ネットワーク全体を
「面」で監視・可視化するNDR
「面」で監視・可視化するNDR
ネットワークバリューコンポネンツ株式会社
ソリューション企画本部
情報処理安全確保支援士
ソリューション企画本部
情報処理安全確保支援士
飯田 竜司氏
「似た概念に『NTA(Network Traffic Analytics)』がありますが、こちらは主に脅威や異常の検出に特化したものです。これに対しNDRは、検知した脅威がどういうものなのか、正常なトラフィックとどう違うのかを分析し、さらにその後のインシデントレスポンスまでをトータルにカバーします」とネットワークバリューコンポネンツの飯田 竜司氏は説明する。
侵入した脅威の検知・対応と聞くと、EDRを思い浮かべる人が多いだろう。確かに目的はどちらも同じだが、監視対象領域に違いがある。エンドポイントデバイスの内部を監視するのがEDR、エンドポイントを含むネットワーク内の通信全体を可視化するのがNDRで、それぞれ対象領域が異なるため、併用することが望ましいという(図1)。 「従来のIT環境では、端末とサーバーの間の縦方向の通信が主流でした。しかし近年は、データセンター・本社・クラウドサービスなどの間の、横方向のトラフィックも増えています。NDRではこれらを『面』で監視することで、高度な脅威にも対処できるようにします」と飯田氏は言う。
70種類以上の
プロトコル&
暗号化通信に対応
プロトコル&
暗号化通信に対応
ネットワークバリューコンポネンツは世界中の最新セキュリティー製品を発掘し、国内市場に投入している。NDR分野で提供するのが、米ExtraHop社の「ExtraHop Reveal(x)」[以下、Reveal(x)]だ。
機械学習とルールベースの検知エンジンの両方を使って、リアルタイムに状況を可視化する。ネットワーク内で稼働するデバイスを検出・分類する機能も備えており、万一、管理者が把握していないデバイスが存在した場合も、自動で検出して対処につなげることが可能だ。そのデバイスがどのような通信を行っていたかも調査できる。
また、ネットワークの輻輳やサーバーエラーも検知可能。パケットキャプチャ方式でデータを収集するため、業務環境に影響を与える心配もない。最大100Gbpsのトラフィックに対応できるため、過酷な通信環境下でも問題なく利用することが可能だ。
「市場にある多くのNDR製品は、NTAをベースに開発されています。一方、Reveal(x)はネットワークパフォーマンスのモニタリングを行う製品がベースのため、安全性に加えて通信負荷などの監視も可能。セキュリティー視点だけでは気付けない問題を察知できるほか、トラブルの際はネットワークトラブルかセキュリティーインシデントかの切り分けも迅速に行えるのです」と飯田氏は語る。
さらに注目したいのが、監視可能な通信方式の多さである。POP3、SMTPといった一般的なものから、データベース系やファイルサーバー系、認証系まで70種類以上のプロトコル、5000以上のメトリクスに対応する。
「Reveal(x)は、多くの製品が対応していないTLS1.3を含めたSSL通信の復号化が可能。そのほか、ユーザー認証や社内ポータルサイト/Webシステム、ファイルサーバーなどで用いられる暗号化プロトコルも復号できます」(飯田氏)。守るべき通信は暗号化されていることが多い。そのため、暗号化通信への対応が弱いと十分な効果が上げられないが、Reveal(x)なら、暗号化通信に潜んだリスクもしっかりチェックすることが可能だという。
機械学習とルールベースの検知エンジンの両方を使って、リアルタイムに状況を可視化する。ネットワーク内で稼働するデバイスを検出・分類する機能も備えており、万一、管理者が把握していないデバイスが存在した場合も、自動で検出して対処につなげることが可能だ。そのデバイスがどのような通信を行っていたかも調査できる。
また、ネットワークの輻輳やサーバーエラーも検知可能。パケットキャプチャ方式でデータを収集するため、業務環境に影響を与える心配もない。最大100Gbpsのトラフィックに対応できるため、過酷な通信環境下でも問題なく利用することが可能だ。
「市場にある多くのNDR製品は、NTAをベースに開発されています。一方、Reveal(x)はネットワークパフォーマンスのモニタリングを行う製品がベースのため、安全性に加えて通信負荷などの監視も可能。セキュリティー視点だけでは気付けない問題を察知できるほか、トラブルの際はネットワークトラブルかセキュリティーインシデントかの切り分けも迅速に行えるのです」と飯田氏は語る。
さらに注目したいのが、監視可能な通信方式の多さである。POP3、SMTPといった一般的なものから、データベース系やファイルサーバー系、認証系まで70種類以上のプロトコル、5000以上のメトリクスに対応する。
「Reveal(x)は、多くの製品が対応していないTLS1.3を含めたSSL通信の復号化が可能。そのほか、ユーザー認証や社内ポータルサイト/Webシステム、ファイルサーバーなどで用いられる暗号化プロトコルも復号できます」(飯田氏)。守るべき通信は暗号化されていることが多い。そのため、暗号化通信への対応が弱いと十分な効果が上げられないが、Reveal(x)なら、暗号化通信に潜んだリスクもしっかりチェックすることが可能だという。
インシデント対応、
フォレンジックにも
活用できる
フォレンジックにも
活用できる
加えてReveal(x)は、脅威検出後のインシデントレスポンスに役立つ機能も多数備えている。
「インシデント発生の起点になったイベントはもちろん、その前後にどのような行為が行われていたかも検知し、攻撃の流れを時系列で表示します。また、発報したアラートについても、『なぜ危険なのか』『どのような攻撃なのか』を具体的に指摘し、とるべき対処方法をアドバイスします」と飯田氏は説明する(図2)。 例えばランサムウエアに侵害された場合は、どのファイル/ディレクトリが暗号化されたかを速やかに特定する必要がある。これをファイルサーバーのログ解析で行おうとすると相当な時間がかかるが、Reveal(x)であればログなしで、必要な情報を瞬時に取得することが可能だ。
フォレンジックにも活用できる。一般に、フォレンジックを行う際には、サーバーやセキュリティー製品から大量のログを収集し、これを突き合わせて初めて侵害の証拠として使えるようになる。複数の機器をまたぐ作業には、膨大な時間と手間が必要だ。
「その点Reveal(x)は、脅威の検知からフォレンジックまで一連の機能を備えているため、あらかじめフォレンジックを見据えたログの突合や解析が行えます。これにより、何かあった際も問題の早期解決につなげることが可能です」と飯田氏は強調する。
情報は分かりやすいユーザーインタフェース上で表示される。侵害を受けたデバイスの詳細や、不審なアクティビティの一覧を確認したり、膨大なトラフィックの中から調査に必要な情報に素早くアクセスしたりすることができるだろう。
サイバー攻撃が高度化する中、サーバー、デバイスだけでなく、多岐にわたるネットワーク環境を可視化することの重要性が高まっている。Reveal(x)を活用することで、入り口・出口だけでなく、ネットワーク内で水平展開する脅威の活動も横断的に捉えることが可能になるだろう。リスク低減を図りたい企業は、ぜひ検討してみることをお勧めする。
「インシデント発生の起点になったイベントはもちろん、その前後にどのような行為が行われていたかも検知し、攻撃の流れを時系列で表示します。また、発報したアラートについても、『なぜ危険なのか』『どのような攻撃なのか』を具体的に指摘し、とるべき対処方法をアドバイスします」と飯田氏は説明する(図2)。 例えばランサムウエアに侵害された場合は、どのファイル/ディレクトリが暗号化されたかを速やかに特定する必要がある。これをファイルサーバーのログ解析で行おうとすると相当な時間がかかるが、Reveal(x)であればログなしで、必要な情報を瞬時に取得することが可能だ。
フォレンジックにも活用できる。一般に、フォレンジックを行う際には、サーバーやセキュリティー製品から大量のログを収集し、これを突き合わせて初めて侵害の証拠として使えるようになる。複数の機器をまたぐ作業には、膨大な時間と手間が必要だ。
「その点Reveal(x)は、脅威の検知からフォレンジックまで一連の機能を備えているため、あらかじめフォレンジックを見据えたログの突合や解析が行えます。これにより、何かあった際も問題の早期解決につなげることが可能です」と飯田氏は強調する。
情報は分かりやすいユーザーインタフェース上で表示される。侵害を受けたデバイスの詳細や、不審なアクティビティの一覧を確認したり、膨大なトラフィックの中から調査に必要な情報に素早くアクセスしたりすることができるだろう。
サイバー攻撃が高度化する中、サーバー、デバイスだけでなく、多岐にわたるネットワーク環境を可視化することの重要性が高まっている。Reveal(x)を活用することで、入り口・出口だけでなく、ネットワーク内で水平展開する脅威の活動も横断的に捉えることが可能になるだろう。リスク低減を図りたい企業は、ぜひ検討してみることをお勧めする。
- 基調講演SOMPOホールディングス サイバーリスクを低減し、DXを支える
SOMPOのセキュリティーマネジメント - 特別講演荏原製作所 時代や環境に沿って変化させてきた
セキュリティー管理体制の取り組み - 基調講演カシオ計算機 IT部門がリーダーシップを発揮し
現場と経営の連携によるDXを支える - 特別講演つるぎ町立半田病院 ランサムウエアにより病院機能が停止
診療再開までの経緯と被害を振り返る - 特別講演日本電信電話 巨大グローバル企業グループにおける
セキュリティーガバナンスの強化アプローチ - トレンドマイクロ リスクを継続的に可視化・評価し軽減する
最新サイバーリスクマネジメントの方法論 - Okta Japan 自らサイバー攻撃を受けて分かった
ゼロトラストの実効性と必要性 - BlackBerry Japan AI+自動化+マネージドサービスで
高度化するリスクへの効果的な対処を実現 - タニウム 大規模環境も即時に可視化し、制御
独自技術でシステムの“衛生”を保つ - サイバーリーズン・ジャパン サイバー攻撃を100%防ぐのは不可能
「侵入前提」の対策を具現化するには - ネットワークバリューコンポネンツ 脅威の検出から有事対応、
フォレンジックまで
NDRソリューションで網羅的に対処 - F5ネットワークスジャパン 攻撃者の行動から判明した脅威分析と
これから効果的な「保護対策」とは - 日立ソリューションズ 「zero リスク」から「with リスク」へ
サイバーレジリエンスの必要性と実現方法 - プロット Emotetの被害は回避できる
自治体から学ぶその具体的手法とは - レコーデッド・フューチャー・ジャパン 拡大する外部公開資産のリスクを削減する
「アタックサーフェス管理」の成功要因は - キンドリルジャパン 複雑化するサイバーセキュリティー対策を
ベンダーフリー&フルライフサイクルで支援 - HENNGE クラウド活用時のリスクを極少化する
「認証・認可」と「メールセキュリティー」 - インターネットイニシアティブ なりすましメール対策の切り札
「送信ドメイン認証技術」の仕組みとは - Netskope Japan クラウド通信を可視化し、制御する
ネットワークセキュリティの新標準 - Blue Planet-works “イタチごっこ”の対策に終止符を打つ
ANAが実現した新概念のセキュリティー対策 - Splunk Service Japan 検知・対処の自動化で人材不足を補う
今求められている「モダンSOC」の構築術 - e-Janネットワークス どこでもクラウドもオンプレもセキュアにアクセス
ハイブリッドワークの強い味方とは - Fastly チューニング不要で誤検知も解消
脅威を包括的に緩和する次世代WAF - 日本HP 生産性と安全性を両立する
サイバー攻撃への新たな解決策 - チェック・ポイント・ソフトウェア・テクノロジーズ 変化の激しい不確実な時代に求められる
サイバーセキュリティー対策の要諦とは - マクニカ ゼロトラストによる対策を支える
IDaaSに求められる不可欠な要件とは
お問い合わせ
株式会社ネットワークバリューコンポネンツ
URL:https://products.nvc.co.jp/extrahop/inquiry