更なるセキュリティ強化に向けて、注目されているのが、EDR(Endpoint Detection and Response)とNDR(Network Detection and Response)を組み合わせた領域です。
EDRは、常駐型のアプリケーションによりエンドポイント(PC端末やサーバ)上での不審な挙動を検出する仕組みです。各エンドポイントのログを、センターサーバ側で中央集権的に集めることが可能です。NDRは、ネットワークを流れるパケットの情報から異常な通信を検出する仕組みで、EDRのログに基づいた検知ができない領域をカバーすることが可能です。
EDRとNDRを組み合わせることにより、システム全体で何が起きているのかを漏れなく見つけられるのではないかと考えています。
例えば、退職した社員によるデータの持ち出し、すなわち情報漏洩問題です。在職中の該当社員のファイルアクセスは、当然本人によるものなので「なりすまし」ではありません。しかし、普段アクセスしないはずのファイルに順繰りにアクセスし、外部向けに大量に通信するようなトラフィックを検知することができたらどうでしょうか。EDRとNDRの両方の側面で、退職予定者による疑わしい行動として検知することが可能です。
これらのEDRやNDRなどから出力されるデータも、一元的なビッグデータ基盤に貯めていくことが求められていくと考えています。
すでに攻撃者が境界型セキュリティを越えて侵入しているかもしれないゼロトラスト時代、会社の重要な情報を守るためには、会社の業務プロセスに合わせた形で行動の信頼度を推定する推論エンジンの構築が求められます。それを実現するために、イベントログやEDR/NDR等のログを一元的に集約するビッグデータ基盤もまた必要となります。
それらをオペレーションするためには、情報システム部門と情報セキュリティ部門の連携がより密になることが求められていくでしょう。
※掲載している情報は、記事執筆時点のものです。