NDRとは？EDRが入れられないBYOD・IoT・委託先の“死角”を埋める有効性と限界、XDR連携まで解説

サイバー攻撃が高度化・巧妙化する現代、エンドポイント（PCやサーバーなど）の保護はセキュリティ対策の基本です。その中核を担うのがEDRであり、多くの企業で導入が進んでいます。しかし、企業のIT環境はPCやサーバーだけで構成されているわけではありません。

冒頭で触れたBYOD端末、スマート工場で稼働するOT/IoT機器、あるいは管理が及ばない業務委託先のシステムなど、EDRエージェントを導入できない「アンマネージド端末」は増加の一途をたどっています。

これらの端末はセキュリティ対策の”死角”となりやすく、攻撃者にとって格好の侵入経路となり得ます。端末ログが取得できないため、万が一インシデントが発生しても、何が起きたのかを追跡するデジタルフォレンジック調査も困難を極めます。

こうしたEDRだけでは守りきれない領域をカバーするために、ネットワーク全体の通信を監視するNDRの重要性が高まっているのです。NDRは、ネットワークトラフィックという客観的な事実（Telemetry）を収集・分析し、個々の端末の挙動ではなく、ネットワーク全体の「振る舞い」から脅威を検知します。これにより、ログ取得が難しい環境でも攻撃の兆候を早期に捉え、迅速なインシデントレスポンスへ繋げることが可能になります。

NDRがどのようにサイバー攻撃を検知するのか、その核心となる技術的な仕組みを理解することが重要です。NDRは、単に不審な通信をブロックする従来のIDS/IPSとは異なり、攻撃者の一連の活動、すなわちTTP（戦術・技術・手順）を可視化することに主眼を置いています。

NDRの分析の源泉となるのが「ネットワークTelemetry」です。これは、ネットワーク上を流れる通信に関するあらゆる情報を指します。具体的には、以下のような多岐にわたるデータを収集します。

• パケットキャプチャ（PCAP）：通信の生データ
• フロー情報（NetFlow/sFlowなど）：通信の概要情報（誰が、いつ、どこへ、など）
• 各種プロトコルのメタデータ：DNSクエリ、DHCP、HTTP/HTTPSのヘッダー情報など

EDRが端末内部のプロセス起動やファイル操作といった「端末ログ」を収集するのに対し、NDRは通信の客観的な事実を収集します。このTelemetryは、端末側でログを改ざん・削除されても影響を受けないため、攻撃の確実な証拠となり得ます。

このTTPの概念を体系化したフレームワークが「MITRE ATT&CK®」です。NDRは、収集したネットワークTelemetryをこのフレームワークにマッピングすることで、観測された個々の通信が攻撃全体のどのフェーズに該当するのかを文脈付けて理解し、検知精度を高めています。

従来のセキュリティ製品の多くは、既知のマルウェアの特徴（ハッシュ値など）を記録したシグネチャに基づいて検知していました。しかし、この手法では未知のマルウェアや新たな攻撃手法には対応できません。

一方、NDRの多くは機械学習やAIを活用した「振る舞い検知（ビヘイビア検知）」技術を搭載しています。平時の正常な通信状態を学習し、そこから逸脱する「異常」な振る舞いを検知するアプローチです。例えば、「深夜に特定のサーバーから大量のデータが外部に送信されている」「普段通信しないはずのサーバー同士が通信を始めた」といった挙動を捉えます。

この振る舞い検知により、シグネチャに依存せず、未知の脅威や内部不正の兆候をも捉えることが可能になるのです。

では、具体的にNDRはどのような攻撃に対して有効なのでしょうか。攻撃活動をモデル化した「サイバーキルチェーン」の各段階に沿って、NDRが得意とするTTPを解説します。

攻撃の第一歩は、標的のネットワーク環境を把握する偵察活動です。NDRは、ネットワークの出入り口での不審な振る舞いを監視し、この初期段階の攻撃を捉えることができます。

• ポートスキャン/ネットワークサービススキャン：侵入の足掛かりを探すため、外部からサーバーの開いているポートを探索する行為。単一IPから短時間に多数のポートへアクセスするような異常な通信パターンを検知します。
• 脆弱性を狙った攻撃通信：既知の脆弱性を悪用しようとする攻撃ペイロードを含んだパケットを検知します。
• C2サーバーへの初期通信：マルウェア感染直後、攻撃者の指令サーバー（C2サーバー）へ行われる最初の通信。既知の悪性IP/ドメインへの通信や、DNSトンネリングのような異常なプロトコル利用を検知します。

一度内部侵入に成功した攻撃者は、より重要な情報資産を目指し、内部ネットワークを横方向に移動（ラテラルムーブメント）します。この内部での不審な動きは、NDRが最も得意とする検知領域です。

• 内部偵察活動：Active Directoryへの大量のLDAPクエリやDNSクエリなど、ネットワーク構成やアカウント情報を窃取しようとする偵察行為を検知します。
• 認証情報への不正アクセスと利用：Mimikatzなどのツール利用に関連する通信や、窃取した認証情報で複数のサーバーへログインを試みるパス・ザ・ハッシュ/パス・ザ・チケット攻撃などを検知します。
• マルウェアの内部拡散：ランサムウェアなどがファイル共有プロトコル（SMB）の脆弱性を悪用し、内部端末へ自己増殖する動きを監視します。特定の端末からの異常なSMBトラフィックを脅威として警告します。

最終段階として、攻撃者は機密情報の窃取やシステムの破壊といった目的を実行します。

• C2サーバーとの継続的な通信：遠隔操作や情報窃取のため、C2サーバーと維持される通信。定期的なビーコン通信や、特徴的な通信パターンのトラフィックを検知します。
• データの持ち出し（Exfiltration）：機密データを圧縮・暗号化し、外部サーバーへ送信する行為。DNSやICMPなどを隠れ蓑にする「トンネリング」手法も、トラフィックの詳細な分析により検出可能です。

これらの検知能力は、EDRを導入できない環境でこそ真価を発揮します。BYOD端末がマルウェアに感染し社内ネットワークに接続されても、NDRはその端末がファイルサーバーへ不審なスキャンをかけたり、外部のC2サーバーと通信したりする振る舞いを捉え、被害拡大を防ぎます。これは、サプライチェーン攻撃でセキュリティレベルの低い委託先を経由して侵入されるシナリオでも同様に有効です。

NDRは強力ですが、万能ではありません。ネットワーク監視を起点とするがゆえの限界も存在します。これらの死角を理解し、他の対策と組み合わせることが重要です。

現代の通信のほとんどはTLS/SSLで暗号化されています。NDRは暗号化されたパケットの中身（ペイロード）を直接見られないため、通信内容にマルウェアが含まれていても検知は困難です。これがNDRの最大の課題です。

ただし、多くのNDR製品は通信のメタデータ（JA3/JA3Sフィンガープリント、通信先、通信量、頻度など）を分析し、暗号化通信に隠された脅威を推測する技術を持っています。それでも検知精度には限界があり、暗号化通信の可視化は今後の大きなテーマです。

NDRはネットワークを流れる通信を監視するため、ネットワーク通信を一切伴わない攻撃は検知できません。

• USBメモリ経由でのマルウェア感染：持ち込まれたUSBメモリから感染し、ネットワーク通信を行わずに端末内のファイルを暗号化する場合。
• 正規プロセス内での悪性コード実行：OSの正規プロセスにコードを注入（プロセスインジェクション）し、端末内部だけで完結する活動。

これらの攻撃は、まさにEDRが得意とする領域であり、NDRとEDRの相補的な関係性がここからも分かります。

攻撃者のTTPとは異なる、人為的なミスによる情報漏洩もNDRでは検知が難しい場合があります。例えば、開発者が誤って公開設定のクラウドストレージに機密情報をアップロードするケースです。ただし、内部不正者が意図的に大量データを持ち出す際の異常なアップロード通信は検知できる可能性があります。

NDRとEDRにはそれぞれ得意・不得意な領域があります。NDRはネットワーク全体を俯瞰して「横の動き」を、EDRは端末内部を深く見て「縦の動き」を捉えます。この2つを組み合わせることで、セキュリティの死角をなくし、より強固な防御体制を築けます。

理想的なセキュリティ運用（SOC）では、NDRが「怪しい通信」というアラートを上げ、それを受けてEDRで該当端末のログを深掘りし、「どのプロセスがその通信を引き起こしたのか」を特定する、という連携が可能です。

このNDRとEDRの連携をさらに推し進め、クラウドやメールなど他のセキュリティログも統合的に分析するソリューションがXDR（Extended Detection and Response）です。XDRは、異なるソースからのTelemetryを自動で相関分析し、個々のアラートを文脈のある一連のインシデントとして可視化します。

これにより、セキュリティ担当者は断片的な情報に惑わされず、攻撃の全体像を迅速に把握できます。脅威ハンティングやインシデントレスポンス（フォレンジック）のプロセスが大幅に効率化され、被害の軽減に大きく貢献します。

本記事では、NDRがどのような攻撃に有効で、どのような限界があるのかをTTPの概念を交えて解説しました。

NDRは、特にEDRの導入が困難なBYOD、IoT、委託先システムといった環境のセキュリティの隙間を埋める上で非常に強力なツールです。ネットワーク全体の通信を可視化し、振る舞いを分析することで、攻撃者の内部活動（ラテラルムーブメント）の兆候を早期に検知し、ランサムウェアなどの重大インシデントへの発展を防ぎます。

一方で、暗号化通信や端末内で完結する攻撃の検知には限界もあります。NDRは万能薬ではなく、EDRをはじめとする他のソリューションと組み合わせることで真価を発揮する、セキュリティ戦略の重要なピースと考えるべきです。

自社のIT環境のどこにセキュリティの”死角”が存在するのかを正確に把握し、NDRがその解決にどう貢献できるかを検討することが、これからのセキュリティ対策において不可欠です。