// シス担のミカタ
セキュリティ製品 - SIEM・SOC

NDR(Network Detection and Response) えぬでぃーあーる

ネットワーク検知脅威ハンティング異常検知SOCSIEMEDR
NDRについて教えて

簡単に言うとこんな感じ!

ネットワーク内を流れる通信をまるごと監視して、「なんか変な動きしてるぞ!」って自動で検知・対応してくれるセキュリティの仕組みだよ。ウイルス対策ソフトが「端末」を守るのに対して、NDRは「ネットワーク全体の通信」を見張ってるイメージ!

NDR(Network Detection and Response)とは

NDR(Network Detection and Response) とは、企業内ネットワークを流れるトラフィック(通信データ)をリアルタイムで収集・分析し、サイバー攻撃や不審な挙動を検知して対応するセキュリティソリューションのことです。かつては「NTA(Network Traffic Analysis)」とも呼ばれており、Gartnerが2020年前後にNDRという名称を定着させました。

従来のファイアウォールや侵入検知システム(IDS)が「既知の攻撃パターン(シグネチャ)」に頼っていたのに対し、NDRは機械学習やAIによる行動分析(振る舞い検知)を活用し、パターンが未知の攻撃や、正規アカウントを乗っ取って内部に潜伏する「ラテラルムーブメント(横展開)」も検出できる点が大きな特徴です。

企業がクラウドやリモートワークを拡大する中で、攻撃者が境界を突破した「侵入後の動き」をいかに早く察知するかが重要になっています。NDRはそのための目として、特にSOC(セキュリティオペレーションセンター)の現場で欠かせない存在となっています。

NDRの仕組みと主要機能

NDRは大きく「収集 → 分析 → 検知 → 対応」の4ステップで動作します。

フェーズ内容具体例
収集ネットワーク上のパケットやフローを取得ミラーポート・TAP装置での通信コピー
分析AIや機械学習でベースラインと比較「この端末、いつもより100倍のデータを送信してる」
検知異常・脅威をアラートとして通知内部端末から深夜に外部への大量データ送信を検知
対応自動遮断・SOCへのエスカレーション対象IPをファイアウォールで自動ブロック

NDRが得意とする脅威の種類

  • ラテラルムーブメント:侵入後、攻撃者が内部で横移動する動きを検知
  • C2通信(Command & Control)マルウェアが外部の攻撃者サーバーと通信する動作を検知
  • データ漏洩(Exfiltration):大量のデータが外部に送信されるのを検知
  • 内部不正:通常とは異なる時間帯・場所からの大量アクセスを検知
  • ランサムウェア拡散:内部ネットワーク上での急激なスキャンや暗号化の動きを検知

「NTA」との関係

NDRはもともと「NTA(Network Traffic Analysis)」と呼ばれていたカテゴリが進化したものです。NTAが「分析・可視化」に重点を置いていたのに対し、NDRは「対応(Response)」の自動化・統合まで含む、より広い概念です。

歴史と背景

  • 2000年代:IDS/IPS(侵入検知・防止システム)が主流。シグネチャベースの検知が中心で、未知の攻撃には弱かった
  • 2010年代前半:APT(高度持続的脅威)攻撃が増加し、「侵入後の検知」の重要性が認識される
  • 2013〜2015年:Vectra AI・Darktrace・ExtraHopなどのNTAベンダーが登場、機械学習を用いたネットワーク分析が注目される
  • 2020年:Gartnerが「NTA」から「NDR(Network Detection and Response)」へ名称変更を提唱。「検知」だけでなく「対応」まで含む製品カテゴリとして再定義
  • 2022年以降クラウドネイティブなネットワーク通信(SaaS・ゼロトラスト環境)への対応が各ベンダーで加速。EDRSIEMとの統合が進む

NDR・EDR・SIEMの違いと連携

「NDR・EDR・SIEM」はSOCを支える三本柱とも言われます。それぞれ監視する「場所」が異なります。

NDR・EDR・SIEMの役割分担 NDR Network Detection and Response 監視対象: ネットワーク ・通信トラフィック分析 ・ラテラルムーブメント検知 ・C2通信検知 ・データ漏洩検知 「通信の流れ」を見る EDR Endpoint Detection and Response 監視対象: 端末 ・プロセス挙動監視 ・ファイル変更検知 ・マルウェア隔離 ・フォレンジック調査 「端末の中」を見る SIEM Security Information and Event Management 監視対象: ログ全般 ・ログ収集・相関分析 ・インシデント管理 ・コンプライアンス対応 ・NDR・EDRと連携 「全体のログ」を統合 連携 連携 3つを組み合わせてSOCを構成する

主要NDR製品の比較

製品名ベンダー特徴
Vectra AIVectraAIによるC2・ラテラルムーブメント検知に強み
DarktraceDarktrace自己学習型AI。クラウド・OTにも対応
ExtraHop Reveal(x)ExtraHop(AWS傘下)フルパケット解析と高速検知
Cisco StealthwatchCiscoNetFlowを活用した大規模環境向け
CorelightCorelightオープンソース「Zeek」ベース。SOC向け

NDR導入時に確認すべきポイント

  1. クラウド通信への対応:オンプレだけでなくAWS/Azure等の通信も監視できるか
  2. パケットキャプチャかNetFlowか:フルパケットは精度が高いが、ストレージコストが大きい
  3. SIEMやSOARとの連携:既存環境に統合できるか(API対応・SIEM転送対応)
  4. 誤検知率(False Positive):アラートが多すぎるとSOC担当者が疲弊する
  5. 暗号化トラフィック(TLS)への対応:近年のトラフィックの多くはHTTPS。復号なしに検知できるか

関連用語

  • ./245-siem.md — セキュリティ情報・イベント管理。ログを一元収集しNDRアラートも受け取る
  • ./246-edr.md — エンドポイント検知・対応。端末側をNDRと連携して守る
  • ./248-soar.md — セキュリティオーケストレーション・自動化・対応。NDRの検知を受けて自動対処を行う
  • ./249-soc.md — セキュリティオペレーションセンター。NDRの運用主体
  • ./250-ids-ips.md — 侵入検知・防止システム。NDRの前身となった技術
  • ./251-lateral-movement.md — 侵入後に攻撃者が内部を横移動する手法。NDRが最も得意とする検知対象
  • ./252-threat-hunting.md — 脅威ハンティング。NDRのデータを使って潜伏攻撃者を能動的に探す活動
  • ./253-zero-trust.mdゼロトラストアーキテクチャ。NDRはゼロトラスト環境の可視化を支える