「NTA」「NDR」で新手の脅威を防ぐ【前編】新たなセキュリティ対策「NTA」「NDR」はなぜ必要なのか？

「NTA」「NDR」製品といったセキュリティ製品が登場した背景には、サイバー攻撃手法の変化がある。対処のためにNTA／NDR製品が必要な脅威とは、どのようなものなのか。

　セキュリティ用語には既にさまざまな略語があるが、さらに頭字語を増やさなければならなくなっている。それは「Network Traffic Analysis」（ネットワークトラフィック分析）を表す「NTA」と、「Network Detection and Response」（ネットワーク脅威検知・対処）を表す「NDR」だ。これらの2つの単語は、これまでの攻撃とは手法が大きく異なる新世代の攻撃を検出するための高度な技術を指している。

　かつてのサイバー攻撃は現在と比べて単純だった。例えば悪意ある操作を正規のSQLクエリに挿入して標的のサーバで実行させる「SQLインジェクション」や、マルウェアをメールの添付ファイルとして送り付ける方法などだ。こうした攻撃にはシグネチャ（攻撃パターン情報）があるため、それを発見してシグネチャを定義したファイルと照合することで、攻撃を検出し、防ぐことができた。このタイプの攻撃はなくなっていないが、より新しく、巧妙な手口の攻撃が既に検出されている。

　こうした新手の攻撃はステルス性（隠密性）が高く、検出が難しい。「Low and Slow」（少しずつ時間をかけて実行される）と形容されることもしばしばだ。具体的にはトラフィックがほとんど発生しなかったり、数分や数秒ではなく、数日や数週間にわたって継続したりする場合がある。

　これらの攻撃が成功すれば、攻撃者は企業の機密データを抜き取り、「Amazon Web Services」（AWS）や「Microsoft Azure」などのクラウドサービスで運用する悪質なWebサイトに送ることが可能になる。通信先のシステムがどのようなものかを評価することで攻撃を検出する従来の脅威検出メカニズムは、こうした手口による通信を正規のクラウドサービスとの通信だと判断して問題ないと見なし、脅威を見逃す恐れがある。

NTA／NDRはなぜ必要なのか