リソース > セキュリティ用語集 > デセプションテクノロジとは?

ディセプションテクノロジとは?

ディセプションテクノロジは、誤検知が少なくネットワークパフォーマンスへの影響を最小限に抑えながら脅威を早期に検知する、シンプルで効果的なサイバーセキュリティ防御のカテゴリです。このテクノロジは、リアルなおとりの資産(ドメイン、データベース、アクティブディレクトリ、サーバ、アプリケーション、ファイル、認証情報、パンくず、セッションなど)を作成し、実在の資産と一緒にネットワークへ展開することで、サイバー犯罪者をおびき寄せる役割を果たします。ネットワークに侵入した攻撃者は、偽物と本物を見分けることができません。攻撃者がおとりと接触した瞬間にサイレントアラームが発せられ、システムが攻撃者の行動や意図に関する情報の収集を開始します。その情報を使って精度の高いアラートが生成されるため、攻撃者の滞留時間が短縮されて迅速なインシデントレスポンスが実現します。

境界の防御がどれほど優れていたとしても、サイバー犯罪者がネットワークに侵入する可能性は常にあります。ディセプションテクノロジによって、攻撃者は罠へと誘導され、価値のない偽物の資産を探し出すために時間を浪費することになります。サイバー犯罪者の存在が明らかになれば、その行動を早期に察知して対抗策として有効な情報を得ることができます。

サイバーセキュリティに有効なディセプションテクノロジとは

現代のディセプションテクノロジによる防御は、カウティリヤや孫子、ナポレオン、チンギスハーンなどが、欺きやカモフラージュ、策略を駆使して大陸を征服するために採用した、軍事的なディセプションの原則を大いに参考にしています。サイバーセキュリティの文脈では、防御側がおとりやルアーを使って攻撃者を惑わし、ネットワークに足場ができたと思わせて、攻撃者の存在を明らかにします。

ディセプションテクノロジのメリット

総合的に見たディセプションの最大のメリットは、防御側はおとりを用意するだけで、攻撃を成功させるための負荷を攻撃側が負うことになるという点です。ネットワークにおとりを配置した後、攻撃者が攻撃を成功させるためには、偽物の資産や誘導、罠に一度も引っ掛かることなく完璧な攻撃を行う必要があります。相手が何かミスを犯したら、防御側の勝利です。

この勝利を実現するディセプションの具体的なメリットを5つ見てみましょう。
 

1. 脅威検知能力の向上

検知クラスの精度を尺度にした場合、両極端な結果になります。

  • シグネチャベースの検知: 精度は高いが特定の脅威の検知のみに限定される
  • 行動分析/ヒューリスティック: 広範な脅威を対象とするものの、誤検知が発生しやすい

ディセプションアラートは、高い精度で広範な脅威を対象できるという、両方の長所を兼ね備えています。
 

2. ビジネスリスクに関する意識改善

セキュリティ制御の大半は、現在のビジネスリスクを考慮したものではありません。例えば、ウイルス対策ソフトは企業の合併を想定していません。しかし、ディセプションテクノロジは本質的にそのようなビジネスリスクとの調整が可能です。例えば、新製品を発売する場合はその発売に関連するディセプション対策が可能で、リスクがあると考えられる領域に緊密なセキュリティ制御を実行できます。
 

3. 対応範囲の拡大

ディセプションは、盲点になりがちな環境をはじめとして組織全体に広く適用することができます。境界、エンドポイント、ネットワーク、Active Directory、アプリケーション層全体で脅威を検知するだけでなく、軽視されがちなSCADA/ICS、IoT、クラウドなどの環境も網羅することが可能です。

ポイントソリューションとは異なり、ディセプションは攻撃前の偵察から、エクスプロイトや権限昇格、脅威の水平移動、データ漏洩に至るまで、キルチェーン全体をカバーします。
 

4. 極めて低い誤検知率

誤検知が多発すれば、セキュリティチームは疲弊してしまいます。ディセプションは本質的に負荷が極めて少なく、攻撃者以外は誰もおとりとやり取りする理由がありません。さらに、このアラートは攻撃者の意図に関するコンテキストを提供します。

ほとんどの行動分析では、機械学習を利用してベースラインからの異常にフラグを立てていますが、誤検知の発生率も高くなる傾向があります。ディセプションは、アクティビティゼロのベースラインを確立しており(つまり、あらゆるアクティビティが調査の対象となります)、侵害の詳細な指標を示します。
 

5. レスポンスのオーケストレーション

オーケストレーションと自動化がなされたレスポンスは、トリガーとなるイベントが100%確実な場合に最も有効です。このようなケースでも、アラートを生成するセキュリティ製品がすでに修復(アンチウイルスによる隔離など)を実行しているため、通常はオーケストレーションを必要としません。

ディセプションアラートは確実性が高くコンテキストに基づいているため、より複雑なシナリオ(おとりの認証情報をおとりの環境にリダイレクトし、実際の環境ではブロックされる等)を策定したり、特定のアプリケーション(おとりのSWIFTサーバにアクセスするアカウントを、実際のSWIFTサーバでブロックする等)を対象にしたりすることができます。

従来型の検知テクノロジの課題

サイバーディセプションの手法は、攻撃者がすでに境界の防御を回避し、ネットワーク、エンドポイント、オペレーティングシステム、アプリケーションにアクセスしていることを前提に稼働します。他の脅威検知手法はセキュリティチームに脅威の発生を通知するように設計されていますが、今日の巧妙な攻撃に対しては不十分です。 

ファイアウォールやエンドポイント検知などの従来型の検知ツールは、いずれも特定のタイプのセキュリティ(ネットワーク、アプリケーション、エンドポイント、IoTデバイスなど)を想定して設計されており、多くの場合に互いに独立して動作します。これが問題となるケースがあります。

  • これらのツールはセキュリティインフラの特定の部分のみを調査するため、コンテキストがなく精度の低いアラートとなってしまう。
  • セキュリティアナリストは、攻撃の順序や被害の範囲を明らかにするために複数のツールを使い分ける必要があり、調査に時間を要する。
  • 誤検知率が高く、大量のアラートに悩まされる。ESG による2021年の調査では、回答者の Web アプリケーションおよび API セキュリティツールから発せられたアラートの45%が誤検知であることが判明しています。

さらには、既存の検知テクノロジの多くが得意としているのは、内部と外部の脅威を問わず、人間が主導する攻撃からの保護ではなく、マルウェアに対する保護です。小規模な攻撃を行うハッカーよりもはるかに巧妙な悪意のある攻撃者は、検知されないように正当なユーザの行動を模倣することに長けています。しかし、ディセプションプラットフォームがあれば、攻撃者がおとりと接触した瞬間にその存在が明らかになります。

情報セキュリティにおける最初のディセプションツールであるハニーポットは、数十年前に登場し今日でも使用されています。ハニーポットとは、保護されてはいないものの監視されている資産で、ネットワークに侵入した攻撃者を引きつけるために設計されています。攻撃者がハニーポットにアクセスすると、その攻撃者の情報を入手したり、攻撃を停止させたりするための行動をセキュリティオペレーションチームが実行できます。

ハニーポットやハニークレデンシャルなどの旧来の ディセプションテクノロジ は、本質的にリアクティブで静的な技術です。これらはすぐに古くなり、攻撃者の戦術の変化に対応できないため、攻撃者が検知を逃れてネットワークに潜むことが容易になってしまいます。インターネットにアクセスできるハニーポットやハニーネットは、広範なスキャン活動と標的に対する偵察活動を区別できない限り、多くの誤検知を発生させる恐れがあります。

 

これまでの常識を覆す最新のディセプションテクノロジ

これに対し、最新のディセプションテクノロジは、ネットワークが攻撃者の敵となる環境になるように設計されたアクティブな防御手法を活用します。今日のディセプションテクノロジは、まずハニーポットと同様に、本物の資産のように見せかけて、正規のユーザがアクセスする必要のない偽物の資産をネットワーク上に配置します。そして、ディセプションベースのアラートを利用し、人間が介在することなく、不正アクティビティの検知、脅威インテリジェンスの生成、脅威のネットワークの水平移動の阻止を実行し、脅威へのレスポンスと封じ込めをオーケストレーションします。 

最新のディセプションプラットフォームは、プロアクティブで誤検知の少ない検知モデルを提供します。詳細分析を利用して攻撃の背後にいる人物の目的を明らかにし、新たな脅威に発生前から適応し、レスポンスアクションのオーケストレーションと自動化を実現します。ディセプションによる防御は、シグネチャやヒューリスティック検知に依存しないため、ほぼすべての攻撃ベクトルをカバーし、高度な標的型攻撃(APT)、ゼロデイ攻撃、偵察、水平移動、ファイルレス攻撃、ソーシャルエンジニアリング、中間者攻撃、ランサムウェアなど、ほぼすべての攻撃をリアルタイムで検知することができます。

ネットワーク上の攻撃者を特定すると、攻撃に関して得た知識に基づいてディセプション環境をリアルタイムに操作することができます。想定される対応をいくつかご紹介しましょう。

  • ディセプションの資産を生成したり削除したりすることで、攻撃者を撹乱する。
  • ネットワークトラフィック、アラート、エラーメッセージを生成して、攻撃者が特定の行動を実行するように仕向ける。
  • セッション乗っ取りツールを実装して、攻撃者の環境に対する認識を曇らせたり、歪めたりする。
  • 攻撃者が自らや所在地についての情報を開示しなければならない状況を作り出すことで、想定される障害を回避する。

ディセプションの効果は、サイバー攻撃者に過分な負荷を掛けさせるだけではありません。ほとんどの攻撃者は、侵入しようとする環境についてすべてを把握しているわけではないことから、何が本物で何が偽物なのかを見分けることができないという事実を利用しています。これにより、攻撃者と防御側との力関係が根本的に逆転し、攻撃者が盗もうとしている資産とその理由、そして入手の手法を具体的に知ることができます。

 

ディセプションのユースケース

ディセプションテクノロジは、偵察からデータの盗難まで、キルチェーン全体の脅威の検知に使用することができます。ユースケースには大きく分けて3つのカテゴリがあります。

  • 境界ディセプション防御:到着するすべてのトラフィックを監視して潜在的な脅威を発見することは、通常は不可能です。外部に公開されたディセプション資産をセットアップすることで、この問題が大幅に簡素化され、自社を標的にしている攻撃者についての実用的なテレメトリが可能になります。
  • ネットワークディセプション防御: 攻撃者が閲覧する可能性があるものの、正規のユーザは絶対にアクセスすることのないおとりを配置することで、進行中の攻撃を特定します。
  • エンドポイントディセプション防御:  おとりのエンドポイントは、攻撃者にとって格好の資産のように見えます。これらの資産を監視することで、不審な行動だけでなく、ネットワーク上では正常ではあるものの、特定のエンドポイントで特定の時間帯に実行されることはないはずの行動も検知できます。

 

お客様の組織はディセプションを利用すべきか

業界では、ディセプションは主に高度に成熟したセキュリティ機能を持つ組織に有効であると最近まで考えられていました。しかし、中堅・中小企業にとっても、このテクノロジは大きなメリットがあります。今やディセプションは、あらゆる形態や規模の組織においてセキュリティの主流となりつつあります。
 

大規模で成熟した組織

セキュリティ機能が充実している先進的な大企業は、脅威の検知、内部の脅威インテリジェンスの作成、および脅威へのレスポンス能力を最適化するために、ディセプションを利用しています。

このような企業は、ディセプションによってさらに高度な脅威を検知し、精度の高いアラートを活用して、既存の適用テクノロジを用いたプロアクティブな脅威の探索や統合的なレスポンスを実行したいと考えています。この市場セグメントは、より広範なディセプションの採用を促進しています。
 

中堅・中小企業

中堅企業のCISOや中小企業のセキュリティチームの予算は限られていますが、コンプライアンス上の問題など大きな脅威やリスクに対処することも少なくありません。このような組織では、少なくとも基本的なセキュリティ対策が確立されているかもしれませんが、より深刻な脅威を検知できるようにする必要があります。このような組織に必要なソリューションには以下の条件があります。

  • 迅速に配備でき、すぐに効果を発揮する
  • 使いやすくメンテナンスの負荷も少なく、少人数の社内セキュリティチームに最適である
  • 複数のテクノロジ導入には予算が不足しているため、ポイントソリューションではないセキュリティ製品
  • クラウドやIoTなどの分野を含む広い範囲をカバーする機能を装備

ディセプションはこのような条件をすべて満たしており、中堅・中小企業はより高度な標的型の脅威に対抗できます。

ゼットスケーラー:ゼロトラストアーキテクチャに統合されたディセプション

単一のセキュリティテクノロジやポリシーでは、攻撃者を100%阻止することはできません。最大限の保護を実現するには、複数のテクノロジが連携し情報を共有する必要があります。その目的は、攻撃対象領域を最小限に抑えると同時に、短時間でインシデントを修復することです。

最も強力な組み合わせの1つが、ディセプションテクノロジとゼロトラストセキュリティの統合です。ゼロトラストでは、ユーザのアイデンティティとリクエストのコンテキスト両方が認証され許可されるまで、すべてのアクセスとユーザのリクエストは敵対的であるという前提で、必要最小限のリソースへのアクセスのみが許可されます。この概念は、「最小特権アクセス」として知られています。

ディセプションのおとりは、ゼロトラスト環境でトリップワイヤの役割を果たし、侵害されたユーザや脅威のネットワーク水平移動を検知します。安全で隔離された環境で脅威の水平移動がすべて追跡され、攻撃者が興味を示している資産のタイプについてアラートを発し、攻撃者の動きを減速させることで、セキュリティチームがTTP(戦術、テクノロジ、攻撃手順)を監視できるようにします。

ゼットスケーラーのZero Trust Exchange に不可欠な機能として、Zscaler Deception はゼロトラスト環境にディセプションを統合し、攻撃のシーケンスをすべて追跡してゼットスケーラーのプラットフォーム全体で自動化されたレスポンスを開始します。

 

MITRE Engageフレームワークによるアクティブな防御

MITRE Engageは、サイバー犯罪者のエンゲージメント、ディセプション、拒否(DENIAL)活動を現実世界で観察された行動に基づいて議論し、計画する、業界で信頼されているフレームワークです。MITRE Engageのマトリクスは、組織がゼロトラストセキュリティ戦略の一環としてディセプションや犯罪者の戦術をどのように展開するのが最適かを示す、客観的かつ最先端のガイドとなります。

 

MITRE Engageフレームワークによるアクティブ防御

「拒否、デセプション、犯罪者とのエンゲージメントのテクノロジは、現在のSOCオペレーションに代わるものではなく、現在の防御と並行して利用し、ダムの役割を果たすものです。現在の防御戦略で壁を築いて、侵入を防止できるものは防止した上で、ディセプションテクノロジを採用して攻撃者を誘導し、防御側に有利な方法で行動するよう仕向けます」

MITRE Corporation

Zscaler Deceptionは、MITRE Engageでカバーされている機能の99%を提供します。詳細は、こちらをクリックしてください。

Zscaler Deceptionの詳細もご覧いただけます。