Zscalerのミッションは、あらゆる状況においてインターネットとアプリケーションにシームレスかつ安全にアクセスできるソリューションを提供することです。これは、すべてのユーザー、デバイス、ワークロードが、あらゆるポートやプロトコルを通じ、いつでもどこからでも、あらゆるリソースに接続できるようにすることを意味します。

このミッションを達成するうえで不可欠な役割を果たしているのが、Zscaler Zero Trust Exchangeに組み込まれたDNSセキュリティ機能です。Zscaler Zero Trust Exchangeは、クラウドネイティブプロキシとして、拡張性に優れたインスペクション機能、高度な脅威対策、DNS解決を、世界各地150以上の拠点を通じて提供し、最適なパフォーマンスとセキュリティを担保しています。

このたびZscalerは、このミッションの達成をより高いレベルで実現する新たなイノベーションを発表できることとなりました。これは、DNSセキュリティモジュールの安全性、可用性、柔軟性、パフォーマンスを強化するもので、具体的には以下のとおりです。

DNS暗号化：平文トラフィックをDNS-over-HTTPS (DoH)プロトコルで暗号化し、プライバシーとセキュリティを確保します。
可用性の向上：フェイルオーバー機能の強化によって、プライマリーリゾルバーに障害が発生した際、トラフィックを自動的にセカンダリーリゾルバーにリダイレクトします。
DNSセキュリティの強化：DNSトンネリングに対する保護によるデータ窃取の防止、コマンド＆コントロールを利用したマルウェアのアクティビティーをブロックするDGA検出機能などを強化しました。
保護DNSの有効化：米国国家安全保障局(NSA)、米国サイバーセキュリティおよびインフラセキュリティ庁(CISA)、英国国家サイバーセキュリティセンターの指令に則り、政府機関のすべてのトラフィックを暗号化し、保護DNS(PDNS)リゾルバーに転送します。
ユーザーエクスペリエンスの向上：構成可能なDNS ECSによって国ごとに最適な解決を行うことで、ユーザーの地域に適した言語、コンテンツ、通貨でWebページを利用できます。
エラー処理とレポート機能の強化：より高度な制御と可視性を実現します。

図1：Zscaler DNS Securityの概要

88%の企業がDNS攻撃の被害に

DNSはよく、インターネットにおける電話帳に例えられます。人間が使用するWebアドレスを、機械の世界で使用されるIPアドレスに変換する役目を果たしています。しかし、DNSの設計は、セキュリティのことを考慮に入れたものではありません。そして、多くの企業がセキュリティスタックに多額の資金を投じているにもかかわらず、多くの場合、DNSトラフィックは監視されていないのです。

この状況をいっそう悪化させているのが、2018年の後半に登場して以来、年々利用が広がる「DNS-over-HTTPS (DoH)」というDNS暗号化プロトコルです。組織は、このDNSクエリーの状況をほとんど、あるいは一切可視化できず、攻撃者はこれをさまざまな方法で悪用することができます。IDCの「2022 Global DNS Threat Report」では、調査した組織の88%が前年にフィッシング、マルウェア、DDoS攻撃などを主とするDNS関連の攻撃を受けていたことが明らかになっています。その結果、70%の組織でアプリケーションのダウンタイムが発生しています。

今、組織に求められるのは、より強力なDNSセキュリティです。暗号化の有無に関わらずトラフィックを検査できる、拡張性に優れたクラウドネイティブなDNSセキュリティソリューションが必要です。そのソリューションは、世界中のあらゆる場所のユーザー、デバイス、アプリケーションに高速で提供できる高パフォーマンスのものでなければなりません。

DNS保護およびDNS解決に関する最新機能

Zscalerは、DNSの解決およびセキュリティに関して独自のアプローチを持ち、お客様と共に長年にわたりこの問題に取り組んできました。Zscalerは、ユーザーに最も近い場所での最適なDNS解決を行うとともに、高度なDNSフィルタリング、セキュリティ、水平方向の拡張性を持つDNS-over-HTTPS (DoH)検査、データ流出対策を実現できる唯一のセキュリティベンダーです。

Zscalerならではの利点をさらに進化させる新機能の詳細

可用性を高めるDNSゲートウェイ

組織のDNS解決の処理は、独自のDNSリゾルバーをデータセンターに組み込むか、サードパーティープロバイダーと連携する形で行われます。2016年、ある主要なDNSプロバイダーがMiraiボットネットを使用したDDoS攻撃を受け、Webサイトやアプリケーションの大規模なサービス停止が発生しました。この事件によって、誰もがサイバー攻撃の被害者になり得る可能性が浮き彫りになり、単一のDNSプロバイダーのみに依存するリスクが露呈しました。

ZscalerのDNSゲートウェイは、プライマリーリゾルバーに障害が発生した際、自動的にセカンダリーリゾルバーにフェイルオーバーすることで、このリスクを軽減します。

図2：DNSゲートウェイの機能

DoHでの暗号化によるセキュリティ(およびPDNSコンプライアンス)の強化

DNSゲートウェイは、平文のトラフィックをDNS-over-HTTPS (DoH)プロトコルで暗号化する機能も備えています。送信元や宛先に関係なく、すべてのトラフィックを暗号化し、プライバシーやセキュリティを担保する独自の機能です。

この機能は、連邦政府機関にとって特に重要かもしれません。DoHによる暗号化を行えるということは、Zscalerを通じ、すべてのトラフィックを保護DNS(PDNS)リゾルバーに送信できるということです。PDNSリゾルバーは、政府に認可されたセキュリティ重視のDNSリゾルバーで、米国国防総省(DoD)の情報や英国のさまざまな公的機関にアクセスできる米国のあらゆる組織が利用できます(利用が義務付けられている場合もあります)。

DNSトンネリングとDGA検出

DNSに関連した攻撃の中には、特に防御が難しいものがあります。しかし、Zscalerは世界最大のインラインセキュリティクラウドを備えており、1日あたり3,000億件のリクエストを処理し、80億件を超える脅威を阻止しています。この膨大なデータの活用を通じて、あるお客様の環境で阻止された脅威の情報が、直ちにあらゆる場所のお客様に対する保護の強化に活用されます。また、AIおよび機械学習モデルにデータをフィードすることで、検出の難しい新たな脅威もキャッチすることが可能です。

DNSトンネリング

DNSトンネリングは、DNSに関連する最も一般的な脅威の1つで、脅威アクターはDNSクエリー特有の柔軟性を利用して、コマンド＆コントロールサーバーへの通信の不可視化、マルウェアのダウンロード、データの窃取を行います。DNSクエリーの広範性(Webサイトにほぼどのような名前でも付けることができるため、DNSクエリーにもほぼ無限のバリエーションが生まれる)と、ITの可視性(特に暗号化されたトラフィック)の不足ゆえ、この脅威は極めて検出が難しくなっています。

Zscalerの機械学習アルゴリズムは、データ量の変動、ドメインおよびサブドメインのリクエストの量と分布、さまざまなドメインおよびサブドメインの評判と共起などの重要なデータを調べることで、DNSトンネリングを検出します。また、どこかで悪意のあるアクティビティーの試行が判明すると、すべてのお客様に対し、直ちに保護機能の更新を行います。

DGA検出

攻撃者は、新たなドメイン名を短時間で大量に生成できる「ドメイン生成アルゴリズム(DGA)」をよく利用しており、これによってDNSブロックリストによる防御を回避しています。

Zscalerは、ドメインおよびトラフィックそのものを分析することでDGAを使用した攻撃を検出してブロックします。こうしたドメインは、URLやDNSのフィルタリングカテゴリーを利用することで、未分類/不明のドメイン、新規登録ドメインとして、ポリシーレベルでブロック、分離、警告されます。そして、Zscaler Zero Trust Exchangeを通過するすべてのファイルは、高度な脅威対策エンジンとインラインサンドボックスで分析されるため、マルウェアがクライアントに侵入することはありません。

DNS ECSによるユーザーエクスペリエンス向上

リクエストがどこかを経由して送信されている場合、通常、サードパーティーのDNSリゾルバーはユーザーに関する十分なコンテキストを得ることができません。アルゼンチンのユーザーがブラジルのリゾルバーに接続している場合、ブラジルのリゾルバーではリクエストの送信元を認識できず、ユーザーから遠く離れたコンテンツデリバリーネットワーク(CDN)にそのリクエストをルーティングすることになり、レイテンシーが発生する可能性があります。さらに、このユーザーに対して不適切な言語や通貨(スペイン語とユーロではなくポルトガル語とブラジルレアル)のWebコンテンツが表示される可能性もあります。

DNS ECSを使用すると、サードパーティーのリゾルバーが必要なコンテキストを取得でき、こうしたユーザーエクスペリエンスを改善することが可能です。リゾルバーは、最も近いCDNを経由して適切な言語と通貨でコンテンツを配信します。この機能は完全にオプションで、プライバシー要件に従って構成できます。

エラー処理とレポート機能の強化

DNS Securityにより、管理者は使用するプロトコルや暗号化の種類に関係なく、DNSトラフィックに対する高度な可視化と制御を行えるようになります。完全なデジタルフォレンジックを実現するログ、ダッシュボード、リクエストと応答の制御ルールの定義機能などを利用できます。今回のリリースにより、エラーの処理をより柔軟かつ詳細に制御できるようになるほか、四半期単位や任意のタイミングでいっそう優れたレポートを作成し、以下のような点を明らかにすることができます。

DNSトラフィックが特に多いユーザー
使用されているDNSプロトコル
ユーザーのアクセス先のカテゴリー
ブロック件数が特に多いユーザー
データの窃取を狙って行われたDNSトンネリングの内容

図3：DNS Securityのレポートダッシュボード

基盤となる世界屈指のゼロトラストソリューション

DNS Securityは、Zscaler Zero Trust Exchangeの数ある機能の1つに過ぎません。Zero Trust Exchangeは、ビジネスリスクを軽減しながら、組織のデジタルトランスフォーメーションの実現と簡素化を支援します。Zscalerは、プラットフォーム全体を通じてより高い価値、強力なセキュリティとパフォーマンスを提供できるよう継続的な取り組みを行っており、今回世界中のお客様に新たなメリットを提供できることを嬉しく思っています。

DNS Securityに関する詳細は、こちらのページでご確認ください。