NDR導入の第一歩!
Flowmon ADSが解決するセキュリティの課題
2025年8月4日
1.はじめに
今日の情報社会の発展の陰で、情報資産を脅かすサイバー犯罪は高度かつ巧妙な手口へ進化しており、多層的な保護と迅速な対応を実現するセキュリティが必要とされています。Progress社のブログ「Analysts Share Their 2025 Cybersecurity Predictions(https://www.progress.com/blogs/analysts-share-their-2025-cybersecurity-predictions)」では、ランサムウェアの脅威に加え、SNSや生成AIの悪用、サプライチェーン攻撃など、新たな攻撃リスクの増加が指摘されています。特に、SNSやサプライチェーンといった、これまで見過ごされがちだった領域からの攻撃により、侵入に気づきにくい「ステルス性」の高さが大きな特徴といえます。さらに、発覚後の対応体制の不備が被害を拡大させるケースも多く、”早期発見”と”迅速な対応”の重要性が増しています。加えて、クラウドやリモートワークの普及によりネットワーク境界が曖昧となった昨今では、内部からの情報漏えいリスクも無視できない課題となっています。
これら脅威の変化に対して、従来の境界型やシグネチャベースの防御では対応が不十分となりつつあり、ゼロトラストやSIEM(Security Information and Event Management)などを活用した多層防御といった”新しい情報セキュリティ”への移行が世界的なトレンドになっています。このような背景で現在注目されているのが、「Flowmon ADS(Anomaly Detection System)」をはじめとした、ネットワークの“振る舞い”に基づいて攻撃を検知するNDR(Network Detection and Response)型の製品です。海外ではFlowmonユーザの約4割のお客様にADSをご導入いただいており、ネットワークの可視化と脅威検知の組み合わせが有効な対策として受け入れられていますが、一方で日本国内での導入率はやや低く、まだ普及の途上にあります。これには、セキュリティ対策を導入する段階における技術的・運用的なハードルや優先度、製品等の具体的な情報の不足が背景にあるのではと考えられます。
そこで、本コラムではFlowmon ADSの強みと、現代の脅威に対してどのように有効かを詳しく解説いたします。ADSの導入を検討いただいているお客様だけでなく、「既存の従来型セキュリティに不安を感じており、始めやすいきっかけを探している」「NDRの導入でどのような効果を得られるか知りたい」といった課題をお持ちのお客様に、ぜひご一読いただきたい内容となっています。
2.Flowmon ADSとは
Flowmon ADSはNetFlowを使用してネットワーク内のトラフィックを監視し、通信の”振る舞い”から異常を検知します。その最大の強みは以下の3点にあります。
振る舞いベース検知
振る舞いベース検知はシグネチャのような明示的な特徴ではなく、既知脅威に類似した通信傾向からリスクを”推定”して検知を行います。このような推論的・経験則的な手法はシグネチャベースより精度は劣るものの、課題とされていた未知のマルウェアやゼロデイ攻撃にも対応できることが強みです。ADSでは監視対象のネットワークごとに機械学習でベースライン(正常な振る舞い)を構築し、人間の目では気づきにくいような異常も高精度で検知しながら、チューニングによって不要な誤検知は最小限に抑えます。
ネットワークレイヤの監視
ファイアウォールやIDS/IPSといった境界セキュリティ、アンチウイルス等のEPPやEDRといったエンドポイントセキュリティは現在ほとんどの企業様で実装されていますが、その間に位置するネットワークレイヤは手薄になりがちです。ADSではネットワーク内を流れる通信を監視するため、境界とエンドポイントとの間のギャップを補完した多層防御を実現できます。境界/エンドポイントをすり抜けてしまった攻撃にも気づくことができるほか、社内サーバのなりすましやデータの持ち出しといった内部脅威にも対応が可能になります。
リアルタイムのネットワーク可視化
ADSでは40を超えるメソッド(脅威に特徴的な通信の振る舞いパターンを定義したもの)を使用してネットワーク内のあらゆる通信を見分け、異常なイベントをリアルタイムでアラートします。さらに異常が検知されたホストの動きを時系列で追跡したり、感染の様子から侵入経路を特定したりといった分析を行うことが可能です。また、インシデント証跡として該当通信のNetFlowデータの記録や、ファイアウォール・ネットワークコントローラ等の外部機器との連携で該当経路の即時隔離など、即座に防御アクションに移ることが可能となります。
上記以外にも、ADSには異常検知から原因分析、事後対応までを一貫して支援する豊富な機能が搭載されている点も魅力です。直感的なGUIを使った容易な分析、MITRE ATT&CKフレームワークと照らし合わせた脅威の分類や、分かりやすい文章でのイベント概要により、オペレーションの負荷が大幅に軽減されます。先日国内リリースされた最新バージョンのv12.05では、イベント詳細に原因特定や被害拡大を防ぐ是正措置につながる推奨事項も追加され、インシデント対応における意思決定をよりスムーズに行うことが可能になりました。
💡MITRE ATT&CKフレームワークとは
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)フレームワークは、アメリカの非営利研究開発機関であるMITRE社が開発・公開しているナレッジベースで、サイバー攻撃における脅威行動を体系的に整理・分類しています。
このフレームワークは、攻撃者の「Tactics(戦術)」と、それを達成するために使われる「Techniques(テクニック)/Sub-techniques(サブテクニック)」という要素で構成されており、攻撃のライフサイクルを可視化することが可能です。
現在、以下14の戦術と、それらをさらに細分化した数百ものテクニックやサブテクニックが定義されています。これにより、防御側が脅威の全体像を把握しやすくなり、検知、対応、復旧の各フェーズにおいて実践的な対策を講じるための指針として活用されています。
MITRE ATT&CK Tactics
| Phase | Tactics (戦術) | 説明 |
|---|---|---|
| 01 |
偵察
Reconnaissance
|
攻撃を計画するための情報を収集。 |
| 02 |
リソース開発
Resource Development
|
攻撃に使用するインフラを構築。 偽ウェブサイトの作成等。 |
| 03 |
初期アクセス
Initial Access
|
標的への侵入を試みる最初の攻撃手法。 フィッシングメール等。 |
| 04 |
実行
Execution
|
攻撃活動を実行。 悪意あるコードの注入・実行等。 |
| 05 |
永続化
Persistence
|
様々なテクニックを使い、侵入したネットワーク上への永続性を維持。 |
| 06 |
権限昇格
Privilege Escalation
|
高度な攻撃を実行するため、より高い権限やアクセス許可を取得。 |
| 07 |
防御回避
Defence Evasion
|
攻撃者がネットワーク内で発見されることを回避するための動き。 |
| 08 |
資格情報アクセス
Credential Access
|
まだ完全に侵入していないシステムへのログイン情報を盗聴・窃取。キー情報の入力等。 |
| 09 |
調査
Discovery
|
ネットワーク上で感染・制御の対象となる他のシステムを見つける。 |
| 10 |
水平展開
Lateral Movement
|
一度感染したシステムから別のシステムへ移動。複数のシステム間で有効な認証情報を使って広がるのが一般的。 |
| 11 |
収集
Collection
|
販売や次なる攻撃計画の利用、脅迫に有用なデータを収集。 |
| 12 |
指令・制御
Command and Control
|
ネット上の攻撃者のシステムと感染したシステムとの通信。通常のパケットに偽装した通信を使用するのが一般的。 |
| 13 |
情報流出
Exfiltration
|
ダークウェブで販売、または身代金要求や後続攻撃に利用のため、収集したデータを攻撃者のサーバーに転送。 |
| 14 |
影響
Impact
|
ITシステムの運用を妨害。 ランサムウェアによる暗号化が最も一般的だが、他の手法も用いられる。 |
3. 現代のセキュリティトレンドとFlowmon ADS
現代情報セキュリティにおけるキーワードである「ゼロトラスト」及び「SIEM」は、これからのセキュリティの基本戦略といえますが、Flowmon ADSをはじめとするNDRはこれらの実現にどのように寄与するのでしょうか。
ゼロトラストセキュリティ
従来の「境界型セキュリティ」では、ファイアウォールやIDS/IPSによってネットワークの“内部”と“外部”を明確に分離し、外部からの脅威を遮断することを基本方針としていました。このモデルには「境界の内側は信頼できる」という前提があり、一度侵入を許すと被害の拡大を防ぐのが困難という弱点があります。現代では、攻撃の高度化・巧妙化によりそのすべてを境界で防ぐのは現実的ではなくなっています。内部脅威に対する問題意識の高まりも相まって、根本からの再構築が求められています。こうした中で登場した「ゼロトラストセキュリティ」は、「すべてを信頼しない」ことを前提にした考え方で、「多角的監視」や「ユーザ認証」、「アクセス制御」がキーコンポーネントとされています。クラウドやリモートワークの普及により情報資産・ユーザが社内外に分散するようになったことで、近年特に注目を集めているゼロトラストですが、具体的に何をすべきか悩む企業様も多いのではないでしょうか。NDRソリューションは発信元に関わらずすべてのネットワーク活動を監視・検知・分析することで、内部外部を問わない包括的な可視性を提供します。これにより、境界を前提としないセキュリティの新たな視点を得ることができ、ゼロトラストセキュリティの実効性を高めることが可能です。
SIEM(セキュリティ情報及びイベント監視)
現代のセキュリティ対策では、単一のソリューションに依存するのではなく、複数の視点と技術を組み合わせた多層的なアプローチが不可欠です。SIEMとは、ファイアウォール、EDR、NDRなど多様なセキュリティツールから収集したログやアラートを一元的に管理し、相関分析を通じて異常を検知・可視化するプラットフォームです。SIEMとの連携において、NDRはデータのやり取りやユーザアクティビティといったネットワーク全体の可視性を提供し、異常検知・脅威対応を格段に強化、より迅速かつ的確なインシデント対応を可能とします。
現代のサイバー攻撃に対してはネットワークへの侵入を100%防ぐことは不可能であり、侵入してしまった脅威をいかに早期発見・対処できるかが重要となります。そのためには様々な視点からの多角的防御が不可欠であり、NDRの導入は非常に有効な手段といえるでしょう。
4. おわりに
サイバー犯罪は日々、より高度かつ巧妙な手法へと進化しており、それに応じて情報資産の防御も常にアップデートが求められています。本コラムでは、ネットワーク全体の可視化を通じて新たなセキュリティの視点を提供するNDR製品「Flowmon ADS」についてご紹介しました。Flowmonはネットワーク構成を大きく変更することなく導入できるアウトバンド型の構成であり、監視対象の機器に障害が生じた場合でも、ネットワークそのものには影響を与えないため、導入のしやすさも魅力の一つです。振る舞いベースの高度な異常検知と迅速なインシデント対応を支援する様々な機能を備えておりますので、社内のセキュリティ強化に向けた実践的かつ効果的な選択肢として、ぜひFlowmon ADSの導入をご検討いただければ幸いです。
◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。
細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。
- お見積依頼、お問い合わせはこちらからどうぞ
- 03-6205-6082
- 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)