ランサムウェアや高度な持続的脅威(APT)による被害が相次ぐ中、外部からの侵入を防ぐファイアウォールだけでは自社ネットワークを十分に守れない状況が生まれています。攻撃者は一度内部に侵入すると、数週間から数ヶ月にわたって潜伏し、内部で横展開を繰り返してから最終的な攻撃を実行します。こうした「侵入後」の脅威を検知する手段として登場したのが、NDR(Network Detection and Response)です。
本記事では、NDRの基本的な仕組みと登場背景から、ゼロトラスト時代に内部ネットワーク監視が求められる理由、EDR・XDRとの違いと使い分け、NDRが検知できる主な脅威、導入検討時のチェックポイントまでを整理します。さらに、NDR機能を提供する不正検知ソリューションも紹介しますので、自社のセキュリティ強化を検討している担当者の方はぜひ参考にしてください。
目次
NDR(Network Detection and Response)とは何か
NDR(Network Detection and Response)は、組織内ネットワークを流れるパケットやフローログを継続的に収集・分析し、サイバー脅威の兆候をリアルタイムで検知・対応するセキュリティソリューションです。日本語では「ネットワーク検知・対応」と訳されます。
ネットワーク全体を可視化する仕組み
NDRは、ミラーポートやネットワークTAP(Test Access Point)と呼ばれる装置を通じてネットワーク上の通信を収集します。収集した通信データをAIや機械学習で分析し、既知の攻撃パターン(シグネチャベース検知)と、正常な通信からの統計的逸脱(アノマリ検知)の両面から脅威を識別します。
検知した脅威情報は、SIEM(Security Information and Event Management)やSOAR(Security Orchestration, Automation and Response)と連携して、セキュリティチームへのアラート通知や自動遮断処理に活用されます。多くのNDR製品はMITRE ATT&CKフレームワークと連携し、攻撃戦術・手法を体系的に分類して管理者が優先度判断を行いやすい形で提供します。
NDRが登場した背景
従来のファイアウォールやIDS/IPS(Intrusion Detection/Prevention System)は、組織の境界部分で外部からの不正アクセスを防ぐことを主目的としていました。境界型セキュリティは長年有効に機能してきましたが、クラウドサービスの普及とリモートワークの定着によって、組織の「内と外」の境界が曖昧になりました。
加えて、攻撃者の手口も高度化しています。フィッシングやサプライチェーン攻撃で一度内部に侵入した攻撃者は、正規の管理ツールを悪用しながら長期間潜伏する「Living off the Land(環境寄生型攻撃)」を多用します。こうした手口は従来の境界型ツールでは検知が困難であり、内部ネットワーク上での挙動を継続監視するNDRが求められるようになりました。
ゼロトラスト時代にNDRが必要な理由
ゼロトラストセキュリティは「何も信頼せず、すべてを継続的に検証する」原則に基づくアーキテクチャです。内部ネットワークの継続的な監視はゼロトラスト実装の重要な柱であり、NDRはその役割を担います。
境界型セキュリティの限界
境界型セキュリティは、組織内のリソースはすべて安全であるという前提に立ちます。しかし現在、業務データはSaaS(Software as a Service)やIaaS(Infrastructure as a Service)に分散し、従業員は社外からVPNやZTNA(Zero Trust Network Access)経由でシステムにアクセスするのが一般的です。
フィッシングや認証情報の窃取によって攻撃者が正規アカウントを入手した場合、そのアカウントは「信頼済み」として扱われるため、ファイアウォールやVPNでは侵入後の横展開を止められません。IPA(独立行政法人情報処理推進機構)が公表する「情報セキュリティ10大脅威 2025(組織編)」では、「内部不正による情報漏えい等」が4位、「標的型攻撃による機密情報の窃取」が5位と、内部への侵入を前提とした脅威が上位にランクインしています。
内部ネットワーク監視で何が変わるか
NDRを導入することで、社内ネットワーク上の通信が可視化されます。サーバー間のSMB通信、AD(Active Directory)への異常な認証要求、データベースからの大量データ転送など、エンドポイントのエージェントやファイアウォールでは見えにくい挙動をネットワークレベルで捉えられます。
さらに、フルパケットキャプチャ機能を持つNDRソリューションは、インシデント発生後の原因調査(フォレンジック)にも活用できます。「いつ、どのIPから、どのサーバーへ、何のデータを送信したか」を原本パケットから再現することで、被害範囲の特定と再発防止策の策定を支援します。EDRエージェントを導入できないIoT機器や制御システム(OT)も監視対象に含められる点も、NDR特有の利点です。
NDR・EDR・XDRの違いを整理する
サイバーセキュリティの製品カテゴリとして、NDR・EDR・XDRはしばしば並列に語られますが、それぞれ監視対象・検知手法・強みが異なります。以下の比較表で整理します。
| 区分 | NDR | EDR | XDR |
|---|---|---|---|
| フルネーム | Network Detection and Response | Endpoint Detection and Response | Extended Detection and Response |
| 監視対象 | ネットワーク全体の通信トラフィック | PC・サーバー・スマートフォン等の端末 | エンドポイント・ネットワーク・クラウド・メール等(複数レイヤー) |
| 検知手法 | トラフィック分析・アノマリ検知・脅威インテリジェンス | プロセス・ファイル・レジストリの振る舞い分析 | 複数レイヤーのデータを統合した相関分析 |
| 主な強み | 内部横展開・C&C通信・データ流出・OT機器監視 | マルウェア感染・不正プロセス・ファイルレスマルウェア | クロスレイヤーの脅威分析・統合管理・誤検知削減 |
| エージェント要否 | 不要(ミラーリング方式) | 必要(端末ごとにインストール) | 一部必要(EDR機能を含む場合) |
| フォレンジック | ◎(フルパケット保存対応製品あり) | ●(ログ・メモリ解析) | △(製品・構成による) |
※上記は一般的な傾向です。実際の機能構成・対応範囲は製品ごとに異なるため、各社の情報をご確認ください。
EDRはエンドポイントを守る
EDR(Endpoint Detection and Response)は、端末(エンドポイント)にエージェントソフトウェアをインストールし、ファイルの実行・プロセスの起動・レジストリの変更などの振る舞いを継続監視します。マルウェアの感染や不正なプログラム実行を端末単位で検知・隔離することが得意であり、ランサムウェア対策の主力として多くの組織で導入されています。
一方、EDRはエージェントを導入できない機器(IoT機器・プリンター・OT機器など)は監視対象外となります。また、エージェントが導入された端末間の通信でも、ネットワークレベルの全体像(どの端末からどの端末へどのデータが流れたか)を把握するにはNDRとの組み合わせが有効です。
XDRは複数レイヤーを統合する
XDR(Extended Detection and Response)は、エンドポイント・ネットワーク・クラウド・メール・IDなど複数のセキュリティレイヤーのデータを統合して分析するプラットフォームです。NDRやEDRを含む複数の検知機能を単一のダッシュボードに集約し、クロスレイヤーの相関分析によって個々のソリューションでは見えにくい脅威の全体像を把握できます。
XDRは統合管理と運用効率化に強みを持ちますが、ネットワーク通信のフルパケットキャプチャや深いフォレンジック分析は、専用のNDRソリューションに比べて機能が限定的なケースがあります。大規模な本番環境で詳細なフォレンジック調査能力が必要な場合は、専用NDRと組み合わせた構成も有力な選択肢です。
NDRが検知できる主な脅威の種類
NDRは内部ネットワーク監視を担う製品として、以下の脅威カテゴリの検知に対応します。自社が対策を強化したい脅威の種類と照らし合わせて検討してください。
ラテラルムーブメント(横展開)の早期発見
ラテラルムーブメント(横展開)とは、攻撃者が組織内への侵入後、次の標的に移動するために内部ネットワークを渡り歩く行動です。SMBプロトコルを使った内部スキャン、AD(Active Directory)への大量認証要求、PsExecやWMI(Windows Management Instrumentation)などの管理ツールを悪用したリモート実行が典型的な手口です。
NDRはこれらの通信パターンを正常なベースラインと比較し、統計的な逸脱として検知します。EDRエージェントが導入されていない機器間の通信も監視対象に含むため、エンドポイント単体では見逃しやすい攻撃経路を補足できます。ランサムウェアグループの多くはラテラルムーブメントを経て重要サーバーへアクセスするため、この段階での検知が被害規模を左右します。
C&Cサーバー通信・データ流出の検知
マルウェアに感染した端末は、攻撃者が管理するC&C(コマンド&コントロール)サーバーと定期的に通信し、新たな指令を受け取ります。DNSトンネリングやHTTPS通信を悪用したステルス型のC&C通信も、NDRのアノマリ検知と脅威インテリジェンスフィードを組み合わせることで検出できます。
また、大量のデータを外部サーバーへ転送するデータ流出は、通信量の急激な増加や普段とは異なる宛先IPとの通信として捉えられます。機密情報の漏洩が実際に完了する前に検知・遮断できるかどうかは、侵害の被害規模を左右する重要な要素です。
内部不正・サプライチェーン攻撃への対応
内部不正とは、従業員や委託業者など内部関係者が正規のアカウントと権限を使って情報を持ち出す行為です。正規の権限による操作であるため、外部攻撃の検知とは異なるアプローチが必要です。NDRは、業務時間外の大量データアクセス、普段アクセスしないデータベースへの接続、短時間での大量ファイルダウンロードといった行動異常を検知します。
サプライチェーン攻撃は、信頼された取引先やソフトウェアのアップデートを踏み台として組織に侵入する手口です。外部から見れば正当なソフトウェアの通信として通過することがあるため、内部ネットワーク上での挙動分析が重要な防御層となります。NDRによる内部通信の継続的な可視化は、こうした攻撃の挙動を内部通信レベルで検知する手段となります。
NDR導入が適した企業の特徴と選び方
NDRの導入効果を最大化するためには、自社のネットワーク環境・セキュリティ体制・コンプライアンス要件を踏まえた選定が重要です。以下の3つの観点から検討してください。
監視対象ネットワークの規模・環境はどうか
まず確認すべきは、監視対象のネットワーク規模と環境です。本社・支社・データセンター・クラウド環境を横断して監視するのか、特定のセグメントに限定するのかによって、必要な処理性能とアーキテクチャが変わります。高速・大容量のトラフィック環境(数Gbps以上)では、フルパケットキャプチャに対応したハードウェアアプライアンス型のNDRが有効です。
OT(制御システム)ネットワークや工場ネットワークを持つ製造業・インフラ事業者は、IT系とOT系を一体的に監視できるNDRを検討する価値があります。ミラーリング方式(非インライン)の製品は、既存の稼働システムへの影響を最小化して導入できるため、止められない本番環境での採用に適しています。
SOC運用体制・分析担当者はいるか
NDRは多数のネットワークアラートを生成するため、分析・トリアージを担うSOC(Security Operations Center)やCSIRT(Computer Security Incident Response Team)などの体制が必要です。自社にセキュリティ専門チームがある場合、フルパケットキャプチャ機能と詳細なフォレンジック機能を持つNDRを活用できます。インシデント発生時の原因特定・被害範囲確定・証拠保全まで、社内チームで一貫対応できる体制が整います。
社内に専任のセキュリティチームを持たない企業の場合は、MDR(Managed Detection and Response)サービスと組み合わせる選択肢が有効です。NDRの検知機能と専門家による24時間365日の監視・対応を外部委託することで、体制面のハードルを下げながらNDRの効果を得られます。ベンダーやパートナー企業がMDRサービスを提供しているかどうかも選定の確認項目となります。
業界規制・コンプライアンス要件を満たす必要があるか
金融機関・医療機関・重要インフラ事業者などは、業界固有のセキュリティ規制への対応が求められます。金融庁が公表する「金融分野におけるサイバーセキュリティに関するガイドライン」では、通信ログの保全・内部不正対策・インシデント対応能力が重視されており、NDRのフルパケットキャプチャとフォレンジック機能はこうした要件への対応を支援します。
PCI DSS(Payment Card Industry Data Security Standard)やISO/IEC 27001の認証取得を目指す企業では、NDRによるネットワーク監視ログの継続収集・保全が監査対応を効率化します。選定の際は、ベンダーが監査ログのエクスポート機能や規制要件に準拠した形式でのレポート出力をサポートしているかを確認するとよいでしょう。
NDRに対応した不正検知ソリューション
ここからは、ネットワーク内部の監視・NDR機能を提供する不正検知ソリューションを紹介します。各サービスの特徴を以下の比較表で整理したうえで、自社に適したソリューションをご検討ください。
| サービス名 | Network Blackbox | Darktrace | Vectra AI |
|---|---|---|---|
| 運営会社 | 株式会社クワッドマイナージャパン | Darktrace Holdings Limited(日本法人:ダークトレース・ジャパン株式会社) | Vectra AI, Inc.(日本一次代理店:株式会社マクニカ) |
| 検知方式 | フルパケットキャプチャ+AI分析(BAD) | Self-Learning AI(自己学習型AI) | Attack Signal Intelligence™(AI脅威分析) |
| 対応環境 | オンプレ・DC・OTネットワーク | ネットワーク・クラウド・メール・OT | ハイブリッド・マルチクラウド・ネットワーク |
| SIEM/EDR連携 | ● | ● | ● |
| MITRE ATT&CK対応 | ● | ● | ● |
| 導入方式 | ミラーリング(非インライン) | ハードウェア・仮想アプライアンス・クラウド | ネットワーク・クラウドAPI連携 |
| 料金 | 要お問い合わせ | 要お問い合わせ | 要お問い合わせ |
| 詳細情報 | 公式資料を見る | 公式サイト | 公式サイト |
※上記は一般的な傾向です。実際の機能搭載の有無については各社情報をご確認ください。
1. Network Blackbox(株式会社クワッドマイナージャパン)
株式会社クワッドマイナージャパン(Quad Miners)が提供する、ネットワーク型NDRソリューションです。ネットワーク上を流れる全パケットをキャプチャ・保存・分析する5機能(フルパケットキャプチャ・Detection・Hunting・Forensic・Response)で構成され、既知・未知の脅威の両方を検知します。
最大40 Gbps環境でも100%のパケットキャプチャに対応し、最大15 PBのストレージ容量で原本データを保全します。独自技術「BAD(Behavior-based Anomaly Detection)」により50,000以上のルールベースで行動異常を検知し、MITRE ATT&CKフレームワークに沿った攻撃戦術の分類・管理が可能です。ミラーリング方式(非インライン)で既存ネットワークへの影響なく導入でき、EDR・SIEMとのREST API連携による自動遮断にも対応しています。
同社発表によれば、グローバルで70社以上(2023年時点、PRTIMES発表値)への導入実績を持ち、金融機関・政府機関なども採用しています。国内では株式会社フーバーブレインが国内総代理店として販売・サポートを担うため、日本語での導入支援体制が整っています。フルパケット保存による「説明可能なセキュリティ(Explainable Security)」を提供しており、インシデント発生後に原本データを根拠としたフォレンジック調査を実施できます。
2. Darktrace(Darktrace Holdings Limited)
英国ケンブリッジに本社を置くDarktraceが提供する、同社独自のAI技術「Self-Learning AI」を中核とするサイバーセキュリティプラットフォームです。ネットワーク・クラウド・メール・エンドポイント・OTを横断した統合的な脅威検知と、自律的な対応機能(Autonomous Response)を提供します。
独自の「Self-Learning AI」は、個々の組織のネットワーク環境や従業員の通常の行動パターンを継続的に学習し、そこからの逸脱を脅威として識別します。既知の攻撃シグネチャへの依存度が低く、ゼロデイ攻撃や新しい攻撃手法にも対応できる柔軟性を備えています。自動遮断・隔離を実行するAutonomous Response機能により、人間の介入が難しい夜間・休日の攻撃にも迅速に対応できます。
同社公式の会社概要ページ(2026年4月時点)では、世界110か国にわたり約10,000社への導入実績が示されています。2025年7月にはAIマネジメントシステムの国際規格ISO/IEC 42001の認証も取得しました。国内では伊藤忠テクノソリューションズ(CTC)・SB C&S・エムオーテックスなど大手SIerやセキュリティベンダーが販売チャネルとして取り扱っており、導入支援・運用監視サービスを利用できます。
3. Vectra AI(Vectra AI, Inc.)
米Vectra AIが提供する、ハイブリッド・マルチクラウド環境に対応したNDR/XDRプラットフォームです。独自技術「Attack Signal Intelligence™」により、ネットワーク・クラウド・IDを横断した脅威シグナルを統合し、SOCチームのアラートトリアージ負荷の軽減を重視した設計が特徴です。
AIによるふるまい分析で攻撃者の意図・緊急度を自動スコアリングし、対応すべきアラートを優先的に提示します。同社の2025年5月29日付プレスリリースによれば、Gartner社が初めて発表した「Magic Quadrant for Network Detection and Response 2025」においてLeaderに位置付けられたとされています。Microsoft Azure・AWS・Google Cloudのクラウド環境、SIEM・SOARとの統合に対応しており、複数クラウドとオンプレを横断する環境での運用に向いています。
日本市場では株式会社マクニカが一次代理店として製品販売・導入支援を担い、2022年には国内初となる「Vectra AI監視サービス」をマクニカが提供開始しました。製品単体販売に加え、セキュリティアナリストによる検知アラート監視代行・他社EDR等のログとの統合分析・Threat Huntingまで含むMDRサービスも選択できます。
まとめ
NDR(Network Detection and Response)は、境界型セキュリティでは検知しにくい内部ネットワークの脅威をリアルタイムで可視化・検知・対応するソリューションです。ゼロトラストセキュリティの実践において内部ネットワーク監視は欠かせない構成要素であり、EDRやXDRと組み合わせることで多層的な防御体制を構築できます。
ラテラルムーブメント・C&C通信・データ流出・内部不正といった「侵入後」の脅威に対して、NDRは通信の可視化とフォレンジック能力で対応します。導入の際は、監視対象の規模・自社のセキュリティ体制・業界規制の要件を踏まえてソリューションを選定することが重要です。
自社ネットワークのセキュリティ強化を検討している場合は、本記事で紹介したNDRソリューションの資料請求から始めてみてください。
よくある質問(FAQ)
Q. NDRとEDRは両方必要ですか?
A. 原則として、NDRとEDRは相互補完の関係にあり、組み合わせて導入することが推奨されます。EDRはエンドポイント端末のプロセス・ファイル・メモリを監視しますが、IoT機器やOT機器など、エージェントを導入できない端末は監視できません。一方、NDRはネットワーク全体の通信を監視するため、エージェントレスで全端末間の通信を捉えられます。両者を組み合わせることで、端末レベルとネットワークレベルの両方で脅威を検知する多層防御が実現します。
Q. NDRはクラウド環境でも利用できますか?
A. クラウド環境に対応したNDR製品は存在しますが、オンプレミスのNDRとは構成・機能が異なります。クラウドネイティブなNDR製品は、VPC(Virtual Private Cloud)フローログやクラウドサービスのAPIログを収集・分析してクラウド内の通信を監視します。ただし、フルパケットキャプチャはクラウド環境では制約があることが多く、フローログベースの分析が中心となります。オンプレミスとクラウドを横断した統合的な監視が必要な場合は、ハイブリッド対応のNDRソリューションを検討してください。
Q. NDRの導入にはどのような技術的な要件がありますか?
A. 主な要件は、ミラーポートまたはネットワークTAPの設置と、NDR機器を配置するためのラックスペース・電源・ネットワーク接続です。ミラーリング方式のNDRは、既存スイッチのミラーポートからトラフィックを取得するため、既存のネットワーク構成を変更せずに導入できます。ただし、監視対象のトラフィック量に応じた処理性能を持つアプライアンスが必要です。クラウドや仮想環境向けには仮想アプライアンス形式の製品もあります。導入前にPoC(Proof of Concept、概念実証)を実施し、自社環境での動作を確認することをお勧めします。
不正検知ソリューションの料金・手数料を一括チェック
MCB FinTechカタログでは、不正検知ソリューションの最新資料をワンクリックで一括入手できます。各製品の検知方式・対応環境・SIEM/EDR連携・導入方式・料金プランなど、比較に必要な情報をすばやく把握できます。
MCB FinTechカタログに掲載しませんか?
MCB FinTechカタログでは、掲載企業様を募集しています。マネックスグループの金融実務ノウハウを活かした独自の評価軸と検索設計により、導入検討者が最適なサービスを効率的に発見できる法人向け比較プラットフォームです。掲載後は管理画面から料金表や導入事例を随時更新でき、常に最新の情報を訴求可能。まずは下記フォームより、お気軽にお問い合わせください。
