NDR（Network Detection and Response）は、ネットワーク全体を流れる通信（トラフィック）を常時監視・分析し、その中から不審な挙動やサイバー攻撃の兆候をリアルタイムに検知し、対応を支援する仕組みのことだ。ネットワークの「監視カメラ」兼「警報システム」と考えると分かりやすい。

NDRの役割

NDRの主な目的は、ファイアウォールやIDS/IPSといった従来の境界型防御をすり抜けて内部に侵入した、あるいは内部で発生した脅威を発見することにある。

1. トラフィックの可視化: ネットワーク上のあらゆる通信を収集・分析し、誰が、どこに、どのような通信を行っているかを完全に可視化する。これにより、通常とは異なる異常な通信パターンをあぶり出す。
2. 脅威検知: シグネチャに依存する従来の手法だけでなく、機械学習やAIを用いて、未知のマルウェアや内部不正、標的型攻撃の兆候など、挙動に基づいた高度な脅威検知を行う。例えば、「普段アクセスしないサーバへの深夜の大量アクセス」といった異常を捉える。
3. インシデント対応支援: 脅威が検知された場合、管理者に警告するだけでなく、通信の記録（パケットキャプチャ）や分析結果を提供し、迅速な原因調査と対応を支援する。製品によっては、不審な通信を自動的に遮断する機能も持つ。

NDRの重要性

エンドポイントを監視する**EDR（Endpoint Detection and Response）**が「個々のPCやサーバ」を監視するのに対し、NDRはそれらの機器間を結ぶ「道路（ネットワーク）」を監視する。両者は補完関係にあり、組み合わせることで、より網羅的なセキュリティ監視が可能になる。EDRが個人の挙動を見るなら、NDRは組織全体の金の流れを監視するようなものだ。

暗号化された通信が増加する現代において、その中身を見ずに挙動だけで脅威を判断できるNDRの価値は増している。もはや、入口と出口だけを固めるセキュリティ対策では不十分だということだ。