「NTA」「NDR」で新手の脅威を防ぐ【後編】「NTA」「NDR」とは？ 巧妙な攻撃を防ぐ仕組みと使いこなし方

近年のサイバー攻撃は長期化しており、検出が困難になっている。こうした脅威を検出するのに有効な「NTA」（Network Traffic Analysis）「NDR」（Network Detection and Response）システムとは何か。

[Kevin Tolly，TechTarget]

　巧妙化するサイバー攻撃の対策として「NTA」（Network Traffic Analysis）／「NDR」（Network Detection and Response）製品が台頭しつつある。これらのツールは、従来のセキュリティ製品とどのように異なるメカニズムで攻撃を検出しているのだろうか。

　NTA／NDR製品は、例えばIoT（モノのインターネット）デバイスを通じた攻撃を検出するために、まずIoTデバイスが送信元となる正規のトラフィックを収集する。時間の経過とともに蓄積するトラフィックは膨大になり、これを基に正常なトラフィックと未知のトラフィックを比較できるようになる。

　悪質なデバイスが「Low and Slow」（少しずつ時間をかけて実行される）方式の攻撃でデータ窃盗を試みると、NTA／NDR製品は異常なトラフィックパターンを検出。悪意ある挙動が発生している可能性があることを知らせるアラートを出す。

併せて読みたいお薦め記事

さまざまな攻撃手法

• 画面を閉じても止められないWebブラウザ攻撃手法「MarioNet」の危険性
• 「RAMBleed」とは？　物理メモリからデータを盗む新手の手口
• 新手の攻撃「Roaming Mantis」「セクストーションスパム」とは？

ネットワークセキュリティの強化方法

• いまさら聞けない「ネットワークセキュリティ」強化のための5ステップ
• “危ない無線LAN”をなくすための5大セキュリティ対策

　一般にセキュリティ製品の利用においては、脅威の検出精度に注意する必要がある。具体的には「実際の攻撃を検出できたかどうか」「安全なトラフィックを誤って悪質なものと判定しなかったかどうか」といった点が重要だ。

NTA／NDR製品を使いこなすには