Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
NDRとEDRを比較しているということは、すでに基礎知識の域を超えているということです。真の問題は、2026年においてもエンドポイント検知だけで検知戦略を成り立たせることができるかどうかであり、過去6か月の実態からは、それは不可能であることが示されています。ESETが2026年3月に実施した調査では、約90種類のEDR対策ツールを追跡しており、そのうち54種類が脆弱性のある署名付きドライバーを悪用していました(ESET WeLiveSecurity)。 Akiraの関連グループは、EDRがWindows向けペイロードをブロックした後、IoTウェブカメラからネットワーク全体を暗号化しました(BleepingComputer)。また、CISAのAA24-326Aレッドチームアドバイザリは、米国の重要インフラ組織が「ホストベースのEDRソリューションに過度に依存し、ネットワーク層の保護を十分に実施していなかった」と結論付けています。
結論から言えば、中堅企業や大企業の多くは、NDRとEDRの両方を、特定の順序で導入し、多層的なアーキテクチャに統合する必要があります。本ガイドでは、その根拠がどのように変化したのか、検出能力、コスト、コンプライアンスの観点から両ツールを比較した結果、そしてどちらを先に導入すべきかを判断する方法について解説します。
NDR(ネットワーク検知・対応)は、ネットワークトラフィックを分析して、接続されたすべてのデバイスにわたる脅威を検知します。一方、EDR(エンドポイント検知・対応)は、インストールされたエージェントを通じて、個々のエンドポイント上のプロセス、ファイル、レジストリの活動を監視します。NDRはエージェントレスであり、管理対象外のデバイスも把握できます。EDRはエージェントベースであり、エンドポイントの詳細な動作を把握します。これら2つのツールは、攻撃ライフサイクルの異なる側面をカバーしています。
ネットワーク検知・対応(NDR)は、イースト・ウエストおよびノース・サウス方向のトラフィック全体にわたって振る舞い 確立し、コンテンツを復号化することなく、異常なビーコン、不審な横方向の接続、疑わしいデータ転送といった逸脱を検知します。NDRはアウト・オブ・バンドで動作するため、ホストレベルの侵害によって無効化されることはなく、OSや管理状態にかかわらず、ネットワークに接続するすべてのデバイスを監視します。
エンドポイント検出・対応(EDR)は、管理対象の各エンドポイントにエージェントをインストールし、プロセスの起動、ファイルへの書き込み、レジストリの変更、メモリへの書き込み、およびスクリプトの実行を監視します。EDRは、 マルウェア の実行を阻止し、ホストレベルのフォレンジック情報を提供する点において比類のない能力を持っています。その中核となる前提——エージェントが存在し、無傷であるということ——こそが、2025年から2026年にかけての攻撃者が破壊するように仕組まれている前提そのものです。
データソース、導入形態、回避対策への耐性、およびカバレッジの観点から、NDRとEDRを直接比較する。
データソースと展開。NDRはネットワークを分析し、EDRはエンドポイントを分析します。査読済みの学術分析によると、EDRのMITRE ATT&CK ~55%とされていますが、業界の調査では、ATT&CK手法の約52%がネットワーク経由で対処可能であることが示されています。これら2つのカテゴリーは、攻撃対象領域において重複しつつも異なる部分を担っており、単独で対応する場合よりも、両者を組み合わせることでフレームワークのより広範な部分をカバーすることができます。
攻撃の段階と回避耐性。EDRはキルチェーンの初期段階、すなわち管理対象ホストにおける実行、持続、および権限昇格において、構造的に最も強力である。 NDRは、中間および終盤の段階、すなわち横方向の移動、コマンド&コントロール(C2)、およびデータ流出において、構造的に最も強力である。検知回避耐性こそが、2026年に状況を一変させる要因となる。EDRは脆弱なドライバーの読み込みによって検知を妨げられる可能性があるが、アウトオブバンドで動作するNDRにはそのような影響はない。
管理対象外のデバイスと振る舞い 。 EDRにはエージェントが必要です。プリンター、IoTカメラ、OT(オペレーショナルテクノロジー)コントローラー、医療機器、レガシーなLinuxアプライアンス、およびゲスト用ノートPCでは、エージェントを実行できません。NDRはこれらすべてを監視します。振る舞い 、EDRはホストレベルの異常検知に優れており、NDRは認証情報の悪用を明らかにするイースト・ウエスト・トラフィックのパターン分析に優れています。 MITRE ATT&CK リモートサービスなどの技術(T1021) およびアプリケーション層プロトコル (T1071).
結論:NDRとEDRは、攻撃の異なる側面をカバーしています。EDRはエンドポイントを、NDRはエンドポイント間のあらゆる領域を管理します。この比較は「どちらが優れているか」ではなく、「攻撃のどの側面を無防備なままにしておく余裕があるか」という問題なのです。
NDRとEDRを比較した検索結果の上位表示は、あくまで理論の域を出ていません。しかし、過去18ヶ月間の実証データにより、その理論的な議論は具体性を帯びてきました。3つの事例研究と1つのマクロトレンドが、この議論の在り方を一変させたのです。
2025年のあるインシデント対応案件において、Akiraの関連グループはWindows向けランサムウェアのペイロードを展開しようとしたが、被害者のEDRによってブロックされ、隔離された。その後、攻撃者は環境のネットワークスキャンを行い、EDRエージェントがインストールされていない管理対象外のLinuxベースのIPウェブカメラを発見した。そして、そのウェブカメラからSMB共有をマウントし、エンドポイント監視ツールでは検知できないデバイスからネットワーク全体にわたりファイルを暗号化した。 あるインシデント対応企業の2024年のランサムウェア対応件数のうち、Akiraによるものが約15%を占めた。東西方向のSMBトラフィックをネットワーク層で監視していれば、この横方向の暗号化攻撃を即座に検知できたはずである(BleepingComputer、S-RM、INCIBE-CERT)。
ESETの2026年の調査によると、Reynoldsランサムウェアファミリーには、実行時にEDRを無力化するために使用される脆弱なドライバー(NSecKrnl)が組み込まれていたことが明らかになった。 このドライバーは、正当な署名付きカーネルコンポーネントとしてロードされた後、ペイロードの起動前にエンドポイントセキュリティプロセスを強制終了させるために悪用されました。利用可能な唯一のアウトオブバンド信号は、その後のC2トラフィックのみでした。これは、すでに無力化されたエンドポイントエージェントには検知できないものの、ネットワーク通信を監視しているNDRプラットフォーム(ESET WeLiveSecurity、Help Net Security)には可視化されるものでした。
当初は単一のランサムウェア・アズ・ア・サービス(RaaS)事業に限定されていたEDRKillShifterは、2025年末から2026年にかけて、Play、BianLian、Medusa によって採用されるようになった。当初は特注の機能として開発されたものが、現在ではアフィリエイト経済圏全体で取引される汎用ツールとなっている。これは、10Cobalt Strike、Mimikatz、および認証情報ダンプツールが汎用化していったのと同様の流れである(ESET WeLiveSecurity、The Hacker News)。
ESETの2026年3月の分析によると、約90種類のEDR回避ツールが確認された。そのうち54種類は、35種類の署名付きドライバーを悪用するBYOVD(Bring Your Own Verified Driver)手法を採用しており、そのうちの24種類のドライバーは独自開発されたもので、公開されているCVEが存在しない。つまり、パッチ適用プログラムではこの脆弱性を修正できないということだ。EDR回避ツールの闇市場での価格は、1ツールあたり300ドルから1万ドルの範囲である。
米国政府もすでに同様の結論に達している。CISAが2024年11月に発表したレッドチーム・アドバイザリ「AA24-326A」では、重要インフラを対象としたレッドチーム活動において、EDRが評価者のペイロードを「ごくわずかしか検知しなかった」ことが記録されている。 CISAの明確な調査結果は、当該組織が「ホストベースのEDRソリューションに過度に依存し、ネットワーク層での十分な保護対策を実施していなかった」というものだ。これとは別に、SpyCloudの「2026年ID情報漏洩レポート」によると、情報窃取型マルウェアに感染したデバイスの54%は侵害時点でアンチウイルスまたはEDRがインストールされていたが、認証情報を保持していた感染ホストの46%は完全に管理対象外であり、これこそがEDRが到達できない対象層そのものである。
結論:2026年、ランサムウェアのアフィリエイトはEDRの無効化を標準的な手法として扱うようになる。そのため、ネットワーク側の検知が、アウトオブバンドの信頼できる情報源となっている。
これら2つのカテゴリーは、MITRE ATT&CK に明確に当てはまります。EDRはエンドポイントに焦点を当てた戦術を、NDRはネットワークに焦点を当てた戦術をそれぞれ主導しています。一部の戦術、特に「防御回避」や「認証情報へのアクセス」などは、双方からのシグナルを活用しています。
MITRE ATT&CK 対応範囲。「防御回避」と「認証情報へのアクセス」の領域が重なっている部分は、複数のシグナルを組み合わせることで最大の価値が生まれる箇所を示しています。
査読済みの学術分析によると、EDRMITRE ATT&CK ~55%に及ぶとされています。一方、業界の調査では、ATT&CKの手法の約52%がネットワーク経由で対処可能であると推定されています。両者の重複部分は有意義ですが完全ではありません。両ツールを組み合わせた対応範囲は、いずれか単独の場合よりも大幅に広くなり、特に現代のランサムウェア対策において最も重要な「チェーンの中間段階」の戦術において顕著です。手法の完全な一覧については、MITRE ATT&CK 参照してください。
結論:EDRはエンドポイント対策に強みを持つ。NDRは横方向の拡散、C2通信、およびデータ流出対策に強みを持つ。これらを組み合わせることで、EDR単独ではカバーしきれないATT&CKの死角を埋めることができる。
検索結果の1位から10位までのいずれにも、NDRとEDRのコスト比較に関する情報は掲載されていません。本セクションでは、特定のベンダーの価格ではなく、概算の範囲を示すことで、その空白を埋めます。
EDRの価格モデル。エンドポイント単位・年単位のライセンス契約が主流であり、通常、1エンドポイントあたり年間20~100ドルの範囲となっています。 エンタープライズ向けEDRの導入には、エージェント管理、ポリシーの調整、マネージド検出アドオン、およびホストレベルのアラートをトリアージするために必要なアナリストの作業時間といったコストが追加されます。2026年のEDR市場規模は約68億9,000万ドルと推定され、年平均成長率(CAGR)は約26.3%で成長すると見込まれています。
NDRの価格モデル。NDRの価格はベンダーによって異なりますが、一般的にデバイス単位ではなく、定額制かつスループットベースとなっています。ユーザー単位のモデルは、多くの場合、1ユーザーあたり月額20ドル程度から始まります。センサーベースのモデルは、センサー設置場所ごとのネットワークスループットに基づいて価格設定されます。NDRはパケットの完全なキャプチャではなくネットワークメタデータを保存するため、ストレージコストが抑えられます。 NDR市場は2025年に35億~42億ドル規模に達し、アナリスト機関によって異なるものの、年平均成長率(CAGR)は10~23%で成長すると予測されています。また、ガートナーは2025年5月に、NDR分野における初の「マジック・クアドラント」を発表しました。
EDRとNDRのTCO比較フレームワーク。ベンダー固有の見積もりではなく、価格モデルとコスト要因に基づいて提示されています。
予算の根拠となる数値。 IBMの「Cost of a Data Breach 2025」レポートによると、データ侵害による世界平均のコストは444万ドル、侵害の特定と封じ込めに要する平均期間は241日となっています。AIセキュリティツールを積極的に活用している組織では、侵害のライフサイクルを80日短縮し、1件あたり約190万ドルのコスト削減を実現しています。 この計算に照らせば、多層的なNDR+EDR導入にかかる年間コストは、1件あたりのコスト削減額に比べればごくわずかなものです。特に、エンドポイント層だけでは阻止できなかったランサムウェアの感染拡大といったインシデントの場合、その差は顕著です。
結論:EDRは通常、1ユーザーあたりのコストが安くなりますが、NDRの攻撃回避能力や管理対象外のデバイスへの対応範囲の広さは、エンドポイント層で見逃した脅威をネットワーク層が初めて検知した時点で、その投資に見合う価値を発揮することがよくあります。
コンプライアンス・マッピングは、SERPにおける2番目に大きなギャップです。以下のマトリックスでは、両ツールをNIST CSF 2.0、NIS2指令、およびCIS Controls v8と照合しています。
NDRとEDRがそれぞれフレームワークの統制要件をどの部分で満たしているかを示した対応表。NIST CSFおよびNIS2の要件を完全に網羅するには、両方のツールが必要である。
NIS2は、2026年に最も大きなコンプライアンスの推進要因となります。エンティティの特定に関する期限は2025年4月に過ぎ、重要エンティティに対する最初のコンプライアンス監査は2026年6月に開始されます。NIS2第21条では、ネットワーク監視機能の導入が明示的に義務付けられており、エンドポイントのテレメトリのみに依存している組織は、要求される継続的な監視管理を証明することができません。 ネットワーク検知がログベースのコンプライアンス報告とどのように統合されるかについての詳細は、「SIEMとNDRの比較」を参照してください。
米国の組織も同様の圧力に直面している。NIST CSF 2.0 DE.CM このコントロールでは「ネットワークおよびネットワークサービス」の継続的な監視が規定されており、CISコントロール13は明確にネットワークに焦点を当てています。いずれのフレームワークも、エンドポイントの監視をネットワーク監視の代替と見なしていません。
結論:NIS2、NIST CSF 2.0、またはCIS v8の適用対象となる組織にとって、ネットワーク監視機能はもはや必須の要件である。EDRだけでは、制御上のギャップを埋めることはできない。
こうした比較記事の多くは「両方使うのがベスト」という結論で終わりますが、予算が片方しか賄えない場合には、あまり参考になりません。そこで、具体的な6段階の意思決定ツリーをご紹介します。
ステップ 1 — 現在、EDRを導入していますか?導入していない場合は、まずEDRを導入してください。成功した侵害の約70%はエンドポイントから発生しており、EDRは既知の マルウェア を阻止し、ホストレベルのフォレンジック分析を提供するための基礎的な対策であり続けています。
ステップ 2 — 管理対象外のデバイスはありますか?エージェントを実行できない IoT、OT、BYOD、ゲスト、またはレガシーシステムなどです。ある場合は、NDRを追加してください。EDRではこれらのデバイスを監視できません。SpyCloudの2026年の調査によると、認証情報を保持している感染ホストの46%が管理対象外でした。
ステップ3 — NIS2、DORA、NIST CSF 2.0、またはCIS v8の適用対象ですか?該当する場合、ネットワーク監視はコンプライアンス要件となります。NDRはこの要件を直接満たしますが、EDRは満たしません。
ステップ4 — ランサムウェアは、貴組織にとって現実的な脅威でしょうか?もしそうであれば、BYOVDによってEDRが無効化された場合、NDRがアウトオブバンド検知層として有効であることが、証拠によって裏付けられています。「Akira」ウェブカメラ事件、Reynolds BYOVDファミリー、およびEDRKillShifterのアフィリエイトによる拡散は、いずれも同様の結論を示しています。
ステップ 5 — 両方のプラットフォームを運用するためのSOC要員は確保されていますか?もし確保されていない場合は、マネージド・ディテクション・アンド・レスポンス(MDR)サービスや統合プラットフォームの導入を検討してください。EDRの拡張というユースケース(NDRが既存のエンドポイント投資を置き換えるのではなく、それを補完する形)は、アナリストの業務負荷を倍増させることなく、多層的な防御体制を構築するための最も迅速な手段となることがよくあります。
ステップ 6 — NDR と EDR のアラートを統合します。ホストレベルとネットワークレベルのシグナルを相互に関連付けることで、誤検知を減らし、信頼性の高い検知を実現します。これが「SOC 可視性トライアド」パターンの基盤であり、最新のNDR ツールが最大の価値を発揮する仕組みです。
結論:EDRを導入していない場合は、まずEDRから導入してください。管理対象外のデバイス、コンプライアンス要件、または現実的なランサムウェアのリスクに直面した時点で、NDRを追加してください。両者を統合することで、相互に関連付けられた、信頼性の高い検知を実現できます。
NDRとEDRの比較は、3つのトレンドが展開されるにつれ、2026年から2027年にかけてさらに変化していくでしょう。
BYOVDの汎用化が加速している。ESETのデータ(EDR対策ツールを無効化する90のツール、そのうち54がBYOVDを利用、24がCVE未登録のカスタムドライバーを悪用)は、エンドポイント回避を産業化した攻撃者のエコシステムを浮き彫りにしている。ツールの数は今後も増え続け、Play、BianLian、Medusa 現在のMedusa を超えて、関連組織による採用も拡大すると予想される。エンドポイントのみの検知戦略を計画している組織は、明らかな攻撃者のトレンドに逆らう賭けをしていることになる。
NIS2監査により、コンプライアンスは「理論上のもの」から「強制されるもの」へと移行します。2026年6月には、重要事業体に対する最初の監査が実施されます。早期の執行措置により、「継続的なネットワーク監視」に実際に何が求められるかについての先例が確立され、NDR機能を備えていない組織は、EDRの成熟度にかかわらず是正勧告を受ける可能性があります。米国では、金融セクターにおけるDORAの導入やSECのサイバー開示規則も、同様の圧力を生み出しています。
プラットフォームの統合とXDRの成熟。NDR分野はアナリストからも成熟段階にあると認められており(ガートナーによる初のNDRマジック・クアドラントが2025年に発表された)、XDRプラットフォームでは、統一されたコンソール下でNDRとEDRの機能を統合し続けている。 より多くの組織が、より広範なXDR導入の一環としてNDRを活用するようになることが予想されますが、一方で、コンソールの統合よりもネットワーク分析の深度が重要となる、複雑なハイブリッド環境、OT環境、またはIoT環境を持つ組織においては、ベスト・オブ・ブリード型のNDRが引き続き好まれるモデルとなるでしょう。
AIを活用した検知は、アナリスト不足を解消します。AI主導の検知と対応は、インシデントを封じ込められるか、あるいは壊滅的な事態に発展するかの分かれ目となりつつあります。2025年のIBMレポートによると、AIと自動化を幅広く導入している組織は、導入していない組織に比べて、侵害の封じ込めに約80日早く成功しています。 今後18ヶ月間で、運用上の重点は「NDRとEDRを導入しているか」から、「両ツールからのシグナルが相関分析され、実効性のある速度で優先順位付けされているか」へと移行するだろう。
「SOC可視化トライアド」は、NDR、EDR、SIEMを組み合わせることで、ネットワーク、エンドポイント、およびログに基づく検知が相互に補完し合うように設計されています。この概念は業界標準であり、多層防御の参照アーキテクチャとして広く採用されています(Nomios SOC可視化トライアド解説)。 実際には、NDRがネットワーク層の異常を検知し、EDRが同じインシデントについて詳細なホストフォレンジック分析を行い、SIEMがこれらのシグナルストリームを、アプリケーション、クラウドサービス、ID管理システムからのログと照合します。
XDRプラットフォームは、コンソールと相関分析ロジックを統合することで、この連携をさらに進化させています。マネージド・ディテクション・アンド・レスポンス(MDR)サービスは、広範なカバー範囲を必要とするものの、両プラットフォームを社内で運用するためのSOC要員が不足している組織に対し、運用レイヤーを提供します。これら3つのアプローチはいずれも、現代のSOCがネットワークとエンドポイントの検知のどちらか一方を選択するのではなく、両方を基盤として構築されるという、同じ根本的な前提に基づいています。
Vectra AI は、侵害を前提とした姿勢をとります。つまり、巧妙な攻撃者は侵入し、可能な限りの機能を無効化し、SOCが残された痕跡を見逃すことを期待するというものです。ネットワーク層 Attack Signal Intelligence は、エンドポイントが機能停止、侵害、または存在しない場合に、アウトオブバンドの真実のソースとして設計されています。これにより、SOCには、横方向の移動、コマンド&コントロール、およびデータ流出が隠蔽できない、第二の独立した検知レイヤーが提供されます。 目標は EDR を置き換えることではありません。Akira、Reynolds、および EDRKillShifter の事例が示すように、攻撃者がエンドポイント層を突破した場合でも、SOC がネットワーク上でシグナルを受信できるようにすることです。既存のエンドポイント投資を拡張するセキュリティ チームにとって、EDR 拡張アプローチは、運用上の負担を 2 倍にすることなく、階層化されたカバレッジを提供します。
NDRとEDRは競合関係にあるわけではありません。これらは検知アーキテクチャを構成する相互補完的なレイヤーであり、それぞれが他方がカバーできない領域を担っています。EDRはエンドポイント(実行、持続性、ホストレベルのフォレンジック)を管轄し、あらゆる管理環境における基盤となる制御手段であり続けています。 一方、NDRはネットワーク(横方向の移動、コマンド&コントロール、データ流出、およびエンドポイント層では到達できないすべての非管理デバイス)を管轄し、ランサムウェアの関連組織がEDRの無効化を常套手段とする脅威環境において、アウトオブバンドの真実の源となっています。
予算に制約のあるチームにとって、その手順は明確です。EDRを導入していない場合はまずEDRを導入し、管理対象外のデバイス、コンプライアンス要件、または信憑性のあるランサムウェアのリスクに直面した時点で、NDRを追加します。 両者を統合することで、相互に関連付けられた高精度な検知を実現します。2025~2026年の侵害事例、MITRE ATT&CK 分析、NIS2コンプライアンスのタイムライン、そしてIBMの侵害コスト試算は、すべて同じ方向を指し示しています。残された唯一の疑問は、どのギャップを最初に埋めるかということです。
Vectra AI 階層型検知Vectra AI どのようにVectra AI 、またEDR拡張機能の活用事例について詳しく見てみましょう。ネットワーク層におけるAttack Signal Intelligence 、既存のエンドポイント投資をどのようにAttack Signal Intelligence をご確認ください。
はい、ほとんどの中堅企業およびエンタープライズ環境において、特に管理対象外のデバイス、IoT、OT、ハイブリッドネットワークが存在する場合、あるいはランサムウェアの脅威にさらされている環境ではそうです。CISAが2024年11月に発表したアドバイザリAA24-326Aでは、ある米国の重要インフラ組織がレッドチーム演習において、EDRがペイロードを「ごくわずかしか検知できなかった」にもかかわらず、「ホストベースのEDRソリューションに過度に依存し、ネットワーク層での十分な保護策を講じていなかった」と結論付けています。 Akira、Reynolds、およびEDRKillShifterによる2026年の実証結果は、この点を裏付けています。エンドポイントのみを対象とした検知戦略には、ネットワーク層での検知によって直接対処可能な、十分に立証された死角が存在するのです。EDRを導入していてもネットワーク監視を行っていない場合、管理対象外のデバイスにアクセスしたり、脆弱なドライバーをロードしたりできる攻撃者に対して、検知アーキテクチャは構造的に脆弱な状態にあります。
NDRは、パケット、フロー、メタデータといったネットワークトラフィックを分析し、エージェントを実行できないデバイスを含め、接続されたすべてのデバイスにわたる脅威を検知します。一方、EDRは管理対象の各エンドポイントにエージェントをインストールし、プロセス、ファイル、レジストリの活動を監視します。EDRは、管理対象ホストにおける実行、持続化、権限昇格の検知に最も優れています。NDRは、横方向の移動、コマンド&コントロール、データ流出の検知に最も優れており、EDRでは検知できないデバイスも監視対象となります。 これら2つのツールは、MITRE ATT&CK 異なる領域に対応しており、手法の約52%はネットワーク経由で対処可能であり、48~55%はEDRによってカバーされています。両者は競合関係にあるのではなく、互いに補完し合う関係にあります。
どちらが絶対的に優れているというわけではありません。EDRは、エンドポイントから発生する マルウェアを阻止し、ホストレベルのフォレンジックを提供し、管理対象のノートPCやサーバーを監視するには、EDRが最適なソリューションです。横方向の移動の検知、暗号化トラフィックの分析、管理対象外のデバイスのカバー、およびエンドポイントが侵害された際のアウトオブバンドでの耐障害性を確保するには、NDRが最適なソリューションです。現代的な解決策は、これら両方を段階的に導入することです。エンドポイント検出機能がない場合はまずEDRを導入し、管理対象外のデバイスへの対応、コンプライアンス要件、または信憑性のあるランサムウェアのリスクに直面した時点で、速やかにNDRを追加します。
管理対象外のデバイス(IoTカメラ、OTコントローラー、医療機器、プリンター、レガシーLinuxシステム)に対する脅威、盗まれた有効な認証情報を利用した横方向の移動、正当なトラフィックに紛れ込むコマンド&コントロール(C&C)ビーコン、およびBYOVDドライバーの読み込みによってEDRが機能停止に追い込まれるあらゆる攻撃。 実例としては、Akiraウェブカメラ事件、Reynolds BYOVDランサムウェアファミリー、そして現在複数のランサムウェア関連組織によって使用されているEDRKillShifterツールセットなどが挙げられる。ESETの調査によると、2026年3月時点で約90種類のEDRキラーツールが流通しており、アンダーグラウンド市場での価格は1ツールあたり300ドルから1万ドルとなっている。
EDRをエンドポイント制御の基盤として活用してください。管理対象のすべてのワークステーションとサーバーでEDRを実行する必要があります。 以下のいずれかの条件に該当する場合は、直ちにNDRを導入してください:管理対象外のデバイス(IoT、OT、BYOD、ゲスト)が存在する場合、NIS2、DORA、NIST CSF 2.0、またはCIS Controls v8の適用対象である場合、ランサムウェアが組織にとって現実的な脅威である場合、またはSOCがエンドポイントのアラート量に苦慮しており、調査の優先順位付けのために精度の高いネットワーク層のシグナルを必要としている場合。 ほとんどの企業環境において、これらの条件のうち少なくとも1つはすでに当てはまっています。
EDRは、インストールされたエージェントを通じてエンドポイントを監視します。NDRは、アウトオブバンドセンサーを通じてネットワークトラフィックを監視します。XDR(拡張型検知・対応)は、NDR、EDR、クラウド検知、IDシグナルなどを含む複数の検知ドメインを、統合された相関分析および対応プラットフォームに統合します。 EDRとNDRを検知レイヤー、XDRをそれらを連携させる相関分析および運用レイヤーと捉えてください。多くのXDRプラットフォームは、NDRとEDRをコンポーネントとして含んでいますが、各カテゴリから最適なツールを統合しているものもあります。より詳細な解説については、上記の「拡張検知・対応(Extended Detection and Response)」トピックをご覧ください。
SIEMは、エンドポイント、アプリケーション、ファイアウォール、クラウドサービスからのログデータを集約・相関分析し、ルールに基づいて脅威を検知するとともに、コンプライアンスレポートを提供します。NDRは、振る舞い を用いてネットワークトラフィックを直接分析し、ログエントリが生成されない脅威(暗号化されたC2通信、有効な認証情報を利用した横方向の移動、管理対象外のデバイス上での活動など)を検知します。SIEMは、コンプライアンス対応、過去のフォレンジック分析、および一元的な可視化において強みを発揮します。 NDRは、リアルタイムの振る舞い とネットワークの死角のカバーにおいて優れています。