2020年01月27日 05時00分 公開
特集/連載

新たなセキュリティ対策「NTA」「NDR」はなぜ必要なのか?「NTA」「NDR」で新手の脅威を防ぐ【前編】

「NTA」「NDR」製品といったセキュリティ製品が登場した背景には、サイバー攻撃手法の変化がある。対処のためにNTA/NDR製品が必要な脅威とは、どのようなものなのか。

[Kevin Tolly,TechTarget]

 セキュリティ用語には既にさまざまな略語があるが、さらに頭字語を増やさなければならなくなっている。それは「Network Traffic Analysis」(ネットワークトラフィック分析)を表す「NTA」と、「Network Detection and Response」(ネットワーク脅威検知・対処)を表す「NDR」だ。これらの2つの単語は、これまでの攻撃とは手法が大きく異なる新世代の攻撃を検出するための高度な技術を指している。

 かつてのサイバー攻撃は現在と比べて単純だった。例えば悪意ある操作を正規のSQLクエリに挿入して標的のサーバで実行させる「SQLインジェクション」や、マルウェアをメールの添付ファイルとして送り付ける方法などだ。こうした攻撃にはシグネチャ(攻撃パターン情報)があるため、それを発見してシグネチャを定義したファイルと照合することで、攻撃を検出し、防ぐことができた。このタイプの攻撃はなくなっていないが、より新しく、巧妙な手口の攻撃が既に検出されている。

 こうした新手の攻撃はステルス性(隠密性)が高く、検出が難しい。「Low and Slow」(少しずつ時間をかけて実行される)と形容されることもしばしばだ。具体的にはトラフィックがほとんど発生しなかったり、数分や数秒ではなく、数日や数週間にわたって継続したりする場合がある。

 これらの攻撃が成功すれば、攻撃者は企業の機密データを抜き取り、「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスで運用する悪質なWebサイトに送ることが可能になる。通信先のシステムがどのようなものかを評価することで攻撃を検出する従来の脅威検出メカニズムは、こうした手口による通信を正規のクラウドサービスとの通信だと判断して問題ないと見なし、脅威を見逃す恐れがある。

NTA/NDRはなぜ必要なのか

ITmedia マーケティング新着記事

news144.jpg

「BOTANIST」を生んだI-neが上場 強いブランドの秘密とは?
「BOTANIST」運営のI-neが東京証券取引所マザーズに上場。テクノロジーとマーケティング...

news052.jpg

Disney飛躍の立役者ボブ・アイガー氏が語る 「積み上げてきた価値を『崇拝』せず『尊重』せよ」
The Walt Disney Companyを巨大メディア企業に成長させた前CEOのボブ・アイガー氏が、レ...

news048.jpg

組織内のデータの半分以上が「ダークデータ」 回答者の66%――Splunk調査
「ダークデータ」とは活用できていない 、もしくは把握すらできていないデータのこと。