セキュリティ対策といえば、かつては「侵入させない」ための防御が主流でした。
しかし、すべての攻撃を防ぎきるのが難しい時代となり、“侵入を前提に、いかに早く検知・対応するか”という考え方へとシフトしています。こうした背景の中で登場したEDR(Endpoint Detection & Response)は、今や企業の標準的な対策のひとつとして広く普及しています。
特に2020年以降、ランサムウェア被害の急増とリモートワークの拡大により、EDRはもはや“入れていて当たり前”の存在に。導入のハードルは高いものの、プロジェクトを乗り越えて展開を終えた企業も増えてきました。
そして現在、「EDRの次に何をすべきか?」という問いに対して、よく挙げられるのが「NDR(Network Detection & Response)」です。
しかし、本当に次の一手として最適なのは、NDRだけなのでしょうか?
実は、IDセキュリティ――つまり“認証”の領域にこそ、見逃されがちだが本質的なアプローチがあると考えています。
本記事では、ラテラルムーブメント(水平移動)対策としても効果的な、「Silverfortによる認証の制御」という選択肢についてご紹介します。
なぜ“次の一手”としてNDRが選ばれるのか
EDRを導入し終えた組織の間で、次のステップとしてよく話題に上がるのが「NDR(Network Detection & Response)」です。その背景には、NDRがEDRに続いて市場で注目されるようになった“順番”の流れがあります。
しかし、それだけではありません。
EDRはエンドポイント内の挙動に特化しているため、ネットワーク内の通信の中身までは見えないという限界があります。そこで、そのギャップを埋める技術としてNDRが注目されているのです。
NDRを導入することで得られる主なメリットは以下の2点です。
① ラテラルムーブメントの検知と対応
ネットワーク内の通信を分析することで、マルウェア感染後に攻撃者が他の端末に拡散していく「水平移動(ラテラルムーブメント)」のような異常挙動を、早期に検知・対応できます。
② 有事対応の迅速化
ネットワーク上の通信ログを継続的に収集・可視化することで、専用のダッシュボードから迅速なインシデント調査が可能になります。
NDRは非常に優れた技術です。
EDRとNDRを組み合わせることで、お互いを補完し合う形でより強力な可視性・検知能力を発揮します。また、両者の検知情報を相関分析することで、より高い精度で進行中の脅威を把握できるというメリットもあります。
EDRとNDRの違いについてはこちらの動画を参照ください。
NDRはラテラルムーブメント対策として本当に最適なのか?
先ほど触れたように、NDRはネットワーク上の異常を検知できることから、ランサムウェア攻撃などにおける「ラテラルムーブメント」対策として注目されています。
しかし、ここで改めて問い直したいのが、「NDRは果たして“最適な”対策であるのか?」という点です。
NDRの見落とされがちなポイント:「防御ができない」
実は、NDRにはひとつ大きな弱点があります。それは、“あくまで検知が主であり、防御はできない”という点です。
たとえば、最近のEDRはNGAV(次世代アンチウイルス)機能を兼ね備えた製品が多く、一定の防御力を持っています。しかしNDRはその性質上、ネットワーク通信を横から監視(SPAN/TAP)するタイプが主流であり、インラインで通信をブロックするような仕組みにはなっていません。
そのため、不審な通信を検知することはできても、それを即座に止める“制御”には別途対応が必要です。SOARや外部API連携などによる追加的な仕組みが必要になります。
「検知」だけでなく「防御」が求められている
もちろん、ネットワーク上の挙動を可視化し、異常を検知するという意味で、NDRは優れた技術です。
しかし、現場の多くの担当者や意思決定者が本当に求めているのは「防御」ではないでしょうか?特にラテラルムーブメントのような進行中の攻撃を事前に防げるのであれば、それこそがEDRに続く次の“本命”の対策になり得るはずです。
では、ラテラルムーブメントを「防御」できる対策は存在するのでしょうか?
“防御”を実現するSilverfortによる認証制御とは
ラテラルムーブメントに対して、“防御”を実現できるアプローチがあります。
それが、「認証の制御」です。
攻撃者は“認証”を突破して横移動している
サイバー攻撃者が最初の侵入口を得た後、次に狙うのは社内ネットワーク内の他のシステムや、より高い権限を持つアカウントの掌握です。この過程――つまりネットワーク内の探索と権限昇格の動きを「ラテラルムーブメント」と呼びます。
そしてこの時、攻撃者が次のシステムにアクセスするためには、必ず「認証」プロセスを通過する必要があります。言い換えれば、ラテラルムーブメントを阻止するには「認証の突破」を防ぐことが非常に有効なのです。
Silverfortとは?
こうした認証制御を実現するのが、弊社がご提案するSilverfortの統合アイデンティティセキュリティプラットフォームです。
Silverfortは、既存のネットワーク構成や認証基盤(特にActive Directory)を大きく変更することなく、次のようなことを実現します:
- 社内の全認証フローの“見える化”
- 条件に応じたアクセス制御(特定の端末、時間帯、ユーザーなど)
- 追加のMFA(多要素認証)の強制
- 高リスク認証への即時対応(ブロックや検知連携)
しかも、Silverfortは既存の認証フローの「2ndオピニオン」のように介入する形なので、既存システムに大きな影響を与えることなく導入可能です。
認証を制御することで“防御”が実現できる
Silverfortのような仕組みによって、サイバー攻撃者による認証の乗っ取りや、社内システムの横断的な掌握を事前に防ぐことが可能になります。
つまり、これまで検知にとどまっていた対策を、「実際に攻撃を止める=防御」へと一歩進めることができるのです。
まとめ
ここまでご紹介してきたように、NDRは非常に優れたセキュリティ技術です。ネットワークの可視化や異常検知を通じて、より広範な視点での脅威対応を実現できる点は大きな魅力であり、十分なセキュリティリソースを確保できる組織にとっては、有力な選択肢となるでしょう。
一方で、「限られたリソースの中でも効果的なラテラルムーブメント対策を講じたい」
そんなニーズに対して、私たちが今ご提案したいのが、Silverfortによる「認証の制御」です。
攻撃者によるラテラルムーブメントを”検知”するだけでなく、“防御”まで可能にするという視点で、IDセキュリティを次の一手として再考いただければと思います。
本記事で触れたSilverfortの詳細なご説明やデモの実施、トライアルのご相談も承っております。ご興味をお持ちの方は、ぜひお気軽に弊社までお問い合わせください。
