今回は DNSのセキュリティ についての記事になります。
筆者はC&S技術統括部 Infoblox担当チームのUmeです。
DDI(DHCP, DNS, IPAM)アプライアンスのリーディングカンパニーであるInfoblox社のセキュリティソリューションを紹介しますが、門外漢であった私にも「なるほど」と思わせるところがありました。
同社とは、同社の創業以前からお付き合いさせていただいてきたという歴史があり、Infobloxは当社が得意とする製品のひとつです。是非、スライドを見ていただければと思います。よろしくお願いします。
多くのセキュリティソリューションは「データプレーン」を監視、防御しており、「コントロールプレーン」であるDNSの監視は見落としがちです。
サイバーキルチェーン (Cyber Kill Chain) とは、サイバー空間の標的型攻撃における攻撃者の行動を分解したフレームワークですが、このサイバーキルチェーンの各段階においてDNSの関与率が一番高いことが知られています。つまり対策には効果があるということになります。
- 偵察
- 武器化
- 配送(デリバリ)
- 攻撃(エクスプロイト)
- インストール
- 遠隔操作
- 侵入拡大
- 目的実行
例えば、サイバー攻撃に使われる手順の以下がDNSが関与する部分です。
- 攻撃者によるマルウェア設置サイトへの誘導メールの送信と誘導
- Webプロキシサーバを介さない外部への通信
- HTTP, HTTPSなどによる外部への通信
この関与率の高さから、企業のセキュリティチームやサービス事業者でDNSのセキュリティ対策や、ログ管理についての重要性が認識されてきています。
DNS(名前解決)の段階でセキュリティを導入するメリットは簡単です。
正規のアプリケーションもマルウェアも、通信を開始する前にDNSに名前解決を要求するため、ファーストコンタクトとしてDNSによる名前解決の段階で問題のある通信をさせないようにしてしまえばよいのです。簡単に言うと、例えば、不正サイトへの名前解決をブロックしてしまえば、不正通信は防げるという考えです。
詳しくはスライドをご参照いただきたいのですが、当社が取り扱うInfoblox社(DNSアプライアンスのリーディングカンパニー)の提供するセキュリティソリューションは以下になります。DNSのセキュリティ対策にはこれら対策が非常に重要です。
- DDoS対策: ビジネスの根幹であるDNSインフラを守る為の対策
- マルウェア対策: 感染済み端末によるC&Cサーバ接続に対する対策
- DNSトンネリング対策: DNSによる情報漏洩に対する対策
- インシデント対策: 検知後の端末特定の迅速化に対する対策
・・・と、静かに終わろうかと思いましたが、ブログ記事の筆者、中の人ことテリーマンは余計なことを書きたくなります。「やっぱ高いからDNSのセキュリティ対策は見送るとお客様が言ってるので提案構成から外してください」って、高い安いもいいけど、このセキュリティ対策の効用をちゃんと説明したのかよ、ゴルァ!案件がシュリンクしてシュリンクして、塩をかけたナメクジみたいになっちゃったじゃねえか!
とは、我々、会社の隅に追いやられている技術統括部は言えないのです。まあ、どんなシステムにしろ、インフラにしろ、セキュリティ対策はセットだと思います。段階を踏んででも、セキュリティ設計と将来計画については考慮していただいたほうがよろしいかと思います。「これでいいのかな...」と思っても、営業サンに「お客様が要らねえといってんだ、この職工風情が」と言われてしまえば引き下がるしかないので、ここに書いておこうかと。ま、作り話ですけどね、作り話。
最後に箱屋然として用途と製品をまとめておきます。
- DNSサーバへの攻撃を防ぐもの
製品: Advanced DNS Protection - DNSを利用した攻撃を防ぐもの
製品: Active Trust DNS Firewall / Threat Insight - 感染端末がどのネットワークにいるか特定するもの
製品: Network Insight - また、運用を安定、効率化させるためにはデータの可視化も必要です
製品: Trinzic Reporting
よろしくお願いしま~す。
Infobloxチームには、旧態依然のDDIだけじゃなく、全員がセキュリティ系の新しい流れもキャッチアップするよう頼んでおきました。
