファイル、レジストリ活動を監視します。EDRは マルウェア 分析、悪意のある実行ファイルの特定、エンドポイント侵害に関するフォレンジック詳細の提供に優れています。
NDRとEDRは根本的に異なる可視性のギャップに対処します。EDRはシステム間のネットワークトラフィックを監視できず、NDRはエンドポイント上で実行されるプロセスを監視できません。SentinelOneの比較によれば、組織は両方を導入することで多層防御を実現します:EDRは マルウェア を検知し、NDRはシステム間を移動する攻撃者や外部インフラとの通信を検知します。
NDRは、EDRエージェントを実行できないデバイス(IoTデバイス、運用技術、レガシーシステム、ネットワーク機器)も対象とします。このエージェントレスなアプローチが、包括的なネットワークセキュリティの鍵となります。
拡張型検知・対応(XDR)は、エンドポイント、ネットワーク、クラウド、アイデンティティといった複数のテレメトリソースを統合し、単一の検知・対応プラットフォームとして機能します。XDRはドメイン横断的なシグナルの相関分析を目指し、複数の可視化レイヤーにまたがる攻撃パターンを特定します。
NDRは単独の機能として、あるいはXDRアーキテクチャ内の構成要素として運用可能です。多くの組織では、XDRプラットフォームの統合NDRが提供する範囲を超える深いネットワーク可視性が必要な場合、専用のNDRをXDRプラットフォームと併用して導入しています。XDR市場は2030年までに308億6000万米ドル規模に達すると予測されており、統合セキュリティ運用に対する需要の高まりを反映しています。
従来の侵入検知システム(IDS)は、主にシグネチャベースの検知、つまりネットワークトラフィックを既知の攻撃パターンと照合する手法に依存しています。IDSは既知の脅威を迅速に検知しますが、新しい攻撃、暗号化されたトラフィック、そしてliving-off-the-land手法を用いる攻撃者には対応できません。
NDRは、ネットワークベースの検知における現代的な進化を体現しています。NDRツールにはシグネチャ検知がコンポーネントとして含まれる場合もありますが、振る舞い分析と機械学習によって未知の脅威の検知が可能になります。また、NDRは従来のIDSにはない対応機能も提供します。
IDSからNDRへの移行を行う組織は、ベースライン設定とチューニングのための移行期間を見込むべきである。振る舞い 、異常を効果的に特定する前に、正常なトラフィックパターンを理解する必要がある。
セキュリティ情報イベント管理(SIEM)プラットフォームは、企業全体からログを集約し、相関分析、コンプライアンス報告、長期保存を可能にします。SIEMはセキュリティ運用に不可欠な機能を提供しますが、その有効性は完全に記録される内容に依存します。
NDRはSIEMの可視性のギャップを埋めます。ネットワークトラフィックは、監視対象外のシステム、ログ記録をサポートしないデバイス、侵害後にログ記録を無効化する攻撃者など、ログには決して記録されない可能性のある活動を捕捉します。両者の組み合わせによる導入により強力な相関分析が可能となります:SIEMが認証異常を検知すると、NDRがその後の横方向の移動を検知します。
フォーブスの調査によると、44%の組織が2025年までにSIEMの入れ替えを計画している。ただし、この入れ替えはログ集約機能の廃止ではなく、ネットワーク固有の検知機能による拡張を意味することが多い。
効果的な脅威検知には、NDRが広範なセキュリティ運用アーキテクチャ内でどのような位置づけにあるのか、また攻撃フレームワークとどのように対応するかを理解することが必要です。
セキュリティ アナリストによって普及したフレームワークである SOC可視性トライアド では、包括的なカバレッジには次の 3 つの検知機能が不可欠であると位置付けられています。
Corelightの分析によれば、三要素のいずれかを欠く組織には重大な死角が生じる。新たに提唱される「SOC可視性の五要素」は、このモデルを拡張し、専用のクラウド検知とID検知の柱を追加するものである。
NDRは攻撃ライフサイクルの複数の段階で脅威を検知します。 MITRE ATT&CK フレームワークへの対応関係:
T1071)T1021)T1071)T1041)マンディアントの「M-Trends 2024」レポートによると、世界的な侵害継続期間の中央値は10日間——つまり初期侵害から脅威検出までの時間——であることが判明した。NDRの振る舞い 、攻撃の初期段階を検知することでこの期間を大幅に短縮できる。
NDRは既存のセキュリティインフラと統合することで最大の価値を発揮します。
SIEM統合により、ログベースの検知がネットワークコンテキストで強化されます。認証ログとネットワークトラフィックの異常の相関分析により、信頼性の高いアラートが生成されます。
SOAR統合により、NDR検知をトリガーとした自動応答プレイブックが実現します。検知の信頼度と深刻度に基づき、ホストの隔離、ファイアウォールルールの更新、ケース作成が自動的に実行されます。
EDR統合により攻撃の完全な可視化を実現します。NDRが横方向の移動を検知すると、EDRは攻撃者が標的システム上で実行した内容を示すエンドポイントの詳細情報を提供します。
クラウドプラットフォーム統合により、IaaS、SaaS、ハイブリッド環境への可視性が拡大します。最新のNDRソリューションは、AWS VPCフローログ、Azure Network Watcher、GCP監査ログと連携し、クラウドネイティブなカバレッジを実現します。
NDRツールを評価する組織は、自社のセキュリティ運用成熟度とインフラ要件に沿った複数の主要基準を評価すべきである。
検知効率には、誤検知率、MITRE ATT&CK カバレッジ、および暗号化通信内の検知 能力が含まれます。類似環境からの参照事例を求め、ベンダーに検知ベンチマークを問い合わせてください。
機械学習の手法はベンダーによって異なる。教師あり学習はラベル付きトレーニングデータを必要とするが、解釈可能な結果を生成する。教師なし学習は新規の異常を検出するが、初期段階ではより多くの誤検知を生成する可能性がある。成熟したソリューションの多くは両方の手法を組み合わせている。
ネットワーク可視性は、東西方向の内部トラフィック、南北方向の外部トラフィック、およびクラウドセキュリティ環境をカバーすべきです。プロトコルサポートの深さを確認してください——ソリューションは特定のアプリケーションプロトコルを解析できますか?
対応能力は、単なるアラート通知から完全な自動封じ込めまで多岐にわたります。SIEMとSOARの統合深度を評価し、対応アクションが運用要件に合わせてカスタマイズ可能であることを確認してください。
導入の柔軟性には、オンプレミスセンサー、クラウド提供の分析、またはハイブリッドモデルが含まれます。センサーごとのスループット容量をトラフィック量と照らし合わせて評価し、現実的な価値実現までの期間を見積もってください。
NDRソリューションを評価する際、セキュリティチームは以下の点を確認すべきです:
NDR市場は、AI技術の進歩、クラウド導入、および隣接するセキュリティ分野との融合を原動力として、急速な進化を続けている。
2025年5月に発表された初のNDR向けガートナー・マジック・クアドラントでは、Vectra AI、ダークトレース、エクストラホップ、コアライトがリーダーに選出された。この評価は市場の成熟と企業導入の拡大を示している。
主要な市場動向にはクラウドネイティブNDRの導入が含まれ、ガートナーは2029年までにNDRによって発見されるインシデントの50%以上がクラウド環境から発生すると予測している。生成AIはアラート要約と調査支援を強化している。IDとネットワークの相関分析は侵害された認証情報の使用検出を改善している。
いくつかの進展がNDRの進化を形作っている:
AIを活用した検知技術は、誤検知を減らしつつ精度を向上させ続けています。AI主導 現在、従来のツールよりも最大85%高速に検知 、悪意のあるトラフィックパターンの識別精度が98%を超えています。
XDRの統合により、一部のNDR機能がより広範なプラットフォームに吸収されつつあるが、深いネットワーク専門知識を必要とする組織にとっては、特化したNDRが依然として優位性を維持している。
ゼロトラスト 統合により、NDRは信頼仮定をリアルタイムで検証する継続的検証レイヤーとして位置付けられる。NISTのゼロトラストフレームワークは、継続的なネットワーク監視を中核要件として明確に特定している。
欧州のNIS2や金融サービス向けのDORAを含む規制要因がネットワーク監視機能を義務付けており、規制対象業界におけるNDR導入を加速させている。
Vectra AIのAttack Signal Intelligence 、セキュリティ運用が直面する根本的な課題——アラート過多と分析担当者不足——に対処します。セキュリティチームが日々のアラートの67%を調査できず(業界調査によればその83%が誤検知)、優先順位付けのない検知量の増加は運用麻痺を引き起こします。
Vectra AI 170以上のAIモデルと36の特許を活用し、ネットワーク、アイデンティティ、クラウドの各ドメインにまたがるシグナルを相関分析します。あらゆる異常をアラートするのではなく、攻撃者の行動パターンに基づいて検知結果を優先順位付けし、最も重要な攻撃を可視化すると同時に、アナリストの対応能力を圧迫するノイズを低減します。
このアプローチは核心的な原則を認識している:賢い攻撃者は侵入してくる。問題は、被害が発生する前にセキュリティチームが彼らを発見できるかどうかである。
NDR市場は、AI機能の成熟、クラウド導入の加速、規制要件の拡大に伴い、今後12~24か月で大きな変革に直面する。
AIネイティブ検知は機能から基盤へと移行しつつある。2026年までに、AIは人間のアナリストを支援する段階から、自律的な検知と初期対応を主導する段階へと移行する。リーダー企業と後進企業の差が大幅に拡大するため、組織はベンダーのAIロードマップを慎重に評価すべきである。
クラウドファーストのアーキテクチャはトラフィックパターンを変容させている。クラウドネイティブアプリケーションが企業トラフィックの大半を生成する中、NDRソリューションはオンプレミス型センサーの展開を超えた進化が求められる。クラウドAPI統合とSaaS提供型分析機能への継続的な投資が予想される。
アイデンティティとネットワークの相関分析は、次なる検知のフロンティアである。侵害事例の88%が認証情報の不正利用を伴うことから、ネットワーク行動とアイデンティティ情報を関連付けることで、単独では検知できない正当な認証情報の悪用を検出可能となる。アイデンティティ脅威検知・対応ソリューションは、この融合領域に対応する。
NIS2およびDORAを超える規制の拡大が、コンプライアンス義務によるNDR導入を推進する。組織は事業展開地域における規制動向を追跡し、NDR機能が監視要件に適合していることを確認すべきである。
統合圧力により小規模なNDRベンダーは淘汰される。ガートナーのマジック・クアドラント第1版では明確なリーダーが特定され、二流ベンダーは既に市場から撤退している。組織はベンダーの存続可能性とXDR相互運用性のロードマップを評価し、将来を見据えた投資を行うべきである。
投資優先順位は、実証済みの検知効果を備えたAIネイティブプラットフォーム、インフラストラクチャの方向性に合致するクラウドカバレッジ、並行ワークフローを生むのではなく既存のセキュリティ運用を強化する統合機能に焦点を当てるべきである。
ネットワーク検知とレスポンス(NDR)は、ネットワークトラフィックを監視し、振る舞い分析と機械学習を用いて脅威を検知と対応するサイバーセキュリティ技術です。既知の脅威のみを捕捉するシグネチャベースのツールとは異なり、NDRは通常のネットワーク動作のベースラインを確立し、潜在的な攻撃を示唆する逸脱を特定します。このアプローチは、新たな脅威、暗号化された悪意のあるトラフィック、そして正当な認証情報を使用する攻撃者を検知します。NDRツールは、North-Southトラフィック(外部ネットワークとの送受信)とEast-Westトラフィック(内部システム間の送受信)の両方を分析し、エンドポイントツールでは実現できない可視性を提供します。この技術には、自動ブロック、ホスト分離、SOARプラットフォームとの統合といった対応機能が含まれており、脅威が検知された際に迅速な封じ込めを可能にします。
NDRは振る舞い を用いてネットワークトラフィックを監視し脅威を検知する一方、EDRはエンドポイントのプロセス、ファイル、レジストリ活動を監視します。NDRはネットワークTAPやSPANポートを介してエージェントレスで展開され、横方向の移動、暗号化トラフィック、エージェントを実行できないデバイス(IoT、OT、レガシーシステム)に対する可視性を提供します。EDRは各エンドポイントへのエージェントインストールを必要としますが、 マルウェア の実行やファイル活動に関する詳細なフォレンジック情報を提供します。これらのツールは異なる可視化領域に対応しています:EDRはシステム間のネットワークトラフィックを監視できず、NDRはエンドポイント上で実行されるプロセスを監視できません。ほとんどのセキュリティチームは、SOC可視化トリアドの一環として両方を導入し、NDRがネットワークベースの攻撃を捕捉し、EDRがエンドポイントに焦点を当てた マルウェアを捕捉します。
NDRは、暗号化されたトラフィックを復号せずに、メタデータと振る舞い 技術を通じて分析します。JA3/JA3Sフィンガープリンティングは、TLSハンドシェイクパラメータから一意の識別子を生成し、特定のアプリケーションや既知のマルウェアの識別を可能にします。 マルウェア ファミリーの特定を可能にします。DNS相関分析は暗号化接続を解決済みドメインにマッピングし、不審なインフラとの通信を可視化します。トラフィックタイミング分析はビーコン間隔、セッション持続時間、パケット発生頻度を検証します。これらのパターンは暗号化を通しても持続し、自動化されたC&Cフレームワークを暴露します。証明書メタデータ検査は自己署名証明書、発行日時の近接性、主題フィールドの異常といった不審な属性を特定します。これらの技術を組み合わせることで、高コストな復号インフラを必要とせず、暗号化セッションから実質的な脅威インテリジェンスを抽出します。
NDRとSIEMは競合するものではなく、相互補完的な役割を果たします。SIEMは企業全体のログを集約し、相関分析、コンプライアンス報告、長期保存を実現します。これらはセキュリティ運用と規制要件に不可欠な機能です。しかしSIEMはログ記録に完全に依存します。NDRは実際のネットワークトラフィックを分析し、ログ記録をサポートしないデバイス、監視対象外のシステム、侵害後にログ記録を無効化する攻撃者からの活動を捕捉することで、こうした可視性のギャップを埋めます。 両者を組み合わせた導入は強力な相関分析を実現します:SIEMがログ内の認証異常を検知する一方、NDRはその後のトラフィックにおける横方向の移動を検知します。組織では通常両方を導入し、NDRが高信頼度の検知結果をSIEMに提供することで、他のテレメトリソースとの相関分析を可能にします。
XDRは、エンドポイント、ネットワーク、クラウド、IDテレメトリといった複数の検知ソースを統合プラットフォームに集約し、クロスドメインの相関分析と対応を実現します。NDRはネットワークトラフィック分析に特化し、トラフィックパターン、暗号化通信、横方向移動に対する深い可視性を提供します。NDRは単独で運用することも、XDRアーキテクチャ内のコンポーネントとして運用することも可能です。基本的なネットワーク可視性が必要な組織では、XDRに統合されたNDRで十分である場合があります。 複雑な暗号化トラフィック分析、広範な東西方向監視、OT/IoT可視化など、専門的なネットワーク技術が必要な場合は、XDRと並行して専用NDRを導入することが一般的です。リソース制約のあるチームでは、 マネージド検知・対応サービスで内部機能を補完できます。XDR市場は急成長中(2030年までに308億6000万米ドルと予測)であり、多くのNDRベンダーがネットワーク専門性を維持しつつXDR機能の拡充を進めています。
NDRは、攻撃準備段階における暗号化前の指標を特定することでランサムウェアを検知します。ランサムウェア攻撃は複数の段階を経て進行します:初期アクセス、コマンド&コントロール(C2)の確立、アクセス拡散のための横方向移動、特権昇格、データ窃出のためのステージング、そして最終的な暗号化展開です。NDRはビーコンパターンや悪意のあるインフラへの接続を通じてC2通信を検知します。また、侵害された認証情報を使用してシステム間で拡散する攻撃者の横方向移動を特定します。 データ準備段階では、異常なトラフィックパターン(大規模な内部データ移動、未接続ファイルサーバーへの接続、異常時間帯のトラフィック)が発生します。こうした準備活動を検知することで、NDRは暗号化開始前の対応を可能にします。暗号化が開始された時点で攻撃は既に成功しており、NDRの真価はより早期の段階での検知にあります。
NDRの主な機能には、ベースラインを確立して異常なアクティビティを検出する振る舞い分析、誤検知を削減しながら脅威を分類する機械学習、メタデータ検査とTLSフィンガープリンティングによる暗号化トラフィック分析などがあります。East-Westトラフィック監視は、境界ツールでは見逃されるラテラルムーブメントの可視性を提供します。自動応答機能により、ホストの分離、接続のブロック、SOARプレイブックとの統合が可能になります。SIEM統合により、検知結果をより広範な相関分析ワークフローにフィードします。フォレンジックパケットキャプチャは、調査と脅威ハンティングのための証拠を保存します。API統合によるクラウド環境サポートは、オンプレミスネットワークを超えて可視性を拡張します。プロトコルレベルの分析は、特定のアプリケーションの動作の可視性をサポートします。最後に、脅威インテリジェンス統合により、動作異常に加えて既知の悪意のある兆候を検知できます。