去る2024年1月24日、東京港区赤坂にて、Infoblox株式会社主催のセキュリティセミナー「Infoblox Security Seminar Series セキュリティ担当者が 53番ポートに注意すべき理由とは」を開催しました。
 
1980年代半ば、インターネット接続における名前解決の仕組みとしてDNSが誕生して以後、DNSはインターネットの進化に合わせる形で機能の追加やセキュリティ強化を行ってきました。しかし、DNS（53番ポート）を狙ったサイバー攻撃は急増しており、事実、マルウェアの92％は53番ポートを利用しているという調査結果も報告されるなど、いまや攻撃者の主要なターゲットにもなっています。
 
セミナーでは、DNSやサイバーセキュリティ対策の第一人者である東京大学の関谷 勇司氏を迎え、DNSセキュリティの最新動向が解説されたほか、Infobloxの折原 直美から、今後のDNSセキュリティに不可欠な「DNS Detection and Response」の特徴や優位性などを紹介しました。
 

本ブログでは、前編の続きとして、後編をご案内します。

[セッション]
セキュリティもシフトレフトへ
一歩先のセキュリティのためのDNS Detection and Response
 
Infoblox株式会社　
ソリューション技術統括本部 本部長
折原 直美

セキュリティに対する
現在のアプローチとその課題

 
東京大学 関谷 氏の基調講演に続いて、Infoblox株式会社　ソリューション技術統括本部 本部長折原 直美が登壇、「一歩先のセキュリティのためのDNS Detection and Response」と題されたセッションが行われました。
 
企業におけるマルチ／ハイブリッドクラウド、SaaSの活用の広がりや、IoT／OT等の新しい技術の普及とともにサイバー攻撃のターゲットも拡大、より広範なセキュリティ対策が求められるようになっています。そうしたことから、現在の企業においては、多種多様なセキュリティソリューションが導入されるようになっており、その運用にまつわる負荷やコストが課題として浮上しています。
 
「従来型のセキュリティ対策では、複数のセキュリティソリューションを導入し、多段的な防御により、サイバー攻撃に対処してきました。しかし、そうした多段的なセキュリティ対策を施してきたにも関わらず、セキュリティインシデントは無くなっていません。また、大量に発生するアラートへの対応や、後段でのセキュリティ侵害の検出、多くのセキュリティデバイスで発生する処理負荷なども課題として挙げられています」と、折原は説明します（図）。

このような課題を解決するものが、Protective DNSの実装による「セキュリティ対策のシフトレフト」です（図）。
 
「多層防御の1段目にDNSセキュリティを実現するProtective DNSを導入し、実際の通信が行われる前に悪意のあるリクエストの92％を遮断することが可能となります。さらに、後に続くセキュリティツールの負荷を抑制したり、大量のアラートの発生を削減したりできるようになるなど、セキュリティ運用の効率化も図れるようになります」（折原）

こうしたメリットが評価され、近年では海外の政府系機関やサービスプロバイダーにおいて、マルウェア対策の基盤として、Protective DNSの導入が進められています。
 
 

「DNS Detection and Response」により
さらなるセキュリティ強化を推進

Infobloxは、2019年にProtective DNS製品「BloxOne Threat Defense」の提供を開始、現在では、2,000社以上の企業・組織のセキュリティ強化を支援してきました。
 
そうしたInfobloxが掲げるセキュリティ強化に向けた新しいコンセプトが、「DNS Detection and Response」です（図）。

このDNS Detection and Responseを実現するにあたって必要な機能として、折原は「Protect」「Detect」「Identify」「Respond」の4つを挙げます。それぞれについて説明していきましょう。
はじめに、ProtectとDetectは、既存のセキュリティツールが見逃した攻撃を発見、早期に防御するための機能です。
 
「ProtectではBloxOne Threat Defenseにより未知のフィッシング攻撃や、DGA、コマンドコントール、ランサムウェア、不審なドメインをブロックする機能を提供します。また、Detectでは、既存の悪意あるサイトだけでなく、Infoblox社内の脅威インテリジェンスチームが日々、DNSのクエリを分析、新たな脅威の発生を調査し、その結果をBloxOne Threat Defenseのブロックリストに反映したり、AI／機械学習を用いた脅威検出の仕組みにとりいれたりするなど、継続的なセキュリティ機能の改善を、マシンラーニングのための検知の材料として提供して製品を継続的に改善しています」（折原）。

 
一方、「Identify」では、InfobloxのDHCPやIPアドレス管理（IPAM）製品との連携により、DNSクエリとユーザーやデバイスが発したIPアドレスを突き合わせることで、セキュリティ侵害が発生した対象を可視化、いち早い対処を支援します。
 
そして、Respondでは、エコシステムの形成により、セキュリティインデント対策における自動化やレスポンスの迅速化を実現します。「例えば、BloxOne Threat DefenseにはREST APIが用意されており、検知したインシデントとユーザーのIPアドレスを基に、他社ファイアウォール製品との連携により迅速かつ自動的に通信を遮断するといった対処も可能となります」と、折原は説明します。
 

こうした「DNS Detection and Response」の実現により、以下に示す６つのメリットを享受できるようになります。

最後に折原は、「Infobloxは、具体的なDNS 攻撃やその対策方法を知ることができるSecurity Workshopを開催しているほか、DNS Detection and Responseの活用に向けたご相談や提案も随時受け付けております。DNSセキュリティに関心をお持ちであれば、ぜひ一度Infobloxにお声がけください」と語り、セッションを閉幕しました。
 
 
 

[クロージング]
DNS Detection and Responseの導入を加速させ、
企業・組織の成長に貢献する
 
Infoblox 株式会社　カントリーマネージャー
河村浩明

 
セミナーのクロージングでは、Infoblox 株式会社　カントリーマネージャーの河村 浩明が登壇し、日本国内でもDNS Detection and Responseの有用性が広く知られ始めたことについて強調しました。
「そうした中で、特に私たちがお伝えしたいことは、セキュリティ対策の推進にあたっては、ツールの導入もさることながら、その後の運用がとても重要ということです。事実、セキュリティツールの運用には、多大な手間とコストが発生しているケースは少なくありません」と河村は訴えます。
 
「対して、Infobloxセキュリティ運用においても２つのメリットをもたらします。１つは、私たちの提供するのBloxOne Threat Defenseは誤検知が少ないため、運用にまつわる負荷やコストを削減できるようになることです。そして、２つ目はInfobloxのスレットインテリジェンス（Threat Intelligence）により、セキュリティ脅威の“卵”が孵化する前にそれを遮断することでセキュリティインシデントの発生が大幅に抑制され、運用負荷をさらに削減可能になることです」（河村）
 
最後に河村は「今後もInfobloxは、強力なパートナー企業ともにDNS Detection and Responseの導入を加速させることで皆様のセキュリティ強化を支援していきます。そして、安心安全なIT基盤を実現させ、ビジネスの成長に寄与していきたいと考えています」と、改めて決意を語りました。

[関連情報]

次回のセキュリティセミナーは、日本シーサート協議会の北村 理事長をお招きし、2024年3月14日（木）15時から開催します。

北村達也 氏 からはインシデントレスポンスのベストプラクティスとその中でのDNSセキュリティの位置付けを、DNS専業ベンダーであるInfobloxからは海外で導入が加速的に進んでいるProtective DNSや既存のDHCPやIPAMを活用して実現するDNS Detection and Response(DNSDR)をご案内します。

会場の都合上、先着50名様限定です。すぐに埋まってしまうと思いますので気になる方は早めのご登録をお願いいたします。

登録はこちら↓↓↓
https://bit.ly/47Z4zjX