[DNS入門] DNSベースのセキュリティは一時代を築いた、プロテクティブDNS、DNS Detection & Response、そして現在はゼロトラストDNS?
———————————————————————————————————————
本稿は、2024年 9月 30日に Infoblox公式ブログに投稿された「DNS based security has come of age: Protective DNS, DNS Detection & Response and now ZeroTrust DNS?」の抄訳です。
投稿者:クレイグ・サンダーソン(Craig Sanderson)
———————————————————————————————————————
DNS(53番ポート)は、ほとんどのマルウェアキャンペーンにおいて基本的な役割を担っており、脅威アクターは、手薄なDNSをC2サーバーとの通信などで悪用しています。そして、トラフィック配信システム(TDS)などの多くの点で、DNSはマルウェアの産業化に利用されています。
近年、サイバー業界は、DNSサーバーを単純な名前解決としての役割だけでなく、セキュリティの可視化およびセキュリティ対策の実行ポイントとして再構築することが求められています。
その結果、多くの新しい用語が生まれました。このブログでは、これらの用語を解説していきます。
プロテクティブDNSとは
英国政府は、国家サイバーセキュリティセンター(NCSC)を通じて、2017年に初めてプロテクティブDNS(PDNS)サービスという言葉を作りました。
現在も続いているこの大成功を収めたサービスは、政府省庁、国民保健サービス(NHS)、そして教育機関(まもなく開始予定)が、アウトバウンドDNSクエリをNCSCが運営する安全なサービスに転送できるようにするものです。
このサービスは、脅威インテリジェンスを使用して、脅威と見なされるサイトへの接続を特定し、ブロックします。
この拡張性の高いサービスにより、英国はセキュリティを意識したDNSサービスを導入することで、さまざまな政府機関に質の高いセキュリティ対策を提供することができるようになりました。
政府のプロテクティブDNSサービスを提供しているのは英国だけでなく、米国(CISA、国防省)、オーストラリア(ACSC)、フィリピン(DICT)でも同様のサービスが運営されています。
日本政府も同様の施策を2024年度から開始しています。
プロテクティブDNSは拡張性の高いセキュリティ対策を提供する一方で、保護された組織がイベント相関やインシデント対応を行うための運用ツールやコンテキストを提供するものではありません。
DNS Detection and Response (DNSDR)とは
セキュリティポリシーをアウトバウンドDNSリクエストに適用する機能に基づくプロテクティブDNSの原則は、2010年に企業組織で利用され始めました。レスポンスポリシーゾーン(RPZ)を通じて、DNSは悪意のあるサイトや不適切なサイトへのリクエストをブロックする手段を提供します。
Infobloxのソリューションでは、既存のオンプレミスDNSサーバーでローカルにDNSセキュリティを提供することと同時に、SaaSベースのクラウドプラットフォームでローミングユーザーや小規模サイトを保護するハイブリッドアーキテクチャの一部として、DNSサーバーでのブロッキングを可能にするDNSDR機能一式(PDNS機能)を提供しています。
DNS Detection and ResponseがProtective DNSの機能を上回るのは、インシデント対応を容易にする運用ツールの提供です。Endpoint Detection and Response (EDR)のような他の検知・対応プラットフォームと同様に、InfobloxのDNSDRソリューションはAIベースの分析を活用し、DNSベースのエンフォースメントによって生成された大量のセキュリティイベントの中から重要な優先度の高いインシデントを自動的に相関させて特定します。
脅威インテリジェンスのコンテキストとアセットデータにより、DNSDRプラットフォームを導入した企業は検出された脅威を迅速に評価し、実行可能な対応策を講じることができます。エコシステムの統合により、Infoblox Threat Defenseは、次世代ファイアウォール(NGFW)、脆弱性スキャナなど、他のセキュリティインフラストラクチャのダウンストリーム対応を能動的かつ自動的にトリガーにすることができます。
Protective DNSとDNSDRは決して相互に排他的なものではありません。実際、DNSDRはインシデントレスポンス機能を追加したプロテクティブDNSのスーパーセット(上位概念)と考えることができます。
2024年4月に発行された最近のCISA保護DNSガイダンスに記載されているように、米国政府は保護対象機関内にオンプレミスDNSベースのセキュリティの展開を積極的に義務付けています。これにより、保護された機関は、インシデントおよび脅威への対応に運用責任を持つことができます。
このガイダンスの詳細(英語)はこちら
https://www.cisa.gov/sites/default/files/2024-05/Encrypted%20DNS%20Implementation%20Guidance_508c.pdf
ゼロトラストDNSとは
2024年4月、マイクロソフトは「ゼロトラストDNS戦略」を発表しました。
米国政府(CISA)の支援を受け、マイクロソフトはInfobloxなどの業界パートナーと協力して、既存の暗号化DNS標準を進化させ、クライアント認証を可能にします。
これにより、DNS over TLS (DoT)、DNS over HTTP (DoH)、DNS over Quic (Doc) などの標準が、政府が定めたもう1つの重要な戦略であるゼロ・トラストの基本原則に沿ったものになります。
これは、DNSがネットワーク接続においてほぼ常に最初のネットワークサービスであることを考えると、これは長い間待ち望まれていた開発です。この開発により、企業や政府機関がDNSセキュリティスタックにアイデンティティと機密性を追加することで、安全なオンプレミスDNS展開のベースラインが引き上げられ、他のプロトコル(HTTPS)で以前から実施されている原則と一致することになります。
ゼロトラストDNSの市場動向は、既存のDNSDRとプロテクティブDNSの配備を補完し、暗号化と認証を活用した両者間の接続により、中央政府サービスと企業DNS配備間の緊密な結びつきを確保します。
サイバーセキュリティ基盤としてのDNS
DNSは、サイバーセキュリティの基盤プラットフォームとして、その時代を迎えつつあります。DNSベースの脅威インテリジェンスにおけるこれらの新機能と技術革新により、各国の中央政府から一般企業に至るまで、産業規模の対応を適用する手段を持つことになります。
11/20開催 Infoblox Exchange 2024 Tokyo
日本では4年ぶりに「Infoblox Exchange 2024 Tokyo」と題した弊社の年次カンファレンスを11月20日に開催します。
プロテクティブDNS、DNSDR、ゼロトラストDNSについて、弊社のセッションはもちろんのこと、有識者や事例などを通じて分かりやすくご案内するセッションを複数用意しております。
ぜひ会場でお会いできることを楽しみにしています!!
■Infoblox Exchange 2024 Tokyo
2024年11月20日(水) 12:00 – 17:30
「Exchange」は、世界14都市で開催されるInfoblox 主催の年次カンファレンス(ワールドツアー)です。
Exchangeでは、多彩なセッション、デモブース、ハンズオンワークショップを通じてマルチクラウド時代に適応した「次世代型の DDI モデル」や「プロテクティブDNS」のテクノロジーやベストプラクティスをご案内します。
基調講演では9月26日に発表した業界初の次世代 DDI モデルを中心に弊社の革新的なイノベーションを『DNS & BIND』の著者であるCricket Liuからご案内します。
さらにユーザー事例や国内外の業界オピニオンリーダーからDDIに関する最新のアップデートをご紹介します。
セミナー概要やアジェンダなどの詳細などは以下のリンクから確認可能です。
<イベント概要>
イベント名: Infoblox Exchange 2024 Tokyo
開催日時: 2024年11月20日(水)12:00 – 17:30
開催場所:大手町プレイス ホール&カンファレンス
対象:ITインフラ(ネットワーク/セキュリティ/クラウド)の部門長/担当者
参加費:無料(事前登録制)
主催: Infoblox 株式会社