多くの企業は「ファイアウォールとアンチウイルスを導入しているから安全だ」と考えています。

しかし実際に情報漏えい（Breach）が発生すると、既存の対策だけでは不十分であることが判明します。

その主な原因は、NSM・AV・IPS・IDS・EDRの違いを正しく理解していないこと、そしてそれらをどのように連携させるべきかが整理されていないことにあります。

本記事では、それぞれの役割を明確にし、現代のセキュリティアーキテクチャの全体像を解説します。

なぜ単一のセキュリティ製品では不十分なのか

現在のサイバー攻撃は次のような特徴を持っています。

暗号化通信（Encrypted Traffic）を利用
ファイルレス攻撃
振る舞いベース（Behavior-based）
Living-off-the-land手法
シグネチャ検知を回避する設計

1つの製品だけでこれら全てを検知することはできません。

そのため、現代のセキュリティには Layered Visibility（多層的な可視化）とLayered Control（多層的な制御） が不可欠です。

それぞれのレイヤーを見ていきましょう。

1. NSM（Network Security Monitoring）

可視化レイヤー

NSMは、ネットワークトラフィックを詳細に分析し、長期的にデータを保存することで、検知およびインシデント調査を支援する仕組みです。

IPSとは異なり、主目的はブロックではなく、監視・記録・分析・フォレンジック支援にあります。

例えるなら、NSMは企業ネットワークの「監視カメラ」です。

NSMが収集するデータ

フルパケットキャプチャ（PCAP）
NetFlow / トラフィックメタデータ
DNSログ
HTTPログ
SSL/TLSメタデータ
Firewallログ
IDSアラート

NSMの強み

社内横展開（Lateral Movement）の検知
データ持ち出し（Data Exfiltration）の検知
DNSトンネリングの分析
デジタルフォレンジック支援
過去トラフィックの可視化

攻撃者がFirewallやAVを回避した場合でも、NSMが「何が起きたのか」を明らかにします。

2. AV（Antivirus）

エンドポイントの基本防御

AVは以下のエンドポイントに導入されます。

Windows
macOS
Linux
サーバー
業務端末

既知のマルウェアをシグネチャベースで検知します。

AVの強み

既知マルウェアの検知
基本的なランサムウェア対策
感染ファイルの隔離

AVの限界

ファイルレス攻撃への対応が弱い
PowerShell悪用の検知が困難
Credential Dumpingの可視化が困難
高度標的型攻撃（APT）への対応不足

AVは必要ですが、単体では不十分です。

3. IPS（Intrusion Prevention System）

リアルタイム防御レイヤー

IPSはネットワーク経路上にインライン配置されます。

Internet → Firewall → IPS → Internal Network

リアルタイムでトラフィックを検査し、悪意ある通信を遮断します。

IPSの役割

悪意あるIPのブロック
脆弱性攻撃の防止
不審パケットの破棄
C2通信の遮断

IPSは「入口の守衛」です。

ただし、詳細なフォレンジック分析には向いていません。

4. IDS（Intrusion Detection System）

アラートレイヤー

IDSはトラフィックを監視し、疑わしい挙動を検知するとアラートを生成します。

ブロックは行いません。

誤検知による業務影響を避けたい環境で利用されることが多い仕組みです。

5. EDR（Endpoint Detection & Response）

エンドポイント高度分析レイヤー

EDRはAVの進化形です。

ファイルだけでなく、プロセスの振る舞いを監視します。

EDRが検知できるもの

不審なPowerShell実行
Credential Dumping
異常なプロセスチェーン
Lateral Movement手法

EDRの機能

検知
ブロック
調査
感染端末の隔離

AVが「警備員」なら、EDRは「調査官」です。

比較表

システム	配置	Detect	Block	調査能力	主な目的
AV	Endpoint	Yes	Yes	低	既知マルウェア
EDR	Endpoint	Yes	Yes	高	振る舞い検知
IDS	Network	Yes	No	中	アラート
IPS	Network	Yes	Yes	中	侵入防止
NSM	Network	Yes	通常No	非常に高い	可視化
SIEM	Log Layer	Yes	No	相関分析	統合分析

現代のセキュリティアーキテクチャ

多層構造で設計されます。

Endpoints → AV / EDR
Network → IDS / IPS
Traffic Visibility → NSM
Central Log Correlation → SIEM
Automation & Orchestration → SOAR

各レイヤーが互いの弱点を補完します。

System Diagram

flowchart TB
  Internet["Internet"] --> FW["Firewall"]
  FW --> IPS["IPS (Inline Blocking)"]
  IPS --> LAN["Internal Network (LAN)"]

  LAN --> EP["Endpoints / Servers"]
  EP --> AV["AV (File/Signature Protection)"]
  EP --> EDR["EDR (Behavior + Response)"]

  LAN --> IDS["IDS (Alerting)"]
  LAN --> NSM["NSM (Zeek/PCAP/Flow Visibility)"]

  FW --> SIEM["SIEM (Correlation)"]
  IPS --> SIEM
  IDS --> SIEM
  NSM --> SIEM
  AV --> SIEM
  EDR --> SIEM

  SIEM --> SOAR["SOAR (Automation/Orchestration)"]
  SOAR --> RESP["Response Actions
- Block IP / isolate host
- Create ticket
- Notify SOC
- Run playbook"]

  classDef layer fill:#fff,stroke:#999,stroke-width:1px;
  class Internet,FW,IPS,LAN,EP,AV,EDR,IDS,NSM,SIEM,SOAR,RESP layer;