Network detection and response

Network detection and response（ネットワークディテクションアンドレスポンス、略:NDR）^[1]は、ネットワークトラフィックを継続的に分析することで、システムの異常な振る舞いを検出するネットワークセキュリティ製品のカテゴリーを指す。NDRソリューションは、振る舞い分析を適用して、内部（イースト・ウェスト）および外部（ノース・サウス）のネットワーク通信における生のネットワークパケットやメタデータを検査する^[2]。

NDRは、ハードウェアおよびソフトウェアのセンサーと、ソフトウェアまたはSaaS型の管理コンソールの組み合わせによって提供される。組織は、ランサムウェアや内部者による悪意のある活動など、侵入後の不正活動を検出および封じ込めるためにNDRを使用する。NDRは、シグネチャベースの脅威検出だけに頼るのではなく、異常な振る舞いパターンやアノマリーの特定に焦点を当てている。これにより、NDRはネットワークトラフィックから、ラテラルムーブメント（横展開）やデータの流出といった、かすかな兆候や未知の脅威を見つけ出すことが可能になる^[2]。

NDRは、機械学習アルゴリズムを使用してアノマリーを特定し、ネットワーク活動の可視性を提供する^[3]。自動化された応答機能は、セキュリティチームの作業負荷軽減に役立つ。また、NDRはコンテキストと分析を提供することで、インシデント対応者によるスレットハンティングを支援する^[2]。

導入オプションには、物理センサーまたは仮想センサーがある。センサーは通常、パフォーマンスに影響を与えずにネットワークフローを監視できるよう、アウトオブバンドで配置される。クラウドベースのNDRオプションは、IaaSプロバイダーと統合され、ハイブリッド環境全体にわたる可視性を獲得する。継続的なチューニングを行うことで、誤検知の削減に役立つ。NDRは、セキュリティ予算を巡り、SIEMやXDRといったより広範なプラットフォームと競合する^[2]。NDRは、EDRの死角を補完するために使用されることもある^[3]^[4]。

NDRソリューションが提供する主な機能には、継続的な監視によるリアルタイムの脅威検出、被害を最小限に抑えるための迅速なインシデント対応ワークフロー、複数のポイントソリューションを管理する場合と比較した複雑さの軽減、コンプライアンスとリスク管理のための可視性の向上、自動化された検出と応答、エンドポイントおよびユーザーの振る舞い分析、集中監視のためのSIEMとの統合が含まれる^[5]。

歴史

NDRの起源は、2019年頃に登場したネットワークトラフィック分析（NTA）ソリューションに遡る。NTAは、潜在的な脅威を迅速に特定して対応するために、ネットワーク活動のより優れた可視性を提供した^[5]。

2020年までに、リアルタイムの脅威検出のためのNTAの採用が拡大した。同年のある調査では、87%の組織がNTAを使用しており、43%がそれを「第一の防御線」と考えていることがわかった。NTA市場は2022年に29億米ドルと評価され、2032年には85億米ドルに達すると予測された。その後、NTAは独立した製品カテゴリーとしてNDRへと進化した。NDRは検出機能とインシデント対応ワークフローを組み合わせている。これにより、ネットワーク全体の脅威に対してリアルタイムで検出および反応することが可能となった^[5]。

2017年のWannaCryや2020年のSolarWindsの侵害といった大規模な攻撃は、NDRのようなソリューションの必要性を浮き彫りにした。従来の境界防御やシグネチャベースのツールは、現代の脅威に対して不十分であることが証明された^[5]。

人工知能の応用

セキュリティチームがNDRの機能を強化するAIの可能性を模索する中で、NDRツールにおける人工知能の活用が進んでいる。NDRにおける主なAIの活用事例は以下の通りである^[6]。

脅威検出の向上：AIは、脆弱性、脅威、攻撃手法に関する大量のデータを分析し、異常なネットワーク活動を特定できる。これにより、NDRは新たな攻撃パターンをより高い精度で、かつ少ない誤検知で検出できるようになる^[6]。
アラートの優先順位付け：AIモデルは、影響を受ける資産、悪用可能性、潜在的な影響などの要因に基づいて、NDRアラートの重要度を評価できる。これにより、セキュリティチームは人員不足にもかかわらず、アラートのトリアージを効果的に行うことができる^[6]。
アナリストのワークフローの最適化：AIアシスタントは、インシデント対応時にアナリストをガイドし、脅威の詳細に基づいて関連する調査手順を提案できる。これにより、特に専門知識に乏しい若手スタッフのアナリストの効率が高まる^[6]。
自動応答：まだ広く採用されてはいないが、AIを使用することで、NDRプラットフォームがエンドポイントの隔離などの封じ込め措置を自律的に実行できるようになる可能性がある。AIが応答アクションを特定して推奨し、アナリストが承認を行う^[6]。
セキュリティチームのコミュニケーション：NDRベンダーは、技術的なセキュリティスタッフだけでなく、ビジネスリーダーにも理解できるインシデントレポートや指標を生成するために、自然言語AIとの統合を模索している^[6]。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディング（英語版）クロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) ドメインハイジャックセッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) クリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) Eメール・インジェクション（英語版）メールボム Eメールスプーフィング
マルウェア・悪意のあるプログラム	アドウェアインターネットボットキーロガークリプトジャッキング (仮想通貨マイニング) コンピュータウイルススケアウェア (偽警告) ステガノグラフィ・マルウェア（英語版）スパイウェアダウンローダートロイの木馬ドロッパーバックドアファイルレスマルウェアボットネットポリモーフィック型マルウェアマルバタイジングランサムウェアルートキットワイパー (データ消去型) ワーム
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) Forward secrecy 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Pretty Good Privacy（PGP） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃アクティブディフェンスエクスプロイトキットゼロデイ攻撃サイバーキルチェーンクラッキング最小権限の原則サイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングゾンビコンピュータセキュリティホールダークウェブデジタル・フォレンジックハクティビズムハッカーブラウザクラッシャーペイロード水飲み場型攻撃 Metasploit PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）国家サイバー統括室（NCO）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

Network detection and response

歴史

人工知能の応用

NDRベンダー

脚注

関連項目

Related Articles