[イベントレポート]サイバー攻撃の最前線「今、Protective DNSが必要な理由とは?」(後編)
2003年11月1日、東京港区赤坂にて、情報システム担当者、セキュリティ企画担当者向けのセミナー「Infoblox Security Seminar 2023 -攻撃者の動向から読み解くProtective DNSの必要性」が開催されました。
DNS はインターネットサービスを使用する上で欠かせないコアネットワークですが、その一方で、DNS が不正使用されてしまうことで、情報漏洩や事業停止に陥るセキュリティインシデントが近年散見されるようになっています。セミナーではネットワーク侵入型のランサム攻撃やそれを取り巻く攻撃者の動向、そしてDNSの不正使用の実態と効果的な対策方法について解説が行われました。
本ブログでは、前編の続きとして、後編をご案内したいと思います。
[セッション]
Protective DNSのベストプラクティス
Infoblox株式会社 シニアソリューションアーキテクト
天野 智由
SBテクノロジー株式会社 プリンシパルセキュリティリサーチャーの辻 伸弘氏の基調講演に続いて、Infoblox株式会社 シニアソリューションアーキテクトの天野 智由による「Protective DNSのベストプラクティス」と題されたセッションが行われました。
冒頭、天野は「各種調査によれば、92%の不正プログラムがDNSを悪用しているとの報告が寄せられています。にもかかわらず、68%の企業・組織がDNSをセキュリティ監視の対象外にしており、セキュリティインシデントが発生した際にも、その原因の特定が難しくなっているのが現状です。さらにDNSを介した情報漏洩を経験している企業も46%という数字に達しており、データ漏洩が発生した後に追加で発生するセキュリティ対策コストに6億円を達するというデータも寄せられています」と訴えます。
事実、最も有名なランサムウェアのひとつであるWannaCryもDNSを悪用したものであり、最近では、より高度なドメイン名生成アルゴリズム(DGA)を用いたDecoy Dogといった不正プログラムも登場しています。
このようにDNSをターゲットとしたセキュリティ脅威への対処が急務となる中、その解決策となるものが、Infobloxの「BloxOne Threat Defense」に代表されるProtective DNSです。InfobloxのProtective DNSソリューションでは、既知の情報をベースとした「レピュテーション」と「シグネチャ」、およびAI/機械学習を活用し未知の攻撃に対処する「振舞い検知」の3つのアプローチを組み合わせ、DNSセキュリティを実現しています。天野は、「InfobloxのProtective DNSソリューションはオンプレミスだけでなく、すべてクラウドで管理されたセキュリティソリューションとしても提供されており、シグネチャの適用といった煩わしい作業が不要であることも大きな特長です」と強調します。
プロテクティブDNSとは
それでは、Protective DNSソリューションはどのようにしてサイバー攻撃に対処しているのでしょうか。天野は、「サイバーキルチェーンの7段階の全てのフェーズで、Protective DNSが有効に働きます」と強調します(図)
「Protective DNSであれば初期段階で92%の悪性通信をブロックすることが可能です。例えば、フィッシングサイトやマルウェアの配信サイトにユーザーを誘導するような攻撃に対して、InfobloxのProtective DNSソリューションはユーザーが悪意のあるサイトにアクセスさせないような機能を提供します。具体的には、悪意があるとされるドメインのリストと照合を行ったり、脅威インテリジェンスによる評価を実施したりすることで、悪意のあるサイトであると判明した場合、保護ポリシーを適用し接続を遮断します」(天野)。
また、InfobloxのProtective DNSソリューションは脅威に対する予測能力も実装しており、異常なドメインを追跡して事前にブロックするほか、標的ネットワークに対して偵察行動するような疑わしいドメインも常時監視して遮断することが可能です。
「これらの仕組みにより、InfobloxのProtective DNSソリューションは、ファイヤーウォールやIPSといったセキュリティソリューションに先んじて脅威を遮断します。そして、ファイヤーウォールやIPSがDNSに関する攻撃以外の脅威への対処を実施することで、より強固なセキュリティ基盤を実現可能となるわけです」(天野)
このような先進的なDNSセキュリティを実現するProtective DNSソリューションがBloxOne Threat Defenseであり、その提供に加え、Infobloxは日々最新の不正プログラムを用いた攻撃や、RaaSやアフィリエイトの攻撃手法の収集・分析を行い、BloxOne Threat Defenseに適用させています。また、パートナー企業をはじめとする様々な企業とのエコシステムも形成しており、セキュリティオペレーションセンター(SOC)との連携も推進しています。このほか、検知、遮断したマルウェアに関連する情報のリンクを一覧表示可能な調査ツール「Dossier」も提供、ユーザーのセキュリティ運用にかかる負荷軽減も支援しています(図)。
最後に天野は、「今やDNSはスマホでも頻繁に利用されるなど、インターネット活用に欠かせない技術となっています。すなわち、先に述べたサイバーキルチェーンの最前線に位置するものであり、そのセキュリティを確保するためにクラウドソリューションとして一貫した対応を可能とするのが、BloxOne Threat Defenseです」と強調し、セッションを閉幕しました。
[クロージング]
DNSセキュリティの導入を支援するための
2つのサービスを提供
Infoblox株式会社 ソリューション技術統括本部 本部長
折原 直美
セミナーのクロージングでは、Infoblox株式会社 ソリューション技術統括本部 本部長の折原 直美が登壇。企業・組織がDNSセキュリティに実際に取り組んでいくにあたっての、支援サービスについて紹介を行いました。
その1つが、「ヘルスチェックサービス」です。「これは、企業・組織のDDI環境に対してInfobloxのエンジニアがセキュリティの健全性を診断、その結果と改善策をご提供する無償のアセスメントサービスです。DDIの構成から、運用、パフォーマンス、およびセキュリティの各項目に対してベストプラクティスとのギャップを調査したうえで、Infoblox から推奨または改善策をご提供します」と説明します。
もう1つが、「DNSを利用した攻撃手法とその防御に関するワークショップ」で、DNSに対する攻撃手法から対策までの詳細な解説を行うものです。折原は、「当社のProtective DNSソリューションや、ヘルスチェックサービス、セキュリティワークショップにご興味のある方は、ぜひ一度、私どもにご相談ください」と参加者に訴え、セミナーを締め括りました。
[関連情報]
次回のセキュリティセミナーは、DNSセキュリティ研究の第一人者である東京大学の関谷 勇司 氏をお招きし、2024年1月24日(水)15時から開催します。
関谷 氏から、DNSの歴史を振り返りながら、何故 DNS が基幹サービスとして重要であり危険であるのか、DNS セキュリティ研究の動向をふまえ解説いただきます。
会場の都合上、先着50名様限定です。すぐに埋まってしまうと思いますので気になる方は早めのご登録をお願いいたします。
登録はこちら↓↓↓
https://bit.ly/40xROel