Overview
NDR(Network Detection and Response)とは、ネットワーク上のトラフィックをリアルタイムに監視・分析し、サイバー攻撃や不審な振る舞いを検知して対応するためのセキュリティソリューションです。従来のシグネチャベースのIDS/IPSとは異なり、機械学習やAIを活用した行動分析によって、未知の脅威やゼロデイ攻撃を検出する能力を持ちます。NDRはネットワーク全体の可視性を提供し、East-West(内部間)トラフィックを含むすべての通信を監視対象とします。
NDRの基本的なアプローチは、まずネットワークトラフィックの正常な通信パターン(ベースライン)を学習し、そこから逸脱する異常な振る舞いを検知するというものです。ディープパケットインスペクション(DPI)やフローデータ分析、メタデータ解析などの技術を組み合わせることで、攻撃者がエンドポイントのセキュリティを回避した場合でも、ネットワーク層での検知が可能になります。
近年のサイバー攻撃は、暗号化通信を利用してセキュリティ製品による検知を回避するケースが急増しています。NDRソリューションは暗号化トラフィック分析の機能を備え、通信内容を復号化せずにメタデータやトラフィックパターンから脅威を検知する技術を提供します。これにより、プライバシーを侵害することなく、TLS/SSL通信に潜む脅威を特定することが可能です。
Details
トラフィック分析の基本アプローチ
NDRにおけるトラフィック分析は、ネットワーク上を流れるパケットデータ、フローデータ(NetFlow/sFlow/IPFIX)、DNSクエリ、HTTPリクエストなど、複数のデータソースを統合的に分析するアプローチをとります。パケットキャプチャでは通信の全内容を記録し、フォレンジック調査に活用します。一方、フロー分析では通信の送信元・宛先・ポート・プロトコル・データ量などのメタデータに着目し、大量のトラフィックを効率的に監視します。
これらのデータをAI・機械学習モデルに投入することで、正常時のトラフィックパターンからの逸脱をリアルタイムに検出します。例えば、通常は通信しないホスト間の通信発生、異常な時間帯でのデータ転送、C2(Command and Control)通信に特有のビーコニングパターンなどを検知できます。
ディープパケットインスペクション(DPI)
DPIは、ネットワークパケットのヘッダーだけでなくペイロード(データ部分)まで詳細に検査する技術です。アプリケーション層のプロトコルを識別し、マルウェアの通信パターンやデータ窃取の試行を検知します。従来のファイアウォールがポートとプロトコルの情報のみで制御を行うのに対し、DPIはアプリケーションレベルでの可視化を実現します。
NDRソリューションではDPI技術を活用して、ファイル転送に偽装したC2通信、DNSトンネリング、HTTPを利用したデータ窃取(Data Exfiltration)などを検知します。ただし、通信が暗号化されている場合はDPIの適用範囲が制限されるため、暗号化トラフィック分析との併用が不可欠です。
暗号化トラフィック分析
暗号化トラフィック分析は、TLS/SSLなどの暗号化通信を復号化することなく、脅威を検知する技術です。JA3/JA3Sフィンガープリント(TLSハンドシェイクの特徴量)、証明書の属性分析、暗号スイートの選択パターン、通信のタイミングやサイズの統計的分析などを活用します。
マルウェアが使用するTLS通信は、正規のブラウザ通信とは異なる特徴的なパターンを示すことが多く、これらの特徴量を機械学習モデルで分析することにより、暗号化通信に隠れたマルウェア通信やC2通信を高精度で検出できます。プライバシーを保護しながらセキュリティ監視を行える点が大きなメリットです。
ネットワークフォレンジック
NDRはインシデント発生時のネットワークフォレンジックにも重要な役割を果たします。過去のトラフィックデータを保存・検索可能な形で蓄積し、攻撃の全容解明に必要なエビデンスを提供します。攻撃者の初期侵入経路、ラテラルムーブメント(横方向移動)の痕跡、データ窃取の範囲と手法などを時系列で追跡できます。
フォレンジック調査ではPCAP(パケットキャプチャ)データが最も詳細な情報を提供しますが、大量のストレージが必要になるため、多くのNDRソリューションではメタデータの長期保存とPCAPの短期保存を組み合わせた階層型のデータ管理を採用しています。
NDR導入のアーキテクチャ
NDRの導入には、ネットワークトラフィックの取得ポイントの設計が重要です。一般的に、ネットワークTAPやスイッチのSPANポート(ミラーポート)を利用して、トラフィックのコピーをNDRセンサーに転送します。クラウド環境では、VPC Flow Logsやトラフィックミラーリング機能を活用します。
センサーの配置は、インターネットゲートウェイ、DMZ、内部ネットワークセグメント間、データセンターのコアスイッチなど、戦略的なポイントに行います。North-South(外部との通信)だけでなく、East-West(内部間通信)の監視も含めることで、ラテラルムーブメントの検知能力を高めます。また、SIEMやSOAR、EDRとの連携を設計し、検知から対応までのワークフローを自動化することが推奨されます。
Security Measures
- 01ネットワークの重要ポイントにセンサーを配置:インターネットゲートウェイ、DMZ、内部セグメント間、データセンターコアなど、攻撃者の通信経路となりうる重要なネットワークポイントにNDRセンサーを配置し、North-SouthとEast-Westの両方のトラフィックを監視してください。
- 02ベースラインの適切な学習期間を確保:NDR導入後、最低2〜4週間の学習期間を設け、通常のネットワークトラフィックパターンを正確に把握させてください。業務サイクルや季節変動を考慮し、誤検知の削減とチューニングを継続的に行いましょう。
- 03暗号化トラフィック分析機能を有効化:TLS/SSLで暗号化された通信に対して、JA3フィンガープリントや証明書分析、通信パターン分析などの暗号化トラフィック分析機能を有効化し、暗号化通信に潜む脅威の検知能力を向上させてください。
- 04SIEMおよびEDRとの連携を構築:NDRのアラートをSIEMに統合し、エンドポイント(EDR)やクラウドセキュリティの情報と相関分析を行うことで、脅威の全体像を把握し、誤検知の削減と検知精度の向上を実現してください。
- 05フォレンジックデータの保存ポリシーを策定:インシデント調査に必要なネットワークフォレンジックデータの保存期間と保存対象を明確にし、メタデータの長期保存とPCAPデータの短期保存を組み合わせた効率的なストレージ戦略を策定してください。
- 06自動レスポンスルールの段階的導入:NDRの検知結果に基づく自動対応(ファイアウォールルールの動的変更、感染端末の隔離など)は、まず通知のみのモードで運用し、誤検知率を十分に低減してから段階的にブロックモードへ移行してください。
Incidents
📋 大手製造業におけるラテラルムーブメントの検知遅延(2023年)
2023年、大手製造業がランサムウェア攻撃を受け、工場の制御系ネットワークまで侵害されました。攻撃者はVPN装置の脆弱性を利用して初期侵入を果たした後、約3週間にわたってネットワーク内をラテラルムーブメントしていましたが、従来型のIDS/IPSでは検知できませんでした。
事後調査の結果、NDRが導入されていれば、内部間の異常な通信パターン(通常は通信しないセグメント間の大量データ転送、深夜帯のRDP通信の急増など)を早期に検知できた可能性が高いことが判明しました。この事例を受け、同社はNDRの導入と内部ネットワーク監視の強化を実施しました。
📋 金融機関におけるDNSトンネリングによるデータ窃取(2022年)
2022年、ある金融機関で顧客データの流出が発覚しました。攻撃者はDNSトンネリング技術を使用し、DNSクエリに機密データをエンコードして外部のC2サーバーに送信していました。従来のファイアウォールやプロキシではDNS通信が正常に見えるため、数か月間にわたってデータ窃取が行われていました。
NDRソリューションの導入後、DNSクエリの長さ・頻度・エントロピーの異常パターンを検知する機能により、同様の攻撃の再発を早期に検知できる体制が構築されました。この事例はDNSトラフィックの監視強化の重要性を示しています。
📋 暗号化C2通信によるAPT攻撃の長期潜伏(2024年)
2024年、政府機関のネットワークにおいて、暗号化されたHTTPS通信を利用したAPT攻撃が発覚しました。攻撃者は正規のクラウドサービスを中継点として利用し、標準的なTLS通信に偽装してC2通信を行っていたため、従来型のセキュリティ製品では検知されませんでした。
NDRの暗号化トラフィック分析機能により、JA3フィンガープリントの異常(一般的なブラウザと一致しないTLSクライアントハロー)と、定期的なビーコニングパターン(5分間隔の小さなHTTPSリクエスト)が検知され、攻撃の発見につながりました。この事例は暗号化トラフィック分析の有効性を実証するものとなりました。