はじめに
ランサムウェアの侵入経路の多様化や内部不正の増加により、ファイアウォールによる境界防御と EDR によるエンドポイント対策だけでは、検知できない領域が残るようになっています。特に、エージェントを導入できない IoT 機器や持ち込み端末が増えた現在のネットワークでは、「侵入されること」を前提に内部の通信を監視する仕組みが求められています。
こうした背景から注目されているのが NDR(Network Detection and Response)です。一方で、いざ製品選定を始めると「どのような製品があるのか」「第三者評価はどうなっているのか」「自社の運用体制で使いこなせるのか」という情報が分散しており、全体像をつかみにくいのが実情です。
- NDR の役割と、EDR・SIEM との守備範囲の違い
- Gartner Magic Quadrant for NDR 2026 における主要製品の評価
- 主要 NDR 製品の特徴一覧
- 運用体制別の選定基準と、導入(PoC から本番運用まで)の流れ
結論からまとめると、NDR は境界防御と EDR を補完する「ネットワーク内部の検知レイヤー」であり、どちらかを置き換えるものではありません。2026 年 5 月公開の Gartner Magic Quadrant for NDR では Darktrace と Vectra AI が Leader に位置づけられており、製品選定は機能の優劣よりも、自社の運用体制(専任の監視チームの有無)と、既存のセキュリティ製品との連携方針に合わせて決めることを推奨します。
なお、ランサムウェアや内部不正といった脅威動向の全体像は、関連記事『情報セキュリティ10大脅威 2026|企業が取り組むべき対策の優先順位』を参照してください。
NDR とは何か
NDR は、ネットワークを流れる通信(トラフィック)を継続的に監視し、侵入後の攻撃者の活動を検知・対処するセキュリティ製品です。このセクションでは、NDR の役割と、混同されやすい EDR・SIEM との違いを整理します。
NDR の役割: 侵入後の「内部の動き」を捉える
従来の境界防御(ファイアウォール・IPS)は、外部と内部の境界で脅威を食い止める考え方です。これに対して NDR は、境界をすり抜けて内部に入り込んだ攻撃者が必ず行う「内部での通信」に着目します。攻撃者は侵入後、偵察(スキャン)、横展開(ラテラルムーブメント)、外部への持ち出し(データ送信)といった行動を取りますが、これらはすべてネットワーク上に痕跡を残します。NDR はこの痕跡を AI や振る舞い分析で検知します。
参考: NDR explained: how network detection and response works(Vectra AI)
“uses AI and behavioral analytics to detect threats across enterprise networks”
(AI と振る舞い分析を用いて、企業ネットワーク全体の脅威を検知する)
https://www.vectra.ai/topics/network-detection-and-response
NDR の導入形態はスイッチのミラーポートや TAP からトラフィックのコピーを受け取る方式が一般的で、監視対象の端末にエージェントを導入する必要がない点が運用上の大きな特徴です。

EDR との違い: 端末の中を見るか、通信を見るか
EDR(Endpoint Detection and Response)は各端末にエージェントを導入し、プロセスの実行やファイル操作といった端末内部の挙動を監視します。NDR と EDR は監視するレイヤーが異なるため、比較して選ぶものではなく、組み合わせて相互の死角を補う関係にあります。
| 項目 | NDR | EDR |
|---|---|---|
| 監視対象 | 通信トラフィック(パケット・メタデータ) | 端末内の挙動(プロセス・ファイル) |
| 導入方法 | ミラーポート・TAP に接続(エージェント不要) | 各端末にエージェントを導入 |
| 得意領域 | 横展開・偵察・データ持ち出しの検知 | マルウェアの詳細調査、プロセスの停止 |
| 監視できない領域 | 端末内部で完結する挙動 | エージェントを導入できない機器 |
なぜ EDR だけでは不十分か: 2 つの死角
EDR を導入済みの組織でも、次の 2 つの死角が残ります。
1 つ目は、エージェントを導入できない機器の存在です。プリンター、Web カメラ、医療機器、制御系機器、私物の持ち込み端末(BYOD)には EDR を導入できません。これらの機器が乗っ取られた場合、通信を監視する NDR 以外に検知の手段がありません。
2 つ目は、EDR 自体が無効化されるリスクです。近年の攻撃では、侵入後にまず EDR のプロセスを停止・回避する手口が確認されています。端末側の監視が失われても、ネットワーク上の通信は攻撃者の側から消すことができないため、NDR が検知の残された経路として機能します。
SIEM との違い: リアルタイム検知か、ログの相関分析か
SIEM(Security Information and Event Management)は各機器のログを収集・保管し、相関分析やコンプライアンス対応に用いる基盤です。NDR が通信そのものをリアルタイムに分析して検知・対処まで担うのに対し、SIEM はログという二次情報を横断的に扱う点が異なります。実際の運用では、NDR の検知結果を SIEM に集約し、エンドポイント(EDR)・ネットワーク(NDR)・ログ(SIEM)の 3 層で可視性を確保する構成が一般的です。
Gartner Magic Quadrant for NDR 2026 の評価
NDR の製品選定では、第三者機関による評価が客観的な判断材料になります。このセクションでは、2026 年 5 月 18 日に公開された Gartner Magic Quadrant for Network Detection and Response(2026 年版)の内容を整理します。NDR 分野の Magic Quadrant は 2025 年に初めて発行され、2026 年版は 2 回目にあたります。
参考: Gartner Magic Quadrant for Network Detection and Response
“Network detection and response platforms continuously monitor traffic for anomalies, suspicious patterns and threat indicators”
(NDR プラットフォームは、異常・疑わしいパターン・脅威の兆候を求めてトラフィックを継続的に監視する)
https://www.gartner.com/en/documents/7865681
2026 年版の評価対象と Leader
2026 年版では Arista Networks、Corelight、Darktrace、ExtraHop、Fortinet、Gatewatcher、Jizô AI、LinkShadow、NetWitness、Stellar Cyber、Trellix、Vectra AI の 12 ベンダーが評価対象となりました。
このうち Leader に位置づけられたことを各社が公表しているのは、以下の 3 社です。
Darktrace: 2 年連続の Leader。あわせて 2025 年の Gartner Peer Insights では NDR 分野唯一の Customers’ Choice に選出されており、レビュー数は 612 件・評点 4.8/5.0(2026 年 5 月時点)と、利用者評価の面でも参照しやすい製品です。
Vectra AI: 2026 年版で Leader に位置づけられています。
ExtraHop: 2 年連続の Leader。NDR 分野で 2 番目の売上規模を持つと公表しています。
なお、2025 年の初版で Leader だった Corelight は、2026 年版では Visionaries に位置づけられたとする販売代理店の情報がありますが、Corelight 自身の一次情報では 2026 年版での位置づけを確認できませんでした。本記事では断定を避けます。
Magic Quadrant を読むときの注意点
Magic Quadrant は「Ability to Execute(実行能力)」と「Completeness of Vision(ビジョンの完全性)」の 2 軸による相対評価であり、Leader であることが自社にとっての最適解を意味するわけではありません。Gartner 自身も、最高評価のベンダーのみを選定対象とすることを推奨していません。日本国内でのサポート体制や販売代理店の有無は評価軸に含まれないため、国内導入では別途の確認を推奨します。
主要 NDR 製品一覧
このセクションでは、Magic Quadrant 2026 で評価された製品を中心に、国内の導入検討で候補に挙がりやすい主要製品の特徴を整理します。
Darktrace / NETWORK
自己学習型 AI(Self-Learning AI)により、組織ごとの「正常な振る舞い」を学習し、そこからの逸脱を検知するアプローチの製品です。現在は「Darktrace ActiveAI Security Platform」の 1 コンポーネントとして提供されており、Autonomous Response(自律遮断)による単独での対処機能を持つ点が特徴です。エージェントを導入できない IoT 機器を含めて保護したい組織、専任の監視チームを持たない組織に向いています。
Vectra AI Platform
攻撃者の行動パターン(TTPs)に基づく検知モデル「Attack Signal Intelligence」により、確度の高い攻撃シグナルの抽出を重視する製品です。170 以上の AI モデルを用い、ネットワークに加えてアイデンティティ(Active Directory / Entra ID)やクラウドを横断した検知に対応します。EDR や SIEM との連携を前提とした SOC 運用に向いています。
Darktrace と Vectra AI の検知方式・遮断機能の詳細な違いは、関連記事『Darktrace と Vectra AI の比較』で解説しています。
ExtraHop RevealX
NDR に加えて、ネットワークパフォーマンス監視(NPM)、IDS、フォレンジックを 1 つのプラットフォームに統合している点が特徴の製品です。
参考: ExtraHop Named a Leader in Gartner Magic Quadrant for NDR(ExtraHop)
“unifying NDR, network performance monitoring (NPM), intrusion detection (IDS), and network forensics in a single high-performance platform”
(NDR、NPM、IDS、ネットワークフォレンジックを単一の高性能プラットフォームに統合)
https://www.businesswire.com/news/home/20260520131398/en/ExtraHop-Named-a-Leader-in-Gartner-Magic-Quadrant-for-Network-Detection-and-Response-for-Second-Consecutive-Year
TLS 復号を含む詳細なパケット解析に強みがあり、セキュリティとネットワーク運用(性能問題の切り分け)を同じ基盤で扱いたい組織に向いています。
Corelight Open NDR
オープンソースのネットワーク監視基盤である Zeek と Suricata を中核に据えた製品です。検知結果を構造化された「証拠(ログ)」として SIEM や XDR に連携する思想が特徴で、既にログ分析基盤を持ち、ネットワークメタデータの品質を重視する SOC に向いています。
FortiNDR
Fortinet の NDR 製品で、Magic Quadrant 2026 の評価対象に含まれています。FortiGate をはじめとする Security Fabric との連携を前提とした構成を取りやすく、既に Fortinet 製品で境界防御を構築している組織では、運用管理の一元化の観点から検討候補になります。
製品比較の早見表
| 製品 | 検知アプローチの特徴 | 対処(Response) | 向いている組織 |
|---|---|---|---|
| Darktrace / NETWORK | 自己学習による異常検知 | 単独で自律遮断(TCP リセット等) | 監視体制が小規模、IoT が多い |
| Vectra AI Platform | 攻撃者の振る舞いに基づく脅威検知 | EDR・ID 基盤・FW との連携型 | SOC があり EDR 連携を重視 |
| ExtraHop RevealX | 詳細なパケット解析と NPM 統合 | 連携型 | 性能監視も同一基盤で行いたい |
| Corelight Open NDR | Zeek ベースの証拠(ログ)生成 | SIEM・XDR 連携型 | ログ分析基盤を持つ SOC |
| FortiNDR | Security Fabric 連携 | FortiGate 等との連携 | Fortinet 製品の導入済み環境 |

NDR 製品の選定基準
このセクションでは、前セクションの製品一覧を踏まえ、自社に合う製品を絞り込むための 4 つの判断軸を整理します。結論として、機能一覧の比較よりも先に、「検知した後、誰が・どのように対処するのか」という運用の設計から逆算して製品を選ぶことを推奨します。
運用体制で選ぶ: 専任の監視チームの有無
最初に確認すべき判断軸は、アラートを受け取って調査・判断できる体制が自社にあるかどうかです。
専任の監視体制(SOC / CSIRT)がない場合: 検知から遮断までを製品側で自律的に完結できるタイプ(Darktrace など)が候補になります。夜間・休日のアラートに人が対応できない前提で、誤遮断のリスクと業務影響を許容できるかを PoC で確認することが重要です。
SOC がある、または MSS(運用アウトソーシング)を利用する場合: 確度の高いシグナルを人が調査する前提のタイプ(Vectra AI、ExtraHop など)が候補になります。アラートの根拠が追跡しやすいか、既存の調査フローに組み込めるかが評価ポイントです。
遮断方式で選ぶ: 単独遮断か、連携遮断か
NDR の対処(Response)は、製品単独で通信を遮断する方式と、EDR・ファイアウォール・ID 基盤と連携して封じ込める方式に大別されます。エージェントを導入できない IoT 機器や BYOD が多い環境では単独遮断方式が、EDR を導入済みでエンドポイントの隔離まで自動化したい環境では連携方式が適合しやすいという関係にあります。連携方式を選ぶ場合は、自社で利用中の EDR・SIEM が公式の連携対象に含まれるかを必ず確認してください。
参考: Modern NDR for Modern Networks | Vectra AI Platform
“built to integrate with your existing pane of glass so you can build your platform, your way”
(既存の管理基盤と統合できるように設計されており、自社のやり方でプラットフォームを構築できる)
https://www.vectra.ai/platform
監視対象の広さで選ぶ: オンプレミスだけか、クラウド・ID までか
近年の攻撃は、オンプレミスのネットワークだけでなく、Microsoft 365 や IaaS 環境、Active Directory / Entra ID といったアイデンティティ基盤を横断して進行します。監視したい対象がオンプレミスの東西トラフィック中心なのか、クラウドや ID までを 1 つの製品で見たいのかによって、候補は変わります。OT / ICS 環境を含む場合は、対応プロトコルとセンサーの設置形態(産業用ネットワークへの対応)を個別に確認することを推奨します。
価格の考え方: 見積もりを左右する要素
主要な NDR 製品はいずれも価格非公開の個別見積もりです。金額そのものよりも、見積もりを左右する要素を把握しておくことが比較の前提になります。一般に、監視対象のトラフィック量(帯域)、センサーの台数と設置拠点数、サブスクリプション期間、クラウド・ID 監視などのオプションモジュールの有無が主な変動要素です。複数拠点を持つ場合は、拠点ごとのセンサー費用が総額を大きく左右するため、監視範囲の優先順位を先に決めてから見積もりを取ることを推奨します。
導入の流れ: PoC から本番運用まで
このセクションでは、NDR 導入の標準的な進め方を 4 つのステップで整理します。NDR は導入後すぐに完成度の高い検知ができる製品ではなく、学習期間とチューニングを経て精度が上がっていく前提でスケジュールを組むことが重要です。
要件整理とトラフィック設計
監視したいセグメント(サーバーファーム、拠点間、インターネット境界の内側など)を決め、スイッチのミラーポート(SPAN)または TAP からトラフィックのコピーを取得できるかを確認します。ミラーポートの空きがない、仮想環境のトラフィックが物理スイッチを経由しないといった制約はこの段階で洗い出します。クラウドや ID 監視を含める場合は、API 連携に必要な権限の整理もここで行います。
PoC(評価導入)
候補製品を実環境の一部に導入し、検知の精度と運用のしやすさを評価します。PoC の期間は 1 か月前後を設定するケースが一般的ですが、後述の学習期間を含むため、ベンダーと相談の上で余裕を持たせることを推奨します。評価観点は、検知の見逃し(False Negative)よりもまず過検知(False Positive)の量と、アラート 1 件あたりの調査にかかる時間に置くと、運用開始後の負荷を見積もりやすくなります。
学習期間とチューニング
自己学習型・振る舞い分析型のいずれの製品でも、導入直後は環境の「平常状態」を学習する期間が必要です。学習期間の長さは製品と環境の規模によって異なるため、正確な目安は各製品の公式ドキュメントおよびベンダーへの確認を推奨します。学習完了後も、業務システムの追加やネットワーク構成の変更があるたびに検知基準の見直し(チューニング)が発生する点は、運用工数として見込んでおく必要があります。
本番運用と対応フローの整備
検知後の対応フロー(誰がアラートを確認し、誰が遮断・隔離を承認するか)を文書化し、自動遮断を有効にする場合は対象範囲を段階的に広げます。最初から全セグメントで自動遮断を有効にせず、影響の小さいセグメントから始めて誤遮断の傾向を確認する進め方が、業務影響を抑える上で現実的です。

まとめ
NDR は境界防御と EDR を補完し、侵入後のネットワーク内部の通信から脅威を検知するレイヤーです。製品選定では第三者評価を参考にしつつ、最終的には自社の運用体制と既存製品との連携方針から逆算して絞り込むことが現実的です。
- NDR は境界防御と EDR を補完する内部検知レイヤー
- エージェント不要で IoT や BYOD の通信も監視可能
- Gartner MQ 2026 で Darktrace・Vectra AI・ExtraHop が Leader
- Magic Quadrant は相対評価で最適解の保証ではない
- 監視体制の有無が単独遮断か連携遮断かの分岐点
- 価格は帯域・センサー数・拠点数・期間で変動
- 導入は学習期間とチューニングを前提に計画する
以上、最後までお読みいただきありがとうございました。
