攻撃を見逃さない！NDRで実現する迅速なインシデント対応

攻撃手法は日々進化を続けており、EDR（Endpoint Detection and Response）だけでは防ぎきれない新たなリスクが次々と生まれています。そこで、ネットワーク全体を可視化し、異常な振る舞いをいち早く捉える「NDR（Network Detection and Response）」が求められている背景を踏まえ、NDRの仕組みや導入時のポイントや、実際の運用で得られる効果を解説するウェビナーを2回開催しました。いずれも多くの方にご参加いただき、大きな反響がありました。

今回は、その中でも特に注目が集まったNDRとEDRの連携について、ポイントを簡単にご紹介します。

NDRにおけるインシデントレスポンス

EDRとの連携に触れる前に、まずはリスクのあるホストや端末に対して、NDRでどのような対応ができるのかを紹介します。NDRは検知だけでなく、初動対応のスピードや範囲を広げる役割も担います。ここでは、実際の運用でも有効なインシデントレスポンスの主な2つのパターンを取り上げます。

• リセットパケットでの対応
  ネットワーク内部で不審な通信が発生した際に通信の送信元と宛先のIPアドレスにリセットパケットを流してTCP接続をリセットすることが可能
• 他製品（EDR/FW/AD等）連携による対応
  EDRやFW、ADと主にAPIを介して連携することで不審なホストをネットワークから隔離、通信を遮断することが可能

実際に攻撃が実行された際は、NDRがリセットパケットを送信して攻撃者との通信を即座に遮断できます。侵入の初動段階で被害を最小化することが可能です。しかし、リセットパケットだけでは遮断が間に合わないこともあります。その場合は、検知した脅威情報をEDRなど他の製品と連携させ、端末側から通信を遮断することで攻撃の進行を防ぎます。

いかなるセキュリティ製品にも共通して言えることですが、単独であらゆる脅威に対応するのは難しく、複数の製品を連携させてこそ防御力を最大化できます。

NDRとEDRの連携

サイバー攻撃の手口が多様化する中で、NDRとEDRの連携は今や企業のセキュリティ対策に欠かせません。NDRはネットワーク上の通信を可視化し、異常な挙動を早期に検知することに強みを持ち、EDRは端末上の挙動を詳細に追跡して原因を突き止めることに長けています。両者は役割も検知対象も異なるため、連携することでそれぞれの弱点を補い合い、より精度の高い防御を実現します。両者を組み合わせることで、ネットワークと端末の両面から脅威を検知・対応でき、より高度なセキュリティ体制を構築できます。

上表のように、特長が異なるEDRと連携した際のインシデントレスポンスの流れを簡単にご紹介します。

• 1.異常検知（NDR）
  ネットワーク上で不審な通信（例：C2通信、内部から外部への大量送信）を検知。
• 2.端末特定（EDR）
  NDRのログから通信元の端末を特定し、EDRでその端末の挙動（プロセス、ファイル操作など）を分析。
• 3.封じ込め（EDR）
  影響を受けた端末をネットワークから隔離し、攻撃の拡大を防止。
• 4.横展開の確認（NDR）
  他の端末やサーバーへの横展開（ラテラルムーブメント）がないかをネットワークログで確認。
• 5.根本原因の調査（両方）
  侵入経路、攻撃手法、影響範囲をNDRとEDRのログを突き合わせて分析。
• 6.復旧と再発防止
  EDRで端末を復旧し、NDRで通信ルールや検知ポリシーを見直すことで再発防止策を講じる。

このようにそれぞれの特長を組み合わせて活用することで、より効果的なセキュリティ対策を実現することが求められます。

ウェビナー再配信のお知らせ

2025年10月9日に開催したウェビナー「NDRの最適解とは？Vectra AIで実現するネットワークセキュリティ革新と効果」には、多くの皆様にご参加いただき、誠にありがとうございました。

ご好評につき、前回ご参加いただけなかった方々から再配信のご要望をいただき、このたび再配信を行うこととなりました。最新のネットワークセキュリティの実践的なポイントや、NDR導入による効果を知る絶好の機会です。ぜひこの機会にご視聴ください。