ネットワークは、通信、データ転送、リソースアクセスを可能にする基盤として機能します。同時に、エンドポイント——デスクトップ、ノートパソコン、スマートフォン、サーバー、仮想環境、IoTなどのデバイス——は、ネットワークへの一般的な侵入経路となっています。このことから、ネットワークとエンドポイントのセキュリティは、組織をサイバー脅威から守る上で極めて重要です。NDR(ネットワーク検知と対応)とXDR(拡張検知と対応)を比較する際、組織は強固なサイバーセキュリティ態勢の構築を支援するソリューションを求めています。
本記事では、NDR(ネットワーク検知・対応)とXDR(拡張検知・対応)を定義し、それぞれの長所と短所を明らかにします。また、これら2つのサイバーセキュリティソリューションが、実装方法、コスト、適用範囲、ユースケース、主要機能においてどのように異なるかを説明します。
NDRとは?
NDRは、ネットワークトラフィック全体と接続デバイスを監視し、不審な動作をリアルタイムで検知するセキュリティツールです。ネットワークトラフィックデータを解析し、不正アクセスやデータ侵害の試み、異常なトラフィックパターン、ネットワークの死角を特定します。これにはネットワーク<a href="https://www.sentinelone.com/cybersecurity-101/cybersecurity/what-is-behavior-monitoring/">行動分析を用いて、不正アクセスやデータ侵害の試み、異常なトラフィックパターン、ネットワークの死角を検知します。
XDRとは?
XDRは、ネットワーク、エンドポイント、クラウドワークロードなど複数のセキュリティ層からのデータを統合・分析するセキュリティソリューションであり、脅威の包括的かつ一元的な可視化を提供し、迅速なインシデント対応を開始します。XDRがエンドポイント上で異常な行動を検知すると、横方向の移動 に焦点を当て、攻撃者がネットワーク内を移動する際に生じる異常なトラフィックパターンや不審な活動の痕跡を特定します。その後、エンドポイント、ネットワーク、ユーザー活動からのデータを相関分析し、攻撃チェーン全体を解明します。
NDRとXDRの違いは?
NDRはネットワークの完全な可視性を提供します。一方、XDRの脅威検知・対応アプローチはより包括的です。IoTデバイス、アプリケーション、クラウドインフラ、エンドポイント、ネットワークなど、より広範なソースからのデータを収集・分析します。
主要機能比較:NDR vs XDR
NDRの機能
- 高度な分析機能: NDRは、行動分析や機械学習といったシグネチャ非依存の手法を用いて、生のネットワークトラフィックやネットワークフローデータを分析し、侵害を示唆する異常を検出します。ほとんどのネットワークトラフィックは通常暗号化されていますが、NDRは復号化せずにこのトラフィックを分析し、暗号化されたトラフィックに潜む脅威を特定します。
- 自動化された脅威対応: NDRは深刻度に基づいてアラートの優先順位を付け、自動化された対応プレイブックを提供します。
- ネットワークの可視性: パブリックネットワーク(南北)と内部ネットワーク(東西)間のメタデータと生のネットワークパケットを監視することで、ネットワーク全体の可視性を提供します。この情報を使用して、潜在的な攻撃経路を特定しマッピングする脅威モデルを作成できます。
- ディープパケットインスペクション(DPI): NDRは、ルーターやファイアウォールなどのネットワークタップや中央接続ポイントを利用して、すべてのパケット情報にアクセスします。DPI はパケットヘッダーとデータペイロードを検査し、ネットワーク上でどのようなパケット、アプリケーション、ユーザーが送信されているかをリアルタイムで可視化します。
- 脅威インテリジェンス: NDR は脅威インテリジェンスフィードと統合し、既知の脅威や セキュリティコミュニティによって文書化された攻撃の指標(IoA)を特定します。フィードには、現在の攻撃手法とその影響に関する情報が含まれています。
XDR の機能
- 高度な分析と検知: XDRは脅威検知と分析に脅威インテリジェンスと機械学習を活用します。機械学習ベースの検知により、XDRはゼロデイおよび従来の手法では検知できない非伝統的な脅威を発見します。XDRは脅威分析を通じて他システムの脆弱性から学習し、その情報を活用して自社システムにおける類似脅威を防止します。さらにXDRはIoAの検知を超え、AIを活用して戦術・手法・手順(TTPs)&侵害の兆候(IoCs)を検証します。
- 自動化されたインシデント対応:XDRはデータとアラートを相関分析し、関連するアラートを自動的にグループ化、攻撃のタイムラインを構築、根本原因分析と攻撃者の次の動き予測に不可欠なイベントを優先順位付けします。
- オーケストレーション自動化: これは、セキュリティスタック全体からの情報を必要とするタスクを自動化するXDRの機能です。例えば、対応オーケストレーション機能により、XDRは複数のセキュリティツールからの対応を調整し、自動化された対応ワークフローを使用してサイバーセキュリティリスクを軽減します。自動化は、 平均検出時間(MTTD) および平均対応時間(MTTR)を短縮します。
可視化:XDRプラットフォームは、セキュリティ情報源を単一ビューに統合した詳細なダッシュボードを提供し、容易な監視を可能にします。ノードグラフなどの脅威マッピング機能により、異なるシステム間の相関関係を発見できます。
#2 適用範囲:NDR vs XDR
NDRは主にネットワークトラフィックパターンの継続的分析に焦点を当て、ネットワークレベルの攻撃や異常を検知・防止します。セキュリティチームがネットワークデータを継続的に調査し脅威をハンティングすることを支援することで、組織のネットワークインフラをプロアクティブに防御することを目的としています。つまり、ネットワークレベルでの脅威の特定と解決を支援し、重要なシステムに影響を与える前に不正アクセスやデータ侵害を防止します。ネットワーク層に焦点を当てるNDRとは異なり、XDRはクロスレイヤーの脅威検知と対応を提供します。XDRは包括的なセキュリティアプローチを採用し、アプリケーション、クラウド、ネットワーク、エンドポイントにまたがる他のセキュリティツールからのデータやイベントを統合することで、脅威の検知と対応に対する統一的なアプローチを提供します。
#3 実装:NDR vs XDR
NDRは組織のネットワークインフラに統合し、特定のトラフィックフローを監視するよう設定する必要があります。NDRソフトウェアはクラウド、仮想環境、物理ネットワークに展開可能です。
- ハードウェアネットワークセンサーは、トラフィックデータを収集するためにネットワーク全体に展開されます。
- クラウドおよび仮想環境では、仮想センサーが展開されます。
- ソフトウェアセンサーは、ネットワークデバイス上に展開されます。
センサーはIPアドレス、ユーザーID、送信元/宛先、ポートなどのデータを収集します。NDRはこのデータを保存・分析します。
XDRはオンプレミス環境、クラウド環境、コンテナ環境で導入可能です。
- XDRエージェントは、IoTモバイルデバイスや従業員のワークステーションなど、ネットワーク上のエンドポイントにインストールされます。
- XDRはファイアウォール、スイッチ、ルーターと連携し、ネットワークトラフィックを監視します。
- その後、セキュリティイベントの相関分析と管理を行う集中管理コンソールを提供します。
#4 コスト:NDR 対 XDR
NDRはネットワークレベルでのセキュリティ監視可視性を提供する点を考慮すると、XDRよりも低コストです。NDRベンダーは従量課金制やサブスクリプション型など、異なる価格モデルを提供しています。
一方、XDRはより包括的なサイバー脅威対策アプローチを採用しているため、通常NDRよりもコストが高くなります。XDRベンダーはサブスクリプション型や階層型など複数の価格モデルを提供しています。必要な脅威管理機能のレベルを基準に、適切な価格モデルを選択することが可能です。lt;/p>
#5 ユースケース:NDR vs XDR
NDRのユースケース
- 広範なカバレッジ:NDRはネットワークインフラを保護し、ネットワークトラフィックのパターンや異常を深く可視化します。
- 資産追跡: ネットワーク全体をスキャンして接続デバイスを特定し、OSやインストール済みアプリケーションなどの詳細を記録。資産発見や旧式ソフトウェアの特定を支援します。&
- データ保護: データ転送を監視し、データ漏洩の兆候を特定するとともに、機密データの不正共有を防止します。
XDR のユースケース
- 脅威ハンティング: これは XDR ツールの主なユースケースです。XDRは、複数のベクトルからの脅威の検出、クラウド環境の保護、内部者脅威管理の提供など、多くのサイバーセキュリティシナリオに対応します。
- クラウド可視性: XDRはSaaSアプリケーションとクラウド環境を保護します。クラウド環境からテレメトリを収集し、クラウド資産の可視性を提供します。
ユーザー分析: ユーザーおよびエンティティの行動分析を活用し、内部脅威を特定します。これにより、悪意のある従業員による異常な行動を検知します。
NDR対XDR:11の重要な違い
| 側面 | NDR | XDR |
|---|---|---|
| 定義 | ネットワークトラフィックをリアルタイムで監視し、不審な動作を検出するツール | 複数のソースからのデータを統合し、包括的な脅威管理を提供する統合セキュリティソリューション |
| データソース | ネットワークエンドポイントからパケットデータやトラフィックフローなどのデータを収集 | ネットワークだけでなく、エンドポイント、クラウド、メール、アプリケーションなど、NDRよりも多くのソースからデータを収集し、潜在的な脅威のより広範な可視化を実現します |
| 適用範囲 | ネットワーク活動とリソースの監視、自動応答の提供に重点を置く | NDR機能を拡張。エンドポイントとネットワークの両方を保護し、管理サポートを提供することで、複雑な攻撃への迅速な対応を可能にする |
| 可視性 | ネットワークトラフィックの可視化に特化 | デバイス、ネットワーク、クラウドの可視化を提供 |
| コスト | ネットワークレベルの保護に重点を置く組織にとって費用対効果が高い | より広範な範囲と複数のセキュリティ層の統合により高コスト |
| リソース利用率 | 他の検知・対応ツールと併用される | 脅威検知を強化するため、複数のセキュリティツールがXDRと統合される |
| 導入方法 | ネットワークタップまたはスパンポートを使用してトラフィックをキャプチャ・分析し展開 | 通常クラウドベースで、既存のセキュリティソリューション(例:ファイアウォール、EDR、NDR、SIEM)を単一プラットフォームに統合 |
| 検知対象脅威 | ネットワークベース攻撃(フィッシング及びマルウェア) | 不正アクセス、フィッシング、マルウェアなど複数の攻撃ベクトルを調査し、これらの事象を関連付けて統一的な対応を提供します |
| コンプライアンス対応 | コンプライアンスツールと連携し、ネットワークトラフィックのポリシー違反を監視します | ネットワークセキュリティやエンドポイントセキュリティを含む複数のセキュリティ領域にわたる包括的なコンプライアンスレポートを提供します |
| 自動化された脅威対応 | 深刻度に基づいてアラートの優先順位付けを行い、自動対応プレイブックを使用して対応を自動化します | データとアラートを相関させ、関連するアラートを自動的にグループ化して、優先順位付けされた根本原因分析を行います |
| SIEMとの関係 | SIEMおよびXDRを補完する | SIEMの進化形である |
長所と短所:NDR対XDR
NDRの長所
- 自動化により、ランサムウェア、サプライチェーン攻撃、ワイパー攻撃の検知と対応の精度と速度が向上します。
- IT管理システムや廃棄済みデバイスを悪用する悪意のあるアクターの特定を支援します。
- データベースイベントを検索し潜在的な侵害を検知する脅威ハンティングルールの作成を支援します。
- 誤検知からの脅威を優先順位付けし、アラート疲労を軽減します。
- プロセスのツリーを追跡し、イベントを相関分析することで、攻撃の起点となったベンダーを特定し、ゼロデイ脆弱性や未修正の脆弱性の悪用を軽減します。
NDRのデメリット
- セキュリティ可視性はネットワークベースの行動と脅威に限定されます。エンドポイントや個別デバイスでの状況把握、デバイス上でのユーザー活動監視には最適なツールではありません。&
- NDRを自社運用するにはネットワークセキュリティの専門スキルが必要です。そうでない場合はNDR管理を外部委託できます。
XDRの長所
- ゼロトラストの採用と実施状況の確認が可能。
- データ漏洩、横方向移動、ネットワークスキャン試行の検知を支援します。
- デバイスがネットワーク経由で他のシステムとやり取りする様子を監視することで、デバイスのBIOSレベルにおける脆弱性の検知を支援します。
- XDRはNDR、EDR、SOAR、および SIEM ソリューション。
XDRのデメリット
- NDRと比較して設定が複雑です。特に、異なるベンダーからのデータソースをシームレスに統合する必要があるためです。
- XDRシステムの管理には専門知識が必要です。専門知識がない場合は、マネージドXDRソリューションを利用できます。
NDRとXDRの選択方法とは?
NDRとXDRの選択は、組織固有のセキュリティ要件、予算、ネットワーク環境の複雑さに依存します。ネットワークセキュリティを最優先とする場合、トラフィック分析とインシデント対応の迅速化にはNDRが最適です。一方、統一プラットフォームから多様なソースのセキュリティデータを監視・分析したい場合はXDRを選択してください。
比類なきエンドポイントプロテクション
SentinelOneのAIを搭載したエンドポイントセキュリティが、サイバー脅威をリアルタイムで防止、検出、対応するためにどのように役立つかをご覧ください。
デモを見るまとめ
NDRとXDRは強力なセキュリティソリューションであり、それぞれ進化するサイバー脅威から組織を保護する独自の機能を提供します。NDRはネットワークレベルの脅威に対する深い可視性とリアルタイム対応を実現します。一方、XDRはセキュリティ運用を集中化し、エンドポイント、クラウド、ネットワークトラフィックへの広範な可視性を提供し、セキュリティチームがイベントを相関させ、攻撃対象領域全体で脅威に迅速に対応することを可能にします。
SentinelOne Singularity XDRネットワーク、エンドポイント、モバイル、ID、クラウドにわたるサイバー脅威の検知と対応を統合します。 デモをリクエストし、複数のセキュリティ層にわたる脅威管理を支援する方法をご覧ください。
"FAQs
NDRをXDRで置き換えることも、XDRのサポートツールとしてNDRを活用することも可能です。NDRはエンドポイントセキュリティの複雑性を管理する上で重要な役割を果たすため、XDRの導入成功には不可欠です。
"XDRは拡張型検知・対応(Extended Detection and Response)を指します。NDRはネットワーク検知・対応(Network Detection and Response)の略称です。
"EDRはエンドポイント上で厳密にサイバー脅威を監視・検知しますが、XDRの高度な分析機能や集中管理型視点機能は備えていません。一方、NDRはネットワークトラフィックとリソースを監視します。EDRとNDRはどちらもXDRにとって重要な支援ツールであり、XDRがエンドポイントとネットワーク環境を保護することを可能にします。
"