ニュース

SIEMやEDRとも異なるセキュリティ製品「NDR」とは? 米ExtraHopがその特徴を説明

 セキュリティ製品ベンダーの米ExtraHop Networksは15日、日本向けビジネスを本格的に開始するにあたり、日本のカントリーマネージャーに福山貴也氏を任命したことを発表した。「次の四半期(2021年1~3月)に日本法人を設立する計画」(福山氏)だという。

 ExtraHop NetworksはNDR(Network Detection and Response:ネットワークの脅威検知とインシデント対応)製品の「ExtraHop Reveal(x)」をリリースしている企業。ExtraHop Reveal(x)は、ハードウェアアプライアンス、仮想アプライアンス(VMwareやクラウド)、SaaSの3つの形態で提供されている。費用はサブスクリプションモデルで、物理アプライアンスの場合はハードウェアのイニシャル費用も必要となる。

 ExtraHop Networksは2020年に日本に進出。ターゲットは大手エンタープライズやグローバル企業で、現在、金融業や大手製造業などで評価段階だという。

ExtraHop Networks Japan カントリーマネージャー 福山貴也氏
ExtraHop Networksの共同創設者兼CCOのRaja Mukerji氏

侵入されることを前提として対処するNDR

 NDRは、組織内を流れるネットワークトラフィックのパケットを分析することで、自社ネットワークの状態を可視化して把握し、脅威を検出して対応する製品カテゴリだ。同日開催された記者説明会では、ExtraHop Networksの共同創設者兼CCOのRaja Mukerji氏が、ExtraHop Reveal(x)について、シグネチャによるものではなく、通信内容からAI/機械学習によって振る舞いを検出するものだと説明した。SSL/TLSで暗号化されたトラフィックにも対応する。なお、Mukerji氏はF5 Networks出身。

 NDRが必要になる背景として福山氏は、組織と外部の間を守る境界防御では侵入されてしまうと、その後の攻撃者を把握できないことを挙げ、侵入される可能性を前提に、仮に侵入されたとしても行動を捕捉して脅威を取り除くソリューションが必要だと語った。

 また福山氏は、同様に組織内を一元的に把握して対応するセキュリティソリューションであるEDR(Endpoint Detection and Response)やSIEM(Security Information and Event Management)とNDRを比較した。

 EDRはエージェントが必要であるため、システムへの負担があることや、IoTデバイスなどにエージェントが入れられない場合があることを主張。また、SIEMは収集したログを分析する仕組みのためリアルタイム性に欠け、データが膨大になり、侵入者により改ざんが可能であると主張。そのうえで、NDRはリアルタイムで、改ざん不可能で、本番環境に影響を与えないとアピールした。

 ExtraHop Reveal(x)の製品が持つ特徴としては、単一プラットフォームでパフォーマンス監視とセキュリティ対策の両方に対応していることを挙げ、ツールのサイロ化を解消し、セキュリティチームとネットワークチームの連携を強化すると語った。

 また、外部の情報のインポート、検知結果からのファイアウォールなどでの対応、検知情報のSIEMへの送付など、既存ソリューションとのエコシステムも特徴として挙げている。

 一方でMukerji氏は、アーキテクチャの特徴として、クラウドでも、データセンターでも、モバイルデバイスでも対称にし、あらゆるトラフィックからインサイトを提供する「ユビキタス」を挙げた。

 他社のAI/機械学習によるNDRと比べた特徴としては、対応しているプロトコルの多さや、最高スペックのハードウェアアプライアンスで100Gbpsまで対応するスループット性能を福山氏は挙げた。

EDR、SIEM、NDRを比較
単一プラットフォームでパフォーマンス監視とセキュリティ対策の両方に対応
既存ソリューションとのエコシステム
ExtraHop Reveal(x)のアーキテクチャ

 福山氏はExtraHop Reveal(x)のデモも見せた。画面では検出された脅威が、カテゴリーや検知状況、リスクスコアなどが可視化されて表示される。特徴の一つとして、ネットワークにつながっているデバイスの検出では、サーバーなどと同様に、エージェントをインストールできないIoTデバイスなども表示されるところが示された。

 また、CMSのDrupalへの攻撃を検出した例では、攻撃の流れを時系列で表し、攻撃の直前にスキャンが来ていたことや、攻撃後には乗っ取ったサーバーから社内へ攻撃がなされていることがわかるところを示していた。

ExtraHop Reveal(x)の画面
デバイスの検出。IoTデバイスなども表示される
攻撃の流れを時系列で表示