企業や団体の多くはサイバー攻撃対策として、ウイルス対策ソフトやファイアウォールなどを導入しています。しかし、こうした従来型の「境界型防御」だけでは最新のサイバー攻撃に対応できなくなってきました。「侵入を前提」とし、事後の対応に備えることが重要になっています。侵入後の対策として注目されているのが、ネットワークを網羅的に監視するNDR(Network Detection and Response)です。三菱電機インフォメーションネットワーク株式会社(MIND)では、NDRの導入から運用までをワンストップで支援する「マネージドNDRサービス」を提供しています。
左から、
ネットワークトラフィックを対象とした新たなセキュリティソリューション「NDR」
テレワークの普及やクラウドサービスの利用拡大、IoTデバイスの導入などにより企業のIT環境は複雑化が進み、従来以上にセキュリティリスクが高まっています。サイバー攻撃の手法も高度化し、攻撃者の侵入を100%防ぐことは困難な状況になっています。そこで近年は、内部に侵入されることを前提にいち早く異常を検知して対処する新たなセキュリティ対策として、EDR(Endpoint Detection andResponse)やNDRが注目を集めています。
EDRは、ユーザーが利用するPCやサーバーなどのエンドポイントを監視するソリューションです。ネットワークに接続されている端末からログデータを収集し、そのデータをもとに不審な挙動や攻撃を検知します。
それに対してNDRは、ネットワークトラフィックを収集し、それらを分析することで不審な振る舞い(通信)や攻撃を検知します。NDRは2020年にガートナー社によって定義された新しいセキュリティソリューションで、近年は多くの企業や団体が採用しています。セキュリティ事業部 サイバーフュージョンセンター 第一課の鈴木貴也氏は次のように語ります。
「NDRは侵入された後に着目して、ネットワーク内部の動きを監視します。例えば、攻撃者が侵入後に内部情報を外部に持ち出す、外部の攻撃者と通信して指令を受け取る、ネットワーク内の他の端末に横感染して被害を拡大させるといった動きを検知することができます」
NDRのメリットとしては、導入が容易なことが挙げられます。コアスイッチからミラーリングするだけでトラフィックデータを収集することができ、収集したデータはメタデータに変換して解析装置へ転送されるため、ネットワークへのトラフィック影響を低く抑えることができます。エージェントレスのため、デバイスなどに対してエージェントをインストールする必要もありません。
高精度な検知機能を備え、既知だけでなく未知の攻撃に対しても検知できる点も大きな特長です。収集したトラフィックデータをホストごとに学習し、シグネチャに依存することなく攻撃の兆候を発見することができます。
「NDRは平時の振る舞いを機械学習し、運用時に平時と異なる振る舞いが現れた場合にそれらを“脅威”として認識します。そのため、パターンファイルやルールベースのセキュリティ製品では対応できない、未知の攻撃も検知することができます」(鈴木氏)
導入から運用までをワンストップで提供、セキュリティ運用負荷を軽減
未知の攻撃に対するセキュリティ対策に有用なNDRにおいて、課題となるのが導入後の運用です。NDRが攻撃者の動きを検知したとしても、ネットワーク内部でどのような振る舞いをしているのか、その振る舞いが外部からの侵入によって発生した異常通信なのか、通常業務の中で発生した通信なのかなどを判断することは容易ではありません。
そこでMINDは、NDRの導入検討からその後の運用までをワンストップで提供する「マネージドNDRサービス」を2023年6月にリリースしました。セキュリティ運用については、MINDのセキュリティスペシャリストが24時間365日体制で監視し、インシデントに対して迅速な対応を行います。そのため、お客様のセキュリティ運用の負荷を軽減することができます。セキュリティ事業部 サイバーフュージョンセンター 第二課の久場崇史氏は次のように語ります。
「マネージドNDRサービスは、セキュリティインシデントの検知や分析だけでなく、その後の対処や復旧まで支援します。MINDが2022年に設立した『MINDサイバーフュージョンセンター』において、セキュリティ専門のアナリストがインシデント全体をハンドリングし、感染の拡大を防ぐためにはどうするべきか、端末の隔離はどうするべきか、侵入したマルウェアに対してどう対処するべきかといった対応・対策についてもアドバイスします」
マネージドNDRサービスはすでに三菱電機にも導入されるなどの実績があります。
環境や規模に合わせて適切な構成を提案、発注から運用開始までは4~6ヵ月
マネージドNDRサービスは、MINDサイバーフュージョンセンターとMIND SOC(SecurityOperation Center)による運用支援サービスで構成されます。本サービスで導入するNDR製品は、ネットワークトラフィックを収集する「センサー」と、センサーから転送されたメタデータを学習・解析して攻撃を見つける「ブレイン」で構成されています。
マネージドNDRサービスの特長について、セキュリティ事業部 セキュリティ第一部 第二課の北田真也氏は次のように語ります。「お客様のネットワークや環境、規模などに合わせて最適な構成を提案いたします。導入後の学習期間中に発生するアラートについてもMINDが長年蓄積したノウハウを元に判断し、攻撃を発見した際には迅速に対応します。自社ネットワークの利用状況が可視化されるため、ネットワークに内在するセキュリティリスクを明らかにすることができます。発注から運用開始までは4~6ヵ月程度です」と語ります。
導入後の運用支援サービスは、基本サービスとして稼働監視、機器障害復旧、セキュリティ監視、ヘルプデスク、設定変更などを提供。運用開始後、機器の異常を検知したり、緊急度の高いアラームを検知したりした際には、24時間365日時間を問わずお客様担当者様へ連絡します。オプションサービスとして、MINDサイバーフュージョンセンターのセキュリティアナリストが調査/解析や誤検知と正検知を判断する「インシデント詳細調査」と、月間のセキュリティアラームの検知状況や機器の稼働状況をまとめて報告する「月次レポート」を用意しています。
マネージドEDRサービスとの連携でさらなるセキュリティの強化へ
NDRはネットワークトラフィックに侵入してきた攻撃を発見するのに効果的なソリューションですが、NDRだけで対策が十分というわけではありません。エンドポイントソリューションのEDRと組み合わせることで、多層的防御が可能となり、より大きな威力を発揮します。セキュリティ事業部 セキュリティ第一部 第二課長の東内善則氏は次のように語ります。
「当社では、EDR製品と運用支援サービスを組み合わせた『マネージドEDRサービス』も提供しています。マネージドNDRサービスとマネージドEDRサービスを連携することでより高い効果が期待できます。セキュリティに関してお困りのことがありましたらお気軽にご相談ください」
