Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
高性能なNDRソリューションは、高度な機械学習と人工知能ツールを使用して、MITRE ATT&CK フレームワークでマッピングされた敵の戦術、技術、手順をモデル化し、攻撃者の振る舞いを高精度で検知します。また、セキュリティに関連するコンテキストを表面化し、精度の高いデータを抽出し、時間、ユーザー、アプリケーションにまたがるイベントを相関させることで、調査に費やす時間と労力を大幅に削減します。また、包括的なセキュリティ評価のために、セキュリティ検知と脅威相関をセキュリティ情報イベント管理 (SIEM) ソリューションにストリーミングします。
NDRソリューションは、単に脅威を検知するだけでなく、ネイティブのコントロールによって、あるいは他のサイバーセキュリティツールやセキュリティオーケストレーション、自動化、対応 (SOAR) のようなソリューションとの幅広い統合をサポートすることによって、リアルタイムで脅威に対応します。
ネットワーク検知とレスポンス (NDR) は、シグネチャベースのツールや技術を使用せずに、組織のネットワークを継続的に監視してサイバー脅威や異常な動作を検知 し、ネイティブ機能または他のサイバーセキュリティツール/ソリューションとの統合によってこれらの脅威に対応するサイバーセキュリティソリューションです。
NDRは、デジタル・インフラを保護する上で極めて重要な役割を果たしています。
脅威の履歴は通常、ネットワーク、エンドポイント、ログの3つの場所で入手できます。
これらのツールを導入したセキュリティチームは、インシデント対応や脅威の追跡において幅広い質問に答えられるようになります。例えば、次のような疑問に答えられます。
・この資産やアカウントはアラート発生前に何をしていたか?
・アラート発生後には何をしていたか?
・事態が悪化し始めた時期を特定できるか?
例えば、デバイスのBIOSレベルで動作するエクスプロイトがEDRを妨害したり、悪意のある活動が単にログに反映されないことがあります。
しかし、攻撃者の活動は、ネットワークを通じて他のシステムと相互作用した時点で、ネットワークツールによって可視化されます。
あるいは、高度で洗練された攻撃者は、通常のトラフィックに紛れて暗号化された HTTPS トンネルを隠し、コマンド&コントロール (C2) セッションを起動し、同じセッションを使用して機密のビジネスデータや顧客データを流出させ、境界のセキュリティ制御を回避します。
効果的なAI主導型のネットワーク検知とレスポンスプラットフォームは、適切なメタデータを収集・保存し、AI由来のセキュリティインサイトでリッチ化します。
AIを効果的に活用することで、攻撃者をリアルタイムで検知し、決定的なインシデント調査を行うことができます。
ネットワーク検知とレスポンスのサイバーセキュリティソリューションは、データセンターからクラウドまで、キャンパスユーザーから在宅勤務ユーザーまで、IaaSからSaaSまで、プリンターからIoTデバイスまで、ネットワークに接続されたすべてのユーザー、デバイス、テクノロジーを継続的に可視化します。
先進的なNDRソリューションは、振る舞い分析とML/AIを使用して攻撃者の振る舞いを直接モデリングし、外科的な精度で高度で持続的な攻撃を検知します。異常を検知 のではなく、アクティブな攻撃を検知するため、忠実度が低く関心の低いアラートの氾濫を避けることができます。持続性、特権の昇格、防御の回避、クレデンシャル・アクセス、発見、ラテラルムーブ、データ収集、C2、流出など、攻撃ライフサイクルのいくつかの段階を検知範囲として提供します。
組織がハイブリッド環境やマルチクラウド環境に移行するにつれ、ネットワークの可視性は断片化される。 クラウドネイティブNDRプラットフォームは、データセンターとクラウドを問わず、すべてのワークロードの動作を分析することで、可視性を回復します。最新のNDRソリューションは、シグネチャやエージェントに依存することなく、ラテラルムーブや暗号化されたコマンド&コントロールのような隠れた脅威を検知 します。
AI主導のNDRソリューションは、サイバーセキュリティの専門知識や人材の慢性的な不足に悩まされている組織やチームにもかかわらず、アラートに迅速かつ完全に対処するために必要なすべての情報をアナリストに提供する自然言語による完全な攻撃の再構成を提供することにより、セキュリティ検知とセキュリティオペレーションセンター (SOC) の運用効率を劇的に改善する自動的なソリューションです。
NDRソリューションは、目立たないように動作し、回避的なテクニックを使用する高度な攻撃を検出するだけでなく、ネイティブコントロールを介して深刻な攻撃に自動的に対応し、リアルタイムで攻撃をシャットダウンする機能を提供します。さらに、EDRのような複数のサイバーセキュリティ製品やSOARのようなサイバーセキュリティソリューションと統合することができます。
IDSはNDRソリューションの第一世代です。既知の脅威を識別するために、ルールベースとシグネチャベースの検知を使用していました。IDSは一般的な攻撃を検知するのに有効でしたが、誤検知を起こしやすく、攻撃者に簡単に回避される可能性もありました。
次世代侵入検知システム (NGIDS)は、IDSの限界に対処するために開発されました。NGIDSは、シグネチャベースの検知、アノマリーベースの検知、振る舞い分析を組み合わせて使用し、既知と未知の脅威の両方を特定した。NGIDSはIDSよりも高度な攻撃を検知するのに有効であったが、依然として複雑で管理が困難でした。
NDRソリューションは、NGIDSの機能を次のレベルに引き上げます。AIと機械学習を活用してネットワークトラフィックを分析し、攻撃を示す可能性のあるパターンや異常を特定します。NDRソリューションは既知および未知の脅威を含む幅広い検知 。 マルウェア、侵入、データ漏洩など、幅広い脅威を検知します。NDRソリューションはNIDSやNGIDSよりも管理が容易です。
NDRの進化は、サイバー攻撃の高度化によって推進されています。攻撃者が新たな手法を開発するにつれ、NDRソリューションもそれに追いつくために進化する必要があります。AIと機械学習は現代のNDRソリューションにおいて重要な役割を果たし、従来の方法では検出が困難または不可能だった脅威を検知し、対応することを可能にします。
現代のNDRソリューションは は、基本的なアラート通知を超えて、調査中の迅速かつ確信を持った意思決定を支援する必要があります。Vectra AI は、現代ネットワーク全体における攻撃者の振る舞いを統合的に可視化し、侵入の各段階(初期アクセスから横方向移動、権限悪用まで)をマッピングします。
今年初め、当社チームによる製品ウォークスルーで、Vectra AI の NDR プラットフォームが、アラートのノイズを排除し、ネットワークベースの攻撃の軌跡を完全に追跡するのにアナリストにどのように役立つかを紹介しました。
デモの主なハイライト
すべてのクリック、すべてのリクエスト、すべてのログイン試行を、Vectra AI が監視して不正行為の兆候を探します。Vectra AI の実際の動作をご覧ください
マネージド・ネットワーク・ディテクション・アンド・レスポンス(NDR)は、専門のサイバーセキュリティ・チームやサービス・プロバイダーの専門知識を活用して、ネットワーク・トラフィックを継続的に監視し、パターンを分析し、潜在的なセキュリティ脅威を特定するサービスです。
マネージドNDRの主な構成要素には以下のようなものがあります。
ネットワークの検知とレスポンスの責任をアウトソーシングすることで、組織はサイバーセキュリティの専門家の専門知識を活用し、最新の脅威を常に把握し、進化するサイバーリスクに対する防御のためのプロアクティブなアプローチを確保することができます。このアプローチは、ネットワークセキュリティを効果的に管理するための社内リソースや専門知識が不足している組織にとって特に価値があります。
ネットワーク検知とレスポンス (NDR) をサイバーセキュリティ戦略に組み込むことは、単なるオプションではなく、必要不可欠です。Vectra AIは、最先端のNDRソリューションにより、企業がプロアクティブに脅威を検知、調査、対応できるようにします。当社のNDR機能によってネットワーク防御を強化し、デジタル資産の回復力を確保する方法については、当社までお問い合わせください 。
NDRとは、ネットワーク検知・対応(Network Detection and Response)の略称です。これは、人工知能(AI)と振る舞い を活用してネットワークトラフィックを継続的に監視し、脅威をリアルタイムで検知するサイバーセキュリティ技術です。既知のシグネチャやログデータに依存する従来のセキュリティツールとは異なり、NDRは実際のネットワーク通信――境界を越えるノース・サウス・トラフィックと、内部システム間で横方向に移動するイースト・ウエスト・トラフィックの両方――を分析します。
NDRは、横方向の移動、コマンド&コントロール通信、データ流出、認証情報の悪用、暗号化トラフィックの異常などを含む脅威を検知します。また、ホストの隔離、セッションの切断、SOARプラットフォームとの連携による統合的なインシデント対応など、自動化された対応機能を提供します。このカテゴリーは2020年にガートナーによって正式に定義され、2025年に発表された初の「NDRマジック・クアドラント」でその有効性が確認されました。
企業は、エンドポイントベース(EDR)とログベース(SIEM)の検知機能の間に生じる可視性のギャップを埋めるため、特にエンドポイントエージェントを実行できない管理対象外のデバイス、IoT/OTシステム、およびクラウドワークロードに対して、NDRを導入しています。
NDRとEDRは、根本的に異なるデータソースを監視し、それぞれ異なる検知シナリオにおいて優れた性能を発揮します。NDRはインフラストラクチャ全体のネットワークトラフィックを監視し、管理対象デバイス、非管理対象デバイス、IoT/OTデバイスを含むすべてのデバイス間の通信状況を可視化します。ネットワークTAP、SPANポート、クラウドフローログを活用してエージェントレスで展開されるため、監視対象デバイスへのソフトウェアのインストールは不要です。
EDRは、各デバイスに軽量なエージェントをインストールすることで、個々のエンドポイントを監視します。これにより、各ホストにおけるプロセスの実行状況、ファイルの変更、メモリの動作、およびレジストリの変更について、詳細な可視性を提供します。
NDRは、ラテラルムーブメント、暗号化されたトラフィックによる脅威、および管理対象外のデバイスに対する攻撃の検知に優れています。EDRは、 マルウェア の実行、ファイルレス攻撃、および管理対象システムにおけるプロセスレベルの脅威の検知に優れています。NDRはEDRに欠けているネットワーク全体のコンテキストを提供し、EDRはNDRでは把握できないエンドポイントレベルの詳細情報を提供します。ほとんどのセキュリティアーキテクチャでは、SOCの可視性トリアドを構成する相互補完的な柱として、両方の技術が必要とされます。
NDRとSIEMは、いずれも脅威の検知に寄与するものの、主な機能は異なります。NDRは、振る舞い と機械学習を用いてネットワークトラフィックをリアルタイムで分析し、実際のネットワーク通信における異常を検知します。一方、SIEMは、ルールベースの検知手法を用いて、組織全体のログデータを収集、相関付け、分析します。
主な違いは、データへの依存度にあります。SIEMは、デバイスやアプリケーションがログを生成・転送することに依存しています。デバイスがログを生成しない場合、ログが不完全だったり設定ミスがあったりする場合、あるいは攻撃者がログ記録メカニズムを改ざんした場合、SIEMは可視性を失ってしまいます。一方、NDRはネットワークトラフィックそのものを監視するため、攻撃者が容易に隠蔽することはできません。ネットワーク通信が行われるたびに、観測可能なトラフィックパターンが生成されるからです。
NDRは、多くのSIEM導入環境には欠けている、独自の東西方向のネットワーク可視性を提供します。SIEMはログの集約を通じて組織全体をより広範囲にカバーし、コンプライアンス報告、監査証跡、ログの保存における主要なプラットフォームとなっています。両者を統合することで、組織は最大のメリットを得ることができます。つまり、NDRによる検知結果がネットワーク上の証拠としてSIEMの相関分析を補完するのです。
NDRは、ネットワークレベルの検知と対応に特化しており、ネットワークトラフィックのパターン、振る舞い 、通信フローについて詳細な可視性を提供します。XDRは、エンドポイント、ネットワーク、クラウド、メール、ID管理といった複数のセキュリティ領域にわたって検知・対応機能を拡張し、さまざまなソースからのテレメトリデータを相関分析して、統合されたインシデントとして把握します。
NDRは、単独のセキュリティ技術として機能することも、より広範なXDRプラットフォーム内のネットワークコンポーネントとして機能することも可能です。多くのXDRソリューションにはNDR機能が含まれていますが、ネットワークトラフィックの分析や振る舞い に関しては、専用のNDRソリューションほどの深度を欠いている場合があります。
NDRとXDRの境界は曖昧になりつつあります。一部のベンダーは、NDRプラットフォームをエンドポイントやクラウドまで拡張し、事実上XDRへと移行しています。また、XDRから着手し、ネットワーク分析機能を強化しているベンダーもあります。組織は、スタンドアロンのNDRが提供する詳細なネットワーク可視性、XDRのクロスドメイン相関分析、あるいはその両方を統合したプラットフォームのいずれが必要かを評価すべきです。
はい。最新のNDRソリューションは、暗号化されたトラフィックを復号することなく分析します。現在、脅威の87%以上が暗号化された通信経路を利用していることを考えると、これは極めて重要です。NDRは、暗号化された通信の複数の属性を精査し、異常を検知します。
メタデータ分析では、送信元および宛先アドレス、ポート、プロトコル、証明書の詳細、セッション時間、データ量などの接続属性を調査します。JA3およびJA4フィンガープリンティングは、TLSハンドシェイクのパラメータに基づいてクライアントおよびサーバーのアプリケーションを特定し、以下の情報を明らかにします マルウェア を特定します。証明書分析では、自己署名証明書、有効期限切れの証明書、および悪意のあるインフラストラクチャに関連する異常な証明書属性をチェックします。
タイミングおよびエントロピー分析により、ビーコン送信パターン(コマンド&コントロールサーバーへの定期的なコールバック)や、タイミング間隔およびペイロードのエントロピーに基づいた異常なデータフローを検出します。これらの振る舞い 、実際のペイロード内容が暗号化されている場合でも脅威を明らかにするため、トラフィックの大部分がTLSやその他の暗号化プロトコルを使用している環境において、NDRは不可欠なものとなります。
「SOC可視化の三本柱」は、ガートナーが2019年に発表した調査レポート「脅威の検知と対応におけるネットワーク中心のアプローチの適用」で提唱した概念である。これは、セキュリティオペレーションセンター(SOC)に対して包括的な脅威の可視化を実現する、相互に補完し合う3つの技術について述べたものである。
その3つの柱とは、ログベースの分析を行うSIEM、エンドポイントの検知と対応を行うEDR、そしてネットワークの検知と対応を行うNDRです。各技術は異なるデータソースを監視し、攻撃対象領域の異なる部分をカバーしています。SIEMは、アプリケーション、システム、インフラストラクチャからのログを分析します。EDRは、プロセス、ファイル、メモリなど、エンドポイントの挙動を監視します。NDRは、ネットワークトラフィックのパターンや通信を監視します。
「トライアド」の概念は、単一のツールだけでは組織全体の環境を完全に可視化することはできないという事実を認識したものです。攻撃者は、ツール間のギャップを悪用します。NDRは、ネットワーク可視化における重要なギャップを埋めるものであり、SIEMやEDRでは監視できない、イースト・ウエスト・トラフィック、暗号化された通信、および管理対象外のデバイスに関連するアクティビティにおける脅威を検知します。これら3つの柱すべてを導入している組織は、1つまたは2つの技術に依存している組織に比べて、はるかに優れた検知範囲を実現しています。
NDRは、トラフィックを無条件に信頼するのではなく、ネットワークの挙動を継続的に検証することで、zero trust 直接的にサポートします。zero trust では、ユーザー、デバイス、ネットワークセグメントのいずれもが本質的に信頼されることはなく、すべての通信は継続的に検証されなければなりません。
NDRは、zero trust に貢献します。NDRは、境界トラフィックだけでなく、すべての内部ネットワークトラフィックを監視し、認証済みのユーザーや信頼されたネットワークセグメントからの異常な動作さえも検知します。また、確立された振る舞い からの逸脱を特定し、それが認証情報の漏洩や内部者による脅威を示している可能性を指摘します。さらに、マイクロセグメント間のイースト・ウエスト通信を可視化し、セグメンテーションポリシーが確実に適用されていることを確認するとともに、許可されていないセグメント間の移動を検知します。
NDRは、IDベースzero trust の対象外となる可能性のある、管理対象外のデバイスやIoT/OTデバイスも監視し、これらのデバイスからのネットワーク動作が想定されるパターンと一致していることを確認します。67%以上の組織がzero trust を導入している中、NDRによる継続的な振る舞い 、セキュリティインフラにおいてますます不可欠な要素となっています。
インラインNDRとアウトオブバンドNDRは、それぞれ異なる導入アーキテクチャであり、それぞれに特有のトレードオフがあります。インラインNDRはネットワーク経路上に直接配置され、センサーを通過するトラフィックを検査します。この配置により、悪意のあるトラフィックをリアルタイムで遮断できますが、遅延が生じるほか、センサーに不具合が生じた場合に単一障害点となる可能性があります。
アウト・オブ・バンドNDRは、ネットワークTAPやSPANポートから提供されるネットワークトラフィックのコピーを監視します。データパス上に配置されることなく、このミラーリングされたトラフィックを分析します。このアプローチにより、遅延や障害のリスクを排除できますが、悪意のあるトラフィックを直接ブロックすることはできません。封じ込め措置を講じるには、ファイアウォール、スイッチ、またはEDRと連携させる必要があります。
多くの企業におけるNDRの導入では、ネットワークの混乱を招くリスクなしに包括的な監視を実現できるため、アウトオブバンド型アーキテクチャが採用されています。一方、インライン型導入は、重要インフラや機密性の高いデータを扱う環境など、特定のリアルタイム遮断要件がある環境でより一般的です。こうした環境では、運用上のトレードオフを許容する価値があるほど、自動化された即時遮断が重要視されるためです。多くの組織では、広範な監視にはアウトオブバンド型を、重要なボトルネック箇所にはインライン型センサーを配置するというハイブリッドなアプローチを採用しています。
いいえ。従来のネットワーク監視とNDRは、それぞれ異なる目的を持っています。ネットワーク監視は可用性とパフォーマンスに重点を置いており、帯域幅の使用状況、稼働時間、遅延、パケットロスなどを追跡することで、ネットワークが確実に動作するようにします。SNMPモニターやネットワークパフォーマンス管理システムなどのツールは、このカテゴリーに分類されます。
NDRは、脅威の検知に特化したAI駆動型の振る舞い 適用することで、従来のソリューションを大幅に上回る機能を実現します。NDRは、通常のネットワーク活動の振る舞い 構築し、セキュリティ上の脅威を示す異常を検知し、複数のシグナルを関連付けて優先順位付けされたセキュリティインシデントとして特定し、脅威を封じ込めるための自動化またはガイド付き対応機能を提供します。
どちらの技術もネットワークトラフィックを監視しますが、その目的は根本的に異なります。ネットワーク監視は「ネットワークは正常に動作しているか」を問うのに対し、NDRは「ネットワークへの攻撃は発生していないか」を問います。データソースは重複する場合もありますが、分析モデル、検知の目的、および対応能力は全く異なります。NDRはネットワーク監視を補完するものであり、多くの組織では、運用状況の可視化のためにネットワーク監視を、セキュリティ状況の可視化のためにNDRを、それぞれ導入しています。
AIは、現代のNDRを実現する基盤技術です。AIと機械学習がなければ、NDRはシグネチャベースの検知手法に戻ってしまうでしょう。これはIDS/IPS時代を象徴するアプローチでしたが、現代の脅威に対しては不十分であることが証明されています。
機械学習モデルは、NDRの中核機能である「振る舞い 」を支えています。これらのモデルは、各デバイス、ユーザー、サブネットについて、経時的な正常なネットワークパターンを観測し、典型的な振る舞いを学習します。リアルタイムのトラフィックがこれらのベースラインから逸脱した場合、モデルは異常を検知し、調査対象としてフラグを立てます。このアプローチにより、既存のシグネチャを持たない新たな脅威を検出することが可能です。
ディープラーニングモデルは、暗号化されたトラフィック内のコマンド&コントロール通信の特定、多数の小さなセッションに分散したデータ流出の検知、数時間から数日間にわたる多段階の攻撃パターンの認識など、複雑なパターン認識タスクを処理します。統計分析は、大量のトラフィックにおける異常値の検出において、機械学習モデルを補完する役割を果たします。
最新世代のNDRでは、エージェント型AIが導入されています。これは、アラートを調査し、振る舞い 統合して攻撃の全容を把握し、ビジネスリスクに基づいてインシデントの優先順位を決定する自律型AIエージェントです。これにより、SOCアナリストの調査負担が軽減され、誤検知を排除しつつ、真の脅威に対してより迅速に対応することが可能になります。