// シス担のミカタ
ネットワークセキュリティ

NDR(ネットワーク検知・応答) えぬでぃーあーる

ネットワーク監視脅威検知EDRXDRトラフィック分析サイバー攻撃
NDRって何?

簡単に言うとこんな感じ!

社内ネットワークを流れる通信をすべて監視して、「怪しい動き」を自動で見つけてくれるセキュリティの仕組みだよ!ウイルス対策ソフトが個々のPCを守るのに対し、NDRは「ネットワークの道路全体」を見張る交通監視カメラみたいなものなんだ。

NDRとは

NDR(Network Detection and Response) とは、社内ネットワークを流れるすべての通信トラフィックをリアルタイムで収集・分析し、サイバー攻撃や不審な動きを検知して対応するセキュリティソリューションです。日本語では「ネットワーク検知・応答」と訳されます。

従来のファイアウォールや侵入検知システム(IDS)は、あらかじめ知られた攻撃パターン(シグネチャ)と照合するのが主流でした。一方NDRは、機械学習(AI)や行動分析を活用して「普段と違う通信パターン」を検知するため、未知の攻撃にも対応できる点が大きな特徴です。

2020年代に入り、テレワークの普及やクラウド利用の拡大によって社内外の境界が曖昧になったことで、ネットワーク内部(East-West トラフィック)の監視の重要性が急増しました。NDRはこうした現代の脅威環境に対応するためのソリューションとして急速に注目を集めています。

NDRの仕組みと機能

NDRは大きく「収集→分析→検知→対応」の4ステップで動作します。

ステップ内容具体例
収集ネットワーク機器からトラフィックをミラーリング・収集スイッチのSPANポート、TAP装置
分析AI・機械学習でベースライン(正常状態)を学習・比較通常は行わない深夜の大量データ転送を検出
検知異常通信・脅威をアラートとして管理者に通知社内PCが外部の怪しいサーバーに接続
対応自動またはSOCオペレーターによる遮断・隔離感染端末のネットワーク接続を自動ブロック

覚え方:「NDR=ネットワークの監視カメラ+AI警備員」

普通の監視カメラは録画するだけですが、NDRは「不審者(不審通信)を見つけたら警報を鳴らし、ドアも自動ロックする」AI付き警備システムをイメージすると覚えやすいです。

NDRが検知できる主な脅威

  • ラテラルムーブメント(横展開):攻撃者が社内で感染を広げていく動き
  • C2通信(コマンド&コントロール):マルウェアが外部の攻撃者と通信する行為
  • データ窃取(exfiltration):大量のデータが外部に送信される異常
  • 内部不正:社員が権限外のデータへ大量アクセスするなど
  • ランサムウェアの前兆行動暗号化前の偵察・拡散活動

歴史と背景

  • 2000年代前半:侵入検知システム(IDS)・侵入防止システム(IPS)が普及。シグネチャベースの検知が主流
  • 2013年頃:標的型攻撃(APT攻撃)が増加。既知パターンだけでは防げないことが明らかに
  • 2016年:調査会社ガートナーがEDR(エンドポイント検知・応答)を提唱。ネットワーク側の対応ニーズも高まる
  • 2020年:ガートナーがNDRというカテゴリを正式に定義・命名(旧称:NTA=ネットワークトラフィック分析)
  • 2020〜現在:コロナ禍でテレワーク急増→VPN経由・クラウド経由の通信が爆発的に増え、NDRの重要性が一気に高まる
  • 2022年以降XDR(Extended Detection and Response)との連携・統合が進む

EDR・XDRとの違い

NDRはよく「EDR」「XDR」と比較されます。それぞれが「どこ」を守るかが違います。

EDR / NDR / XDR の守備範囲 EDR Endpoint Detection and Response 💻 PC・サーバー 端末単体を監視 📱 モバイル端末 プロセス・ファイル監視 マルウェア感染を 端末レベルで検知 NDR Network Detection and Response 🌐 社内ネットワーク 通信全体を監視 ☁️ クラウドトラフィック East-West通信も対象 不審な通信パターンを AIで自動検知 XDR Extended Detection and Response 🔗 EDR+NDR統合 複数ソースを横断 📊 SIEM・メール等 全社横断で相関分析 複数レイヤーの情報を 統合して脅威を可視化
比較項目EDRNDRXDR
監視対象端末(PC・サーバー)ネットワーク通信複数ソース統合
得意な検知マルウェア・不正プロセス不審な通信・横展開複合的な高度攻撃
エージェント端末へのインストール必要不要(ネットワーク側で収集)要件による
対応難度比較的シンプルネットワーク知識が必要統合管理が複雑

実務ポイント: NDRは「エージェントレス」で動作できるため、インストールが難しいIoT機器・製造ラインの機器・ネットワーク機器なども監視対象にできます。EDRの死角を補う役割として導入されるケースが多いです。

関連する規格・RFC

規格・ガイドライン内容
NIST SP 800-137情報システムの継続的監視に関するガイドライン
NIST SP 800-61インシデント対応ガイドライン(検知・対応フローの参考)
Gartner NDR Market GuideNDRの定義・市場カテゴリを策定したガートナーレポート(2020〜)
MITRE ATT&CK Framework攻撃者の行動パターンを体系化したフレームワーク(NDRの検知ルールの基盤)

関連用語

  • EDR — エンドポイント(PC・サーバー)を監視する検知・応答ソリューション
  • XDR — EDR・NDR・SIEMなどを統合した拡張型の検知・応答プラットフォーム
  • SIEM — ログを一元収集・分析するセキュリティ情報イベント管理システム
  • IDS/IPS — 侵入検知・防止システム。NDRの前身にあたる技術
  • SOC — セキュリティ監視を行う組織・チーム。NDRのアラート