リソース > セキュリティー用語集 > デセプション テクノロジーとは

デセプション テクノロジーの定義

デセプション テクノロジーは、誤検出が少なく、ネットワーク パフォーマンスへの影響を最小限に抑えながら脅威を早期に検出する、シンプルで効果的なサイバーセキュリティー防御の一種です。このテクノロジーは、現実的なの資産(ドメイン、データベース、アクティブ ディレクトリー、サーバー、アプリケーション、ファイル、認証情報、パンくず、セッションなど)を作成し、実在の資産とともにネットワークに導入することで、サイバー犯罪者をおびき寄せる役割を果たします。ネットワークに侵入した攻撃者は、偽物と本物を見分けることができません。攻撃者がデコイと接触した瞬間にサイレントアラームが発せられ、システムが攻撃者の行動や意図に関する情報の収集を開始します。その情報を使って精度の高いアラートが生成されるため、攻撃者の滞留時間が短縮され、迅速なインシデントレスポンスが実現します。

境界の防御がどれほど優れていたとしても、サイバー犯罪者がネットワークに侵入する可能性は常にあります。デセプション テクノロジーによって、攻撃者は価値のない偽物の資産を探し出すために時間を浪費し、最終的に罠へと誘導されます。サイバー犯罪者の存在が明らかになれば、その行動を早期に察知し、対策に活用できる有効な情報を得ることができます。

サイバーセキュリティーに有効なデセプション テクノロジーとは

現代のデセプション テクノロジーによる防御は、カウティリヤや孫子、ナポレオン、チンギス・ハーンなどが、欺きやカモフラージュ、策略を駆使して大陸を征服するために採用した、軍事的なデセプションの原則を大いに参考にしています。サイバーセキュリティーの文脈では、防御側がデコイやルアーを使って攻撃者を惑わし、ネットワークに足場ができたと思わせて、攻撃者の存在を明らかにします。

デセプション テクノロジーのメリット

総合的に見たデセプションの最大のメリットは、防御側はデコイを用意するだけで、攻撃を成功させるための負荷を攻撃側が負うことになるという点です。ネットワークにデコイが配置された場合、攻撃者が攻撃を成功させるためには、偽物の資産や誘導、罠に一度も引っ掛かることなく完璧な攻撃を行う必要があります。攻撃者が一つでもミスを犯したら、防御側の勝利です。

これを可能にするデセプションの、5つの大きなメリットを解説します。
 

1. 脅威検出能力の向上

精度を尺度にして検出関連のテクノロジーを分類する場合、以下の2つが両端に置かれることとなります。

  • シグネチャベースの検出: 精度は高いものの、特定の脅威の検出に限定されています。
  • 行動分析/ヒューリスティック: 広範な脅威を対象とするものの、誤検出が発生しやすいのが難点です。

デセプション アラートは、高い精度で広範な脅威を対象できるという、両方の長所を兼ね備えています。
 

2. ビジネスリスクに関する意識向上

セキュリティー制御の大半は、現在のビジネスリスクを考慮したものではありません。例えば、ウイルス対策ソフトは合併を想定していません。しかし、デセプション テクノロジーは本質的にそのようなビジネスリスクにあわせて調整することが可能です。例えば、新製品を発売する場合はその発売に関連するデセプション対策が可能で、リスクがあると考えられる領域に緊密なセキュリティー制御を実行できます。
 

3. 保護範囲の拡大

デセプションは、盲点になりがちな環境をはじめとして組織全体に広く適用することができます。境界、エンドポイント、ネットワーク、Active Directory、アプリケーションレイヤー全体で脅威を検出するだけでなく、軽視されがちなSCADA/ICS、IoT、クラウドなどの環境も網羅することが可能です。

ポイント ソリューションとは異なり、デセプションは攻撃前の偵察から、エクスプロイトや権限昇格、水平移動、データ漏洩に至るまで、キルチェーン全体を網羅します。
 

4. 極めて低い誤検出率

誤検出が多発すると、セキュリティー部門の疲弊につながる恐れがあります。デセプションにおいては、デコイと相互作用するのは攻撃者のみに限られるため、誤検出が本質的に極めて少ないのが特長です。さらに、これらのアラートは攻撃者の意図に関するコンテキストを提供します。

ほとんどの行動分析では、機械学習を利用してベースラインからの異常にフラグを立てていますが、誤検出の発生率も高くなる傾向があります。デセプションは、ゼロ アクティビティーのベースラインを確立しており(つまり、あらゆるアクティビティーが調査の対象となります)、侵害の詳細な指標を示します。
 

5. レスポンスのオーケストレーション

レスポンスのオーケストレーション/自動化は、トリガーとなるイベントが100%確実な場合に最も有効となります。このようなケースでも、アラートを生成する製品がすでに修復(アンチウイルスによる隔離など)を扱うため、通常はオーケストレーションを必要としません。

デセプション アラートは確実性が高くコンテキストに基づいているため、より複雑なシナリオ(例: デコイの認証情報によってデコイの環境にリダイレクトし、実際の環境ではブロックされるなど)を策定したり、特定のアプリケーション(例: デコイのSWIFTサーバーにアクセスするアカウントを、実際のSWIFTサーバーでブロックするなど)を対象にしたりすることができます。

従来型の検出テクノロジーの課題

サイバー デセプションの手法は、攻撃者がすでに境界防御を回避し、ネットワーク、エンドポイント、オペレーティング システム、アプリケーションにアクセスしたことを前提に稼働します。他の脅威検出の手法はセキュリティー部門に脅威の発生を通知するように構築されていますが、現代の巧妙な攻撃に対しては不十分です。 

ファイアウォールやエンドポイント検出などの従来型の検出ツールは、いずれも特定のタイプのセキュリティー(ネットワーク、アプリケーション、エンドポイント、IoTデバイスなど)を想定して構築されており、多くの場合に互いに独立して動作します。そして、これが以下のような問題を招きます。

  • これらのツールはセキュリティー インフラの特定の部分のみを対象とするため、コンテキストがなく精度の低いアラートとなってしまうこと。
  • 攻撃のシーケンスや被害の範囲を明らかにするために、セキュリティー アナリストが複数のツールを使い分ける必要があり、調査に時間を要すること。
  • 誤検出率が高く、大量のアラートに悩まされること。ESGによる2021年の調査では、回答者のWebアプリケーションおよびAPIセキュリティー ツールから発せられたアラートの45%が誤検出であることが判明しています。

さらには、既存の検出テクノロジーの多くが得意としているのは、内部と外部の脅威を問わず、人間が主導する攻撃からの保護ではなく、マルウェアからの保護です。小規模な攻撃を行うハッカーよりもはるかに高度な悪意のある攻撃者は、検出されないように正当なユーザーの行動を模倣することに長けています。しかし、デセプション プラットフォームがあれば、攻撃者がデコイと接触した瞬間にその正体が明らかになります。

情報セキュリティーにおける最初のデセプション ツールであるハニーポットは数十年前に開発され、現在でも使用されています。ハニーポットとは、保護されてはいないもののモニタリングされている資産で、ネットワークに侵入した攻撃者を引きつけるために構築されています。攻撃者がハニーポットにアクセスすると、その攻撃者の情報を入手したり、攻撃を停止させたりするための行動をセキュリティー オペレーション部門が実行できます。

ハニーポットやハニークレデンシャルなどの旧来のデセプション テクノロジー は、本質的に受動的で静的な技術です。これらはすぐに時代遅れとなり、攻撃者の戦術の変化に対応できないため、攻撃者が検出を逃れてネットワークに潜むことが容易になってしまいます。インターネットにアクセスできるハニーポットやハニーネットは、広範なスキャン活動と標的に対する偵察活動を区別できない限り、多くの誤検出を発生させる恐れがあります。

 

これまでの常識を覆す最新のデセプション テクノロジー

これに対し、最新のデセプション テクノロジーは、ネットワークを攻撃者に対して敵対的な環境にできる積極的な防御の手法を活用します。現代のデセプション テクノロジーはまず、ハニーポットと同様に、本物の資産のように見せかけて、正規のユーザーがアクセスする必要のない偽物の資産をネットワーク上に配置します。そして、デセプションベースのアラートを利用し、人間が介在することなく、悪意のあるアクティビティーの検出、脅威インテリジェンスの生成、水平移動の阻止を実現し、脅威へのレスポンスと封じ込めをオーケストレーションします。 

最新のデセプション プラットフォームは、積極的で誤検出の少ない検出モデルに則っています。詳細な分析を利用して攻撃の背後にいる人物の目的を明らかにし、新たな脅威に発生前から適応し、レスポンスのオーケストレーションと自動化を実現します。デセプションによる防御は、シグネチャーやヒューリスティックによる検出に依存しないため、ほぼすべての攻撃ベクトルを網羅し、高度な標的型攻撃(APT)、ゼロデイ攻撃、偵察、水平移動、ファイルレス攻撃、ソーシャル エンジニアリング、中間者攻撃、ランサムウェアなど、ほぼすべての攻撃をリアルタイムで検出することができます。

ネットワーク上の攻撃者を特定すると、攻撃に関して得た知識に基づいてデセプション環境をリアルタイムに操作することができます。想定される状況をいくつかご紹介しましょう。

  • デセプション用の資産を生成したり削除したりすることで、攻撃者を撹乱する。
  • ネットワーク トラフィック、アラート、エラー メッセージを生成して、攻撃者が特定の行動を実行するように仕向ける。
  • セッション乗っ取りツールを実装して、環境に対する攻撃者の認識を曇らせたり、歪めたりする。
  • 攻撃者が自身の情報やアクセス元についての情報を開示しなければならない状況を作り出すことで、想定される障害を回避する。

デセプションは、サイバー攻撃者に余分な手間をかけさせるだけではありません。ほとんどの攻撃者は侵入しようとする環境についてすべてを把握しているわけではなく、何が本物で何が偽物なのかを見分けられないため、デセプションはこの点を活用します。これにより、攻撃者と防御側との力関係が根本的に逆転し、攻撃者が盗もうとしている資産とその理由、そしてその方法を具体的に知ることができます。

 

デセプションのユースケース

デセプション テクノロジーは、偵察からデータ盗難まで、キルチェーン全体における脅威の検出に使用することができます。ユースケースには大きく分けて3つのカテゴリがあります。

  • 境界デセプション防御: 到着するすべてのトラフィックをモニタリングして潜在的な脅威を発見することは、通常は不可能です。外部に公開されるデセプション用の資産を設定することで、この問題が大幅に簡素化され、組織を標的にしている攻撃者についての実用的な情報が得られます。
  • ネットワークデセプション防御: 攻撃者が閲覧する可能性があるものの、正規のユーザーは決してアクセスすることのないデコイを配置することで、進行中の攻撃を特定します。
  • エンドポイントデセプション防御: デコイのエンドポイントは、攻撃者の目には格好の資産のように映ります。これらの資産をモニタリングすることで、不審な行動だけでなく、ネットワーク上では正常ではあるものの、特定のエンドポイントで特定の時間帯に実行されることはないはずの行動も検出できます。

 

デセプション テクノロジーを利用すべき組織の特徴

業界では最近まで、デセプションは主に高度に成熟したセキュリティー機能を持つ組織にとって有効なものであると考えられてきました。しかし、中堅、中小規模の組織にとっても、このテクノロジーには大きなメリットがあります。今やデセプションは、あらゆる形態や規模の組織において、セキュリティーの主流となりつつあります。
 

大規模で成熟した組織

セキュリティー機能が充実している先進的で予算が潤沢な組織は、脅威の検出、内部の脅威インテリジェンスの作成、および脅威へのレスポンス能力を最適化するためにデセプションを活用しています。

このような組織は、デセプションによってさらに高度な脅威を検出し、精度の高いアラートを活用して、既存の適用テクノロジーを用いた積極的な脅威の探索や統合されたレスポンスを実行したいと考えています。そしてこの市場のセグメントは、デセプションのより広範な採用を促進してきています。
 

中堅、中小規模の企業

中堅組織のCISOや中小規模の組織のセキュリティー部門の予算は限られていますが、コンプライアンス上の問題など大きな脅威やリスクに対処することも少なくありません。このような組織では、少なくとも基本的なセキュリティー対策が確立されているかもしれませんが、より深刻な脅威を検出できるようにする必要があります。このような組織には、以下の条件を満たすソリューションが必要です。

  • 迅速に配備でき、すぐに効果を発揮できること。
  • 使いやすいうえにメンテナンスの負荷も少なく、少人数の社内セキュリティー部門が運用するのに最適であること。
  • 複数のテクノロジーを導入する予算が不足しているため、ポイント ソリューションではないこと。
  • クラウドやIoTなどの分野を含む、広い範囲を網羅する機能を備えていること。

デセプションはこのような条件をすべて満たしており、中堅、中小規模の組織もより高度な標的型の脅威に対抗できるようになります。

Zscaler:ゼロトラストアーキテクチャに統合されたデセプション

単一のセキュリティー テクノロジーやポリシーでは、攻撃者を100%阻止することはできません。最大限の保護を実現するには、複数のテクノロジーが連携し、情報を共有する必要があります。その目的は、攻撃対象領域を最小限に抑えると同時に、インシデントの修復速度を早めることです。

最も強力な組み合わせの1つが、デセプション テクノロジーとゼロトラスト セキュリティーの統合です。ゼロトラストでは、ユーザーのアイデンティティーとリクエストのコンテキスト両方が認証、許可されるまで、すべてのアクセスとユーザーのリクエストは敵対的であるという前提のもと、必要最小限のリソースへのアクセスのみが許可されます。この概念は、「最小特権アクセス」として知られています。

デセプションのデコイは、ゼロトラスト環境でトリップワイヤの役割を果たし、侵害されたユーザーやネットワークでの水平移動を検出します。水平移動は安全で隔離された環境ですべて追跡され、攻撃者が興味を示している資産のタイプについてアラートを発し、攻撃者の動きを減速させることで、セキュリティー部門がTTP(戦術、技術、手順)をモニタリングできるようにします。

Zscaler Zero Trust Exchangeの不可欠な要素であるZscaler Deceptionにより、ゼロトラスト環境にデセプションを統合し、攻撃のシーケンスをすべて追跡してZscalerのプラットフォーム全体で自動化されたレスポンスを開始できます。

 

MITRE Engageフレームワークによるアクティブな防御

MITRE Engageは、攻撃者のエンゲージメント、デセプション、拒否のアクティビティーについて、現実世界で観察された攻撃者の行動に基づいて議論、計画する、業界で信頼されているフレームワークです。MITREのマトリクスは、組織がゼロトラスト セキュリティー戦略の一環としてデセプションや攻撃者のエンゲージメントの戦術をどのように導入するのが最適かを示す、客観的かつ最先端の指針として活用できます。

 

MITRE Engageフレームワークに基づく積極的な防御

拒否、デセプション、攻撃者とのエンゲージメント関連のテクノロジーは、現在のSOCオペレーションに代わるものではなく、現在の防御と並行して機能し、ダムとしての役割を果たします。現在の防御戦略で壁を築き、侵入を防止できるものは防止したうえで、デセプション テクノロジーを採用して攻撃者を誘導し、防御側に有利な方法で行動するよう仕向けることができます。

MITRE Corporation

Zscaler Deceptionは、MITRE Engageで網羅されている機能の99%を提供します。詳細はこちらをご覧ください。

Zscaler Deceptionの詳細はこちらに記載されています。