リソース > セキュリティ用語集 > ゼロトラストとは?

ディセプションテクノロジとは?

サイバーセキュリティのディセプションテクノロジとは?

ディセプションテクノロジとは、ネットワークに侵入したサイバー犯罪者をおびき寄せ、無害な資産にアクセスさせるためのサイバーセキュリティ手法とその実践のことです。セキュリティチームは、アプリケーション、データベース、Active Directory、ブラウザのCookieなどのパンくずなど、1つ以上のおとりを企業の実際の資産から攻撃者の目をそらす目的で作成し、信頼性の高いアラートを作成することで攻撃者の滞留時間を減らし、迅速なインシデントレスポンスを可能にします。

残念ながら、境界の防御がどれほど優れていたとしても、サイバー犯罪者がネットワークにアクセスする可能性は常にあります。ディセプションテクノロジを採用することで、サイバー犯罪者を実際の資産から遠ざけ、犯罪者は価値のないおとりを時間をかけて探す作業に費やすことになります。さらには、サイバー犯罪者の存在が明らかになるため、その行動を早期に察知して、サイバー犯罪者についての有益な情報を得ることができます。

サイバーセキュリティのディセプションテクノロジとは?

ディセプションは、広義の「アクティブ防御」と同様、相手を妨害する軍事的手段として古くから使用されてきました。ギリシャ人はトロイア戦争の大激戦で、馬の「贈り物」でトロイの城壁を突破しました。軍隊は古くから、敵に何かを計画していると思わせる手段としてディセプションや謀略をしばしば利用してきました。情報セキュリティにおけるディセプションの最初のツールは、1960年代に登場したハニーポットです。ハニーポットは、現在も利用されている概念で、保護されることなく監視される資産であり、すでにネットワークに侵入した攻撃者には非常に魅力的に見えます。攻撃者がハニーポットにアクセスすると、その攻撃者の情報を入手したり、攻撃を停止させたりするための行動をセキュリティオペレーションチームが実行できます。

従来型の検知テクノロジの課題

サイバーディセプションの手法はすべて、攻撃者がすでに境界の防御を回避したことを前提にしています。すなわち、ネットワーク、エンドポイント、オペレーティングシステム、アプリケーションに攻撃者がすでに侵入しています。これ以外の脅威検知手法は、これらのユースケースでセキュリティチームにアラートを通知するように設計されていますが、今日のような高度な攻撃に対しては不十分であることがわかっています。

ファイアウォールやエンドポイント検知などの従来型の検知ツールは、いずれも特定のタイプのセキュリティ(ネットワーク、アプリケーション、エンドポイント、IoTデバイスなど)を想定して設計されており、多くの場合に互いに独立して動作するため、いくつかの問題が発生します。すなわち、これらのツールからのアラートの信頼性が低く、セキュリティインフラストラクチャの特定の部分をコンテキストなしに可視化することしかできず、セキュリティアナリストが様々なツールを使い分けて攻撃シーケンスと被害の範囲を明らかにする必要があるため、調査時間が長くなります。ESG Researchの最近のレポートで回答者は、従来のアプリケーションセキュリティ管理は今日の問題を解決するには不十分であると回答しています。大きな問題の1つは誤検知で、回答者によると、WebアプリケーションやAPIセキュリティツールからの1日あたりのアラートの平均数は53件で、そのうち45%が最終的に誤検知と判断されています。セキュリティチームの人材不足は深刻な問題であり、さらには誤検知率が高いことから、大量のアラートに悩まされています。

さらには、既存の検知テクノロジの多くが得意としているのは、内部と外部の脅威の両方によって実行される、人間が主導する攻撃からの保護ではなく、マルウェアからの保護です。高度な攻撃者は、スキルのないハッカーよりはるかに高度な能力を備えており、企業が行動分析を活用している場合も、ユーザを侵害し、ユーザの行動を模倣することで、検知を難なく逃れます。ディセプションプラットフォームがあれば、おとりと接触した攻撃者が直ちに明らかになります。

従来のディセプションテクノロジは、ハニーポットや関連するトラップ(ハニーユーザ、ハニークレデンシャルなど)などの落とし穴がそれぞれに存在し、基本的に静的な手法であるため、すぐに使い物にならなくなり、攻撃者の戦術の変化に対応できないため、攻撃者が容易に検知を逃れ、数か月あるいは数年もネットワークに潜伏する可能性があります。インターネットにアクセスできるハニーポットやハニーネットは、広範なスキャン活動と標的に対する偵察活動を区別できる高度なテクノロジがなければ、多くの誤検知を発生させる恐れがあります。

 

ディセプションテクノロジがこれまでの常識を覆す

これに対し、最新のディセプションテクノロジは、ネットワークが攻撃者の敵となる環境になるように設計されたアクティブ防御手法であるため、検知を逃れようとする攻撃者は、より多くのコストと時間を費やすことになります。次世代ハニーポット手法と呼ぶべき最新のディセプションテクノロジは、従来のハニーポットと同様に、偽のエンドポイント、ファイル、サービス、データベース、ユーザ、コンピュータ、その他のリソースなどの本当の資産のように見せかけた、正規のユーザがアクセスすることはない「おとり」をネットワークに配置します。そして、ディセプションベースのアラートを利用し、人間が介在することなく、不正アクティビティを検知し、脅威インテリジェンスを生成し、ネットワークの水平移動を阻止し、脅威へのレスポンスと封じ込めをオーケストレーションします。

ディセプションプラットフォームは、プロアクティブで誤検知の少ない検知モデルを提供します。詳細分析を利用して攻撃の背後にいる人物の目的を明らかにし、俊敏性を失うことなく、新たな脅威に発生前から適応し、レスポンスアクションのオーケストレーションと自動化を実現します。このモデルは、ランサムウェアの攻撃者からAPT(高度な標的型攻撃)までのさまざまな攻撃ベクトルや異なるタイプのサイバー犯罪者に有効です。

ネットワークの攻撃者が特定されたら、攻撃に関する知識に基づいて、ディセプションの環境と状況をリアルタイムに操作できます。例えば、次のような操作が可能になります。

  • ディセプションの資産を生成したり削除したりすることで、攻撃者を撹乱する。
  • ネットワークトラフィック、アラート、エラーメッセージを生成して、攻撃者が特定の行動を実行するように仕向ける。
  • セッション乗っ取りツールを実装して、攻撃者の環境に対する認識を曇らせたり、歪めたりする。
  • 攻撃者が自らや所在地についての情報を開示しなければならない状況を作り出すことで、想定される障害を回避する。

これらの手法により、サイバー攻撃の進行を妨害し、最終的には攻撃を終結させるだけでなく、攻撃側と防御側の間の戦いの状況を変化させ、侵入した攻撃者の標的、方法、動機に関する豊富な情報を防御側が手に入れることもできます。ほとんどの組織が人間や自動化された攻撃者から継続的に攻撃を受けるようになっている現状で、ディセプションは、組織がサイバー犯罪者を騙し、混乱させ、常に犯罪者に一歩遅れるのではなく、サイバーインシデントに先行するための方法を提供します。

 

ユースケース

ディセプションテクノロジは、偵察からデータの盗難までのキルチェーン全体の脅威の検知に使用することができます。ユースケースは以下の3つのカテゴリに大別されます。

境界ディセプション防御:到着するすべてのトラフィックを監視して潜在的な脅威を発見するのは、通常は不可能です。外部に公開されたディセプション資産をセットアップすることで、この問題が大幅に簡素化され、自らを標的にする相手についての実用的なテレメトリが可能になります。

ネットワークディセプション防御:標的を特定しようとする攻撃者は閲覧する可能性があるものの、正規のユーザが絶対にアクセスすることのないいくつかの場所におとりを置くことで、進行中の攻撃を特定します。

エンドポイントディセプション防御:エンドポイントデコイは攻撃者からは、正規の価値あるコンテンツが存在し、情報漏洩の候補になる資産のように見えます。これらの資産を監視することで、ネットワークでの不審な行動だけでなく、ネットワークでは正常ではあるものの特定のエンドポイントで特定の時間帯に実行されることはないはずの行動も検知できます。

ディセプションテクノロジを次のレベルに引き上げるテクノロジ

攻撃者のネットワークへのアクセスの阻止にあたり、1つのセキュリティ手法やポリシーで100%の効果を得ることはできません。だからこそ、複数のテクノロジを導入することに意味がありますが、最大限の保護を可能にするには、サイロではなく連携型で、情報を共有する必要があります。そうすることで、攻撃対象領域をできるだけ小さくし、短時間でインシデントを修復できるようになります。

 

ゼロトラストアーキテクチャとの統合

セキュリティツールの最も強力な組み合わせの1つが、ディセプションテクノロジとゼロトラストセキュリティの統合です。ゼロトラストは、敵ではないことが確定するまで、すべてのアクセスやユーザの要求を敵であると仮定します。ユーザのアイデンティティだけでなく、要求のコンテキストの観点からも、すべてのユーザと要求を認証し、承認します。さらには、認証後も必要最小限のリソースに対するアクセスのみが許可される、「最小特権アクセス」と呼ばれる概念が適用されます。ディセプションデコイは、ゼロトラスト環境でトリップワイヤの役割を果たし、危険なユーザやネットワークの水平移動の検知の問題を解決します。安全に隔離された環境ですべての水平移動が追跡され、攻撃者が興味を示しているか資産を警告し、攻撃者の動きを減速させることで、セキュリティチームがTTP(戦術、技術、手順)を監視できるようにします。ゼロトラストと統合されたディセプションの例であるZscaler Deceptionは、Zscaler Zero Trust Exchangeの不可欠な部分として、攻撃シーケンス全体を追跡し、ゼットスケーラーのプラットフォームで自動レスポンスアクションを開始します。

 

MITRE Engageフレームワークによるアクティブ防御

MITRE Engageは、サイバー犯罪者のエンゲージメント、ディセプション、拒否(DENIAL)活動を現実世界で観察された行動に基づいて議論し、計画する、業界で信頼されているフレームワークです。MITRE Engageのマトリクスは、組織がゼロトラストセキュリティ戦略の一環としてディセプションや犯罪者の戦術をどのように展開するのが最適かを示す、客観的かつ最先端のガイドとなります。

MITRE Engageフレームワークによるアクティブ防御

「拒否、ディセプション、犯罪者とのエンゲージメントのテクノロジは、現在のSOCオペレーションに代わるものではなく、現在の防御と並行して利用し、ダムの役割を果たすものです。現在の防御戦略で壁を築いて、侵入を防止できるものは防止した上で、ディセプションテクノロジを採用して攻撃者を誘導し、防御側に有利な方法で行動するよう仕向けます。」

MITRE Corporation

ゼットスケーラーは、MITREのEngageフレームワークの名誉あるパートナーです。詳細は、https://engage.mitre.org/を参照してください。

Zscaler Deceptionの詳細は、https://www.zscaler.com/products/deception-technologyを参照してください。