サイバー防衛の自動化 - BlackRidge Technology · 2019-01-07 ·...

サイバー防衛の自動化

ジョン・ヘイズ

BlackRidgeテクノロジー創設者、CTO

BlackRidge Technology, Inc.


[email protected] www.blackridge.us/ja Page | 2

概要

サイバー防衛コストが増加する中、膨大な数のデバイスとエンドポイントを管理し、システムやリソース、アセットを

より安全に保護するためには、サイバー防衛の自動化が必須となっています。人の介入やすべてのレスポンスへの承認

を必要とせずに、直接的なポリシーフィードバックと分析機能を統合する必要があります。サイバー攻撃もまた自動化

が進んでいますが、人間の指示やコントロールの元で行われているものもあり、自動化された攻撃と人の介入による攻

撃が混在している状態です。サイバーアセットやデジタルアセットの安全な保護に向け、いかなるタイプの攻撃に対し

ても備えを万全にしておくためには、サイバー防衛の自動化が不可欠です。

本稿では、サイバー防衛の自動化を実現する新しいアプローチについて検討します。このアプローチは、セキュリティ

オペレーターにフォールスアラームを与えたり、ユーザーの作業を妨げたりしません。統計的プロセス制御とネットワ

ーク ID の認証を組み合わせることにより、フォールス・ポジティブのようなサイバーイベントエラーの発生を減少さ

せることができます。そして、強力な応答コンポーネントを提供することで、サイバー防衛の自動化を促進することが

できます。また、ビジネスに影響を与えずに攻撃を阻止することで、セキュリティ運用の有効性についてビジネスチー

ムの信頼を高める効果もあります。

背景

サイバー攻撃は日常的に行われています。大規模な攻撃は間欠的に見えますが、攻撃全体は絶えず実行されています。

企業、個人を問わず、コンピューターやネットワークインフラストラクチャは日々刻々と侵入、スキャン、攻撃を受け

ています。そして、攻撃者はその後の攻撃に向けた足がかりを作成するため、常に試行を繰り返しています。

攻撃の理由は多々ありますが、本稿の主題ではありません。本稿では、私たちのデジタルシステム、リソース、アセッ

トをより適切に保護するために、どのように自動化を取り入れていくかということに焦点を当てていきます。今日のサ

イバー攻撃の多くは自動化されています。自動マシンとしてのコンピューターは、反復的なタスクを永続的に実行する

ことに長けています。連携して作業できるコンピューターが多いほど実行できる作業も増えていきます。これがボット

ネットの背後にある基本原則です。ボットネットとは、別のコンピューターシステムのコントロールの下、悪意のある

活動を実行するように選択されたコンピューターの集まりのことを指します。ボットネットマスターは一群のコンピュ

ーターを指揮しながら攻撃を実行するよう指示します。その種類は分散型サービス妨害（DDoS）攻撃によるフラッド

攻撃をはじめ、スパムの生成、盗難コンピューターの記録を保存する搾取ホストなど、さまざまです。

ボットネットが唯一の攻撃ではありませんが、攻撃の目的として、コンピューターの自動化がどのように使用されてい

るかを例示しています。他には、人間のオペレーターをサポートする攻撃ツールとしてコンピューターの自動化を使用

している場合もあります。これらの自動化ツールは進捗状況の監視や回避操作の実行、セキュリティ対策の検出などを

目的に使用され、低可観測性が最優先事項であるステルス性のオペレーションと組み合わせて展開されることがありま

す。これらの攻撃はボットネットによる攻撃ほど騒々しくはないかもしれませんが、そのダメージはより深刻かもしれ

ません。攻撃者の視点から見た自動化ツールの使用は、攻撃中に発生するノイズの量に基づいています。攻撃を検出し

て阻止し、その結果を解決することは困難な作業です。ほとんどのサイバー防衛システムは自動化も統合もされていま

せん。あくまで、自動化の側面が組み込まれている可能性がある個々のツールセットとして動作します。たとえば、シ

グネチャカタログ更新の自動化は必要ですが、シグネチャベースのソリューションは反動的であり、ゼロデイ攻撃や多

態性攻撃を検出することはできず、十分とは言えません。自動化されたサイバー防衛システムには、これよりも優れた

保護が求められます。サイバー攻撃に対する自動防衛の概念そのものは決して新しいものではありません。最も有名な



例は、侵入検知システム（IDS）から侵入保護システム（IPS）への移行です。この要素は、IBM、Cisco、Palo Alto

Networks、FireEyeなどの製品に見られます。


従来のサイバーセキュリティソリューションでは、安全な保護は望めません。現在、そして将来的に見込まれる膨大な

デバイス数に合わせて拡張することができず、また細かな属性機能もありません。最も重要なことは、直接的なポリシ

ーフィードバックを持つセキュリティ自動化システムと統合するようには設計されていないということです。

ロバストなサイバー自動防衛システムには次のような特性が求められます。

バウンデッド・オペレーション

応答性

振る舞い抑制

トポロジー非依存

優れたスケーラビリティ

これらの特性により、オペレーターと管理者の操作を最小限必要とするサイバー自動防衛システムが実現します。


バウンデッド・オペレーションとは、許容範囲内のエラー率で動作するサイバー防衛システムです。これらのエラー率

は、フォールス・ポジティブ（タイプ I）やフォールス・ネガティブ（タイプ II）両方のエラーを考慮する必要があり

ます。タイプ I はイベントをセキュリティイベントであると誤ってフラグ付けするもの、タイプ II はイベントをセキュ

リティイベントとして分類するのを見逃すものです。統計分析システムにおいて、イベントは統計的行動規範の範囲外

のものです。統計的工程管理からパラメータを取得すると、実行可能なイベントは統計的センターラインから３標準偏

差ですが、警告イベントはセンターラインから２標準偏差となります。フォールス・ポジティブ（誤検知）の割合は、

セキュリティ担当者およびエンドユーザー、両方に受け入れられるレベルでなければなりません。攻撃を阻止して業務

に悪影響を及ぼさないようにするためには、セキュリティ業務の有効性を信頼する必要があります。サイバー防衛シス

テムがこれらの要件を満たすことができない場合は、どんなに自動化を図っても意味がありません。システムは使用さ

れず、多くの誤った警告を生成して、不適切なポリシーを実装するだけでしょう。

センサーデータの改善、システム設計の改善、ターゲットの絞り込みなど、エラーを許容レベルに制限する方法はいく

つかあります。

センサーデータが改善されると、分析システムはセンサーに対する信頼を高め、より適切な決定を下すことができるよ

うになります。高品質データを生成するセンサーを使用してセンサーデータのスコアリングを行い、より高スコアのセ

ンサーデータへと導く必要があります。サイバーセンサーおよびセンサーデータの品質を向上させる最も簡単な方法の

1 つは、センサー操作の一部として効率的に認証できる情報を含めることです。センサーの認証だけでなく、センサー

によって示されるトラフィックフローの発信者（フローを生成するユーザー、デバイス、アプリケーションを含む）も

認証するようにします。



センサーそのものが分析コンポーネントを有する場合や、Reasoner、機械学習、および他の分析コンポーネントをデー

タセンサーに直接連結する場合もあります。アタッチした分析コンポーネントを使用するとセンサーデータの精度が向

上し、より高レベルの分析システムと通信するデータの効率性が向上します。

システム設計もサイバー防衛システムの運用上の限界を大幅に改善することができます。今日のセンサーのほとんどは

情報を中央集約型システムに報告する既存デバイスであり、制御システムの観点では設計されていません。これらのア

グリゲーションシステム、特にセキュリティ情報とイベント管理（SIEM）システムは、センサーのレポート数に基づい

てビジネスモデルを構築します。検出ツールを提供し、新しいネットワークおよびエンドポイントデバイスを自動的に

有効にすることで、センサーの数と各センサーから収集されるデータの量を増やします。多くの場合、この追加データ

は冗長でありワークロードとコストは増加しますが、追加のバリューはありません。同時に、SIEM ベンダーが提供す

る自動検出ツールへのアクセスは簡単でなく、またセンサーにはそれらの環境で動作する能力または権限がないため、

ネットワークの他の領域およびエンドポイントは監視を回避することができます。センサーが最高品質の情報を提供し、

完全なカバレッジを提供するようセンサーを配置するシステム設計の改善は、センサーをランダムに追加してより冗長

なデータを生成するよりもはるかに効果的です。

ID など、サイバーセンサーの品質向上のために使用されているのと同じメカニズムを使用して、特定のトラフィックフ

ローに対するアクションの対象を絞り込むこともできます。これにより、きめ細かいポリシーの実装とレポート作成が

可能になり、セキュリティ運用に対するビジネスの信頼性が高まります。

応答性

今日、ポリシーの変更をもたらすほとんどのサイバー防御のレスポンスは、人の指示の下に制定されています。分析シ

ステムがアラートを発行し、アラートを処理するオペレーターに転送します。多くの場合、オペレーターが見ることが

できるのは分析システムによって決定された最も優先度の高いアラートのみで、大部分のアラートは見ることはできま

せん。オペレーターが必要な場合、処理できるサイバーセキュリティイベントの量は制限されます。また、オペレータ

ーの待ち時間が増え、エラーの可能性が高まります。オペレーターとのやり取りを必要とするシステムでは、アラート

を発生させたイベントに影響を与えるほど迅速に応答できる可能性はほとんどありません。

サイバー自動防御システムには、攻撃や異常な振る舞いに対してリアルタイムで反応できる能力が求められます。また

ポリシーの強制適用は、分析システムからのフィードバックが受信され次第、すぐにそれを実装できるようにすること

が必要です。サイバー自動防御システムは、すべてのアクションを承認するようオペレーターに要求することはありま

せん。実行されたすべてのアクションについて、オペレーターと監督システムに通知されるべきですが、多くのレスポ

ンスについては必須ではありません。

しかし、極端なイベントやアクションを考慮する必要があるファジー要因があるかもしれないため、完全なる自律シス

テムの開発とはなりません。特定の応答アクションではオペレーターの承認が必要となります。サイバー自動防衛シス

テムの目的は、運用チームが自動化されたサイバー攻撃に迅速かつ効果的に対応できるようにすることです。

振る舞い抑制

今日のセキュリティポリシーテクノロジーの課題の 1 つは、エンドポイントトラフィックに関して一般的にバイナリで

あることです。振る舞い抑制は、同一の送信元アドレスから発生するトラフィックに影響を与えることなく、特定の ID

による動作をフローごとに抑制あるいは制限する機能です。適切なフローと疑わしいフローは、同じエンドポイントか

ら発生している、または発生しているように見えます。適切なフローは正常に処理され、不適切または疑わしいフロー



は代替リソースにリダイレクトしたり、追加の検査を適用したり、必要に応じてトラフィックフローを操作したりする

ことによって、適切に制限されます。

デバイスからの一部のフローが制限されている場合でも、それ以外のものについては正常な動作を許可するため、継続

的なオペレーションが可能です。この振る舞い抑制を今日のデバイスと比較してください。今日のデバイスは感染また

は選択されたデバイスが修復されるまでブロックまたは隔離を行います。つまり、正常な状態に復元されるまでアクテ

ィビティを実行することができません。制約された動作環境では、他の機能や関連するトラフィックフローが制約され

ている間に、不正アクセスを受けたデバイスがいくつかの機能を実行することがあります。

侵害されたデバイスの解放は、侵害されたデバイスによる継続的な動作よりも重大な影響を与えることがあります。共

有リソースが信頼できるシステムと信頼できない（または危険にさらされている）システムの両方で使用されている場

合、これは特に重要です。VM 環境を例に考えてみましょう。侵害されたゲストが隣接するゲストも侵害した可能性が

あるとします。隣接するすべてのゲストを終了させるべきでしょうか。それとも、アクション範囲の制限はありつつも、

操作の継続を許可するべきでしょうか。


ネットワークトポロジー（ネットワークがどのように動作し、パケットをルーティングするか）は輻輳や接続障害に応

じて変更されます。今日のサイバー防衛アプローチには、このネットワークトポロジーとポリシーを結び付けるものが

多くあります。一般的な例として、ルーターのアクセス制御リスト（ACL）とファイアウォールの規則が挙げられます。

どちらもネットワークアドレスに基づいてポリシーを使用していますが、変更の可能性があるため、ポリシーの有効性

を維持するには基盤となるネットワークとの調整が必要となります。また、時間要素もあります。ネットワークが変化

している間、トポロジーベースのポリシーは古いトポロジー情報に基づいてインスタンス化され、ダメージを引き起こ

すかもしれないセキュリティポリシーをレンダリングする可能性があります。クラウドや SDN 展開が含まれる場合、ネ

ットワークの大部分がサードパーティまたはオーケストレーションシステムの管理下に置かれ、トポロジーの調整がさ

らに難しくなります。

クラウドコンピューティングの出現によりネットワークのトポロジーは絶えず変化しており、それに伴ってセンサーも

変化が必要とされます。クラウドオーケストレーションのインフラストラクチャに対して透過的に動作するよう、セン

サーは基盤となるクラウドインフラストラクチャに組み込む必要があります。

サイバー自動防衛のポリシーは、基盤となるネットワークから独立して機能しなければなりません。そのため、正しい

動作に向けてトポロジーの知識を得たり、調整したりする必要はありません。


モノのインターネット（IoT）において、ネットワークへの接続デバイス数は 2020 年までに 200 億から 500 億に達す

ると推定されています。これは人口を大きく上回る数です。この膨大なデバイスすべてを管理する唯一の方法は、優れ

たスケーラビリティを持つ自動化システムを使用することです。

計算効率の高いアルゴリズムの使用や分散アーキテクチャの使用など、スケーラビリティはいくつかの形式で有効にす

る必要があります。計算効率の高いアルゴリズムを使用すると、ブラックリスト化された振る舞いのカタログに対して、

ホワイトリスト化された認証 ID の使用が増加する可能性があります。ディープパケットインスペクションやスケーリン

グが不十分な他のテクノロジーに依存しないことは、この取り組みをアシストします。また、デバイス数の増加を受け



て正しい動作の検証と認証を向上させる分散アーキテクチャもアルゴリズムの効率化に役立ちます。スケーラビリティ

のアーキテクチャは、2020 年に推定される 500 億というデバイス数ではなく、何兆という数のデバイスのサポートに

ついて考えていく必要があります。

効率的でスケーラブルなアルゴリズムのもう 1 つの利点は、エンタープライズ管理のデータセンター、サードパーティ

のクラウドプロバイダー、リモートオフィス、モバイルデバイスなど、さまざまな環境におけるポリシーを監視してサ

イバートラフィックと振る舞いに適用できることです。これにより、ネットワーク型、エンドポイント型、クラウドお

よびレガシーシステムなど、複数の展開モデルが可能になります。

スケーラビリティは、ポリシーを作成する分析エンジンにも適用されなければなりません。サイバー自動防衛システム

は、さまざまなセンサーと、意思決定機能を備えた複数の分析システムに対応する必要があります。これを可能にする

全体的なフレームワークには、プライマリ分析結果のモニタリングおよび調整機能を備えた分析システムの階層があり

ます。

サイバー自動防衛の実現

サイバー防衛の自動化には多くの課題がありますが、情報、分析、応答、この 3 つのタイプのコンポーネントで実装す

ることができます。情報コンポーネントはサイバーシステム内のさまざまなセンサー、分析コンポーネントはさまざま

なセンサーから提供された集約情報に基づいて決定を下すもの、そして応答コンポーネントは分析コンポーネントによ

って指定されたポリシーを実装するものです。これは、多入力多出力（MIMO）構成における古典的な防衛理論に類似

しています。下表は、サイバー自動防衛に必要な特性と各コンポーネントの対応表です。

情報分析応答

バウンデッド・オペレーション X X X

応答性 X X

振る舞い抑制 X X

トポロジー非依存 X X X

優れたスケーラビリティ X X X

情報コンポーネント

情報コンポーネントはすべてセンサーに関するものです。センサーには特定の許容範囲内の情報を提供するキャリブレ

ーションがあり、既知のレベルのデータの正確性を提供します。センサーは異なる公差レベルで異なる情報を生成する

ことがあり、受信分析システムは報告された各測定に適用する公差を理解しておく必要があります。これにより、制限

された操作に対してセンサーが必要な入力を提供できるようになります。

ネットワークの観点から見ると、センサーは基盤となるネットワークトポロジーから独立して動作し、ネットワークト

ラフィックを配置の観点から報告することが求められます。同時に、物理的なセンサーの削除や再配置を防ぐため、物

理的に保護することが重要です。エンドポイントにセンサーが配置される場合は、ホストに対して暗号で保護します。

各センサーが簡単に認証できる一意の ID を持つことで、信頼できる測定値の提供が可能になります。ID 認証により分

析システムは不明なセンサー、非認証センサー、両方を識別することができます。



ある程度センサーが内部処理能力を持っている場合もあります。インテリジェントセンサーは複雑な信号を検出し、よ

り高いレベルの分析システムに通信する前にフィルター処理できるよう、ローカルの分析機能を持っています。インテ

リジェントセンサーを配置する際の課題は、センサー自体に脆弱な新しい攻撃面がないことを保証できるように設計、

実装しなければならないことです。センサーの内部データを含むすべてのデータを攻撃から保護しなければなりません。

センサーとセンサーデータは簡単に認証され、データを効率的に収集し、分析システムに安全に伝達する必要がありま

す。多数のセンサーのスケーラビリティに対処するために、中間センサー集約ポイントでデータを集約して前処理を行

います。これは主に、分析システムによって直接取り込まれるべきセンサーデータの量を制限するために行われます。

ほとんどのセンサーは、センサー自体にサポートされているインターフェイス帯域幅によって決定されるレポートの上

限を持っています。

分析コンポーネント

分析コンポーネントは、さまざまなセンサーから提供された情報に基づいて決定を下すもので、単一の分析エンジン、

または異なるセンサーおよび異なる出力を持つ分析エンジンの集まりです。分析コンポーネントは、各センサーのスコ

アリングや重み付けも考慮する必要があります。また、分析システムはトポロジー情報だけに頼ってはいけません。

分析コンポーネントは、時間の経過とともに相関、分析、統計データを提供します。ほとんどの場合センサーはステー

トレスであり、応答コンポーネントは分析コンポーネントのスレーブです。持続性、状態、およびベースラインの振る

舞い情報を長期にわたって維持するのは分析コンポーネントです。

報告された情報を適切に分析するために、分析コンポーネントには関連するセンサーのインベントリと各センサーの許

容値が必要となります。各情報コンポーネントの許容値により、ソースセンサーの ID と真正性、ソースセンサーの位置、

送信元センサーが生成する情報の品質に基づいて生成されたデータのスコアリングまたは重み付けが可能になります。

各センサーによって提供されるこのローデータは、スコアリング情報とともに、分析コンポーネントが決定を下すため

に使用されます。

異常な振る舞いが検出されると、分析コンポーネントは影響を受ける 1 つまたは複数のトラフィックフローのターゲッ

ト範囲や振る舞い抑制など、応答するコンポーネントにポリシーの変更を送信します。ターゲティングの範囲は適切に

指定できます。情報が少なく価値の高いデジタル資産へのリスクが高い場合、「財務グループ内のすべての ID」など広

範なターゲットを指定できますが、多くの情報が学習されるにつれて、より狭く指定することができます。

また、分析コンポーネントは階層的に配置することができ、システム全体の動作を容易に拡張できます。例えば、ロー

カルセンサーがローカル分析コンポーネントとローカル応答コンポーネントを持っていた場合、分析コンポーネントが

生成した情報はより高度な分析コンポーネントに伝達され、そこから応答制御情報を受け取ります。このモデルは階層

構造を形成するために繰り返され、各分析コンポーネントは、より高度な分析コンポーネントに対する情報および応答

コンポーネントとしても機能するようになります。

応答コンポーネント応答コンポーネントは、定義されたサイバーセキュリティイベントを認識し、分析コンポーネントの管理下でアクショ

ンを実行します。セキュリティイベントは、特定のアドレス、物理インターフェイス、または特定 ID から発生するネッ



トワークトラフィックです。ここでは、応答コンポーネントは分析コンポーネントと同一の特異性により、トラフィッ

クを狭い範囲でターゲットにできる能力を持っていると仮定します。ID など認証可能な要素に基づいてトラフィックを

ターゲットにすることで、バウンデッド・オペレーションとトポロジー非依存、両方が実現されます。また、アクセス

権限やコントロール権限が制限されたリソースなどの代替ネットワークリソースにトラフィックをリダイレクトできる

ようにすることで、振る舞い抑制が可能となります。

ネットワークトラフィックに直接影響を与えるため、応答コンポーネントは最も保護が必要となるコンポーネントであ

り、分析システムからの信頼できる認証された通信にのみ応答することが重要です。応答コンポーネントは帯域外通信

を介して応答されるネットワークトラフィックの観点から伝達されることが理想的です。帯域外通信は物理的または暗

号的に実装される場合がありますが、すべてにおいて、応答コンポーネントはクローキングおよびレスポンシブ通信チ

ャネルを確立するための非対話型認証プロトコルの使用を含め、攻撃の可能性を最小限に抑えることが推奨されます。

階層型環境では、応答コンポーネントを分析コンポーネントと組み合わせることができます。応答情報が応答コンポー

ネントに送信されると、緊密に結合されたローカル分析コンポーネントにも影響します。応答コンポーネントは通常セ

ンサーコンポーネントであり、一致するネットワークトラフィックの存在で応答性の高いタスクを実行したときにレポ

ートし、分析コンポーネントに追加情報を提供します。

自動化に向けたシステムアプローチ

上記すべての特性をシステムアプローチとともにまとめることが必要です。正しく機能するサイバー自動防衛システム

は決して偶然に構築できるものではなく、綿密な構想、設計、実行が求められます。フィードバックを提供する分析シ

ステムは存在するセンサー情報の品質に合わせて調整しなければなりません。これらの特性を有し、適切に実装されて

いるならば、サイバー自動防衛システムを実現することができます。

サイバー自動防衛システムの構築には多くのシステム面があります。既存のセンサーを使用する従来の SIEM システム

とは異なり、適切なサイバー自動防衛システム内のセンサーはカバレッジを保証するよう設計されている必要がありま

す。この設計には、最適な数のセンサーと配置場所が含まれます。また、冗長なセンサーを配置する必要がある場所、

センサー喪失による情報の劣化とバックアップセンサーのコストも含まれます。このシステムアプローチは応答コンポ

ーネントにも適用されます。最適な数の応答部品およびそれらの配置場所を含め、また対応するコンポーネントの障害

と冗長性にも対処する必要があります。

システムアーキテクチャ

ネットワークには集約ポイントがありますが、エンドポイントとアプリケーションにはそれぞれ特定のエンドポイント

とアプリケーション宛のトラフィックしか見えません。しかしネットワークの信頼性と冗長性の影響により、ネットワ

ークが信頼性の高いチョークポイント、そしてポリシー・エンフォーサーになることはありません。したがって、これ

らのアプローチはネットワークとエンドポイント両方に常駐するコンポーネントを持つハイブリッド展開で、ネットワ

ーク型、エンドポイント型両方の展開をサポートするように設計する必要があります。

加えて、ID ベースのポリシー、振る舞いベースのポリシー両方を使用する別のハイブリッドの側面があります。ID ベ

ースのポリシーは、規則と権限の枠組みの中で強力な認証と実施を可能にします。ですが、ID を単独で使用しても与え

られた権限内で IDが悪用されることには対処できません。また、IDの紛失や盗難に対処することもできません。



分析システムにアクティビティ報告しているセンサーと認証 ID を組み合わせることによって、分析システムはその振る

舞いが適切な ID に正しく起因しているという高い信頼を得ることができます。分析システムによって偏差が決定される

と、その特定の ID にのみ影響する応答コンポーネントにポリシーの変更が送信されます。これは分析システムにレポー

トされている高品質のセンサーデータ（ID）の例です。分析システムは異常を検出し、対象を絞って更新されたポリシ

ー情報を送信することによってポリシー変更を引き起こし、特定の IDのみに影響を与えます。

自動化のまとめ

サイバー防衛の自動化は実現可能な目標です。フォールスアラームでセキュリティオペレーターに負担をかけず、また

ユーザーのタスク実行を妨げることのない方法で達成することができます。次のセクションでは、実現に向けて

BlackRidgeテクノロジーの製品をどのように活用することができるか、分析を含めてご紹介します。

BlackRidgeを使用したサイバー自動防衛

BlackRidge 製品は TCP/IP セッション確立前に認証を行うことで、既知、未知両方の攻撃に対するキルチェーンを阻止

します。さらに、TCP/IP セッションの認証では、ネットワークリソースへのアクセスを許可する前に ID アトリビュー

ションが有効になります。

BlackRidge 製品はトランスポート・アクセスコントロール（TAC）と呼ばれる技術をベースにしています。TAC は、

暗号化された ID トークンを使って TCP/IP セッションを認証し、各セッションの確立前にセキュリティポリシーを実行

します。すべての TCP/IP セッション確立時に安全に ID 情報を送信し、いかなるレスポンスも許可する前にその ID を

認証します。インターネットを支える TCP プロトコルでは、TCP セッションが完全に確立されて重要なリソースが公開

されるまで ID 資格情報を交換することはできません。TAC は TCP を強化してこの脆弱性を排除し、ネットワーク偵察、

ポートスキャン、その他あらゆる形態の不正アクセスから保護したネットワークリソースを効果的に隠します。

TAC はすべての TCP/IP ベースのアプリケーションと連携可能です。また既存のネットワークおよびセキュリティイン

フラストラクチャとの互換性を持ち、すべての規格に準拠した TCP/IP 機器ベンダーのネットワーキング、およびセキ

ュリティ機器と相互運用が可能なため、これまでの投資を活用することができます。また、すべてのネットワークデバ

イスを TAC 対応にする必要はないため、移行と導入を簡単に実施することができます。さらに、TAC を使用すること

で、基盤となる機器技術やベンダーに関係なく、複数の独立した管理ドメイン間で IDをやり取りすることができます。

サイバー自動防衛の必須要件と TAC

サイバー自動防衛の 5 つの要件に対して、BlackRidge TACがどのように対応しているか見てみましょう。


応答性

振る舞い抑制






認証 ID をセンサーと応答操作両方のプライマリオブジェクトとして使用することで、TAC によるバウンデッド・オペ

レーションが実現します。エラーを許容レベルに制限し、センサーデータとターゲットの絞り込みを向上させることに

よって、バウンデッド・オペレーションに向けた２つのアプローチに対処します。

TCP/IP セッション情報とともに認証済み ID 情報というかたちで属性情報を分析システムに提供し、センサーデータを

向上させます。これは、属性情報を分析システムに提供できる最も早いタイミングです。さらに、TAC は提供されてい

る属性情報に対する統計的信頼性を提供することが可能です。信頼性の観点からは、属性情報は従来の TCP/IP セッシ

ョン情報のみの場合よりも高品質です。TCP/IP セッションのアドレスは簡単になりすましが可能であり、セキュリティ

ポリシーに対して正式に使用されるべきではないからです。TAC を使用したサイバー自動防衛システムでは、TAC が提

供するセンサー情報は属性情報を含み、よって属性情報を含まないセンサー情報よりもスコアが高くなります。きめ細

かいアプローチで、属性情報のスコアリングに統計的信頼性を組み込むことができます。

また、送信元 IP アドレスの代わりに ID を使用することで、ターゲットの絞り込みを可能にします。複数の ID が単一

の IP アドレスから発生している、または発生しているように見える場合があります。これは、ネットワークアドレス変

換（NAT）を使用するプロバイダーネットワークや、単一 IP スタックとアドレスを共有している複数のコンテナを使用

するシステムに ID が集中している場合に発生します。ターゲティングが送信元 IP アドレスに基づいている場合、影響

を受けるターゲットは必要以上に広くなる可能性があり、目的である悪意あるトラフィックをブロックすると同時に、

信頼性の高いネットワークトラフィックに対してもブロックを行います。

応答性

TAC には分析システムにアクセス可能な応答機能、トラストフィードバックがあります。トラストフィードバックを使

用すると、分析システムは ID または ID グループの信頼レベルを変更することができます。信頼レベルは、特定の ID

または ID グループに対して許可される権限の量のスコアです。信頼レベルは最高（多くの権限）から最低（最小限の権

限）の順になっています。各信頼レベルに割り当てられたポリシーは、提供された権限とそれらが許可するリソースア

クセスを記述します。ポリシーは信頼レベルとの関連で事前定義されているため、ID または ID グループの信頼レベル

を動的に変更すると決定論的な動作になります。

トラストフィードバックの例：

チャーリーは TAC の使用により各 TCP/IP セッションに挿入される ID を持っています。チャーリーが属しているファ

イナンスグループは「高信頼」で動作しており、ファイナンスサーバー、企業の電子メールサーバー、開発サーバー、

企業が銀行取引を開始するために使用されるサーバーにアクセスする権限を持っています。TAC が認証したすべての

TCP/IP セッションは、他のサイバーセキュリティシステムのセンサーも使用する分析システムに送信されます。普段チ

ャーリーは開発サーバーにアクセスしませんが、分析システムは今日、チャーリーが異常な方法で開発システムにアク

セスしていることを検出しました。分析システムは、チャーリーの信頼レベルを「高信頼」から「中程度の信頼」に変

更し、トラストフィードバックを通して変更内容を TAC システムに伝えます。「中程度の信頼」でアクセスできるのは、

ファイナンスサーバー、企業の電子メールサーバー、開発サーバーです。銀行取引開始のために使用されるサーバーに

はアクセスできません。分析システムが変更したのはチャーリーの信頼レベルのみで、ファイナンスグループ全体の信

頼レベルは変更されていません。これにより、チャーリーのみがコーポレートバンキングサーバーへのアクセスをブロ

ックされますが、ファイナンスグループの他の許可された人は、引き続きアクセスすることができます。



「高信頼」および「中程度の信頼」のポリシーは、システムに対して事前設定されています。この例では、オペレータ

ーの介入や承認なしに動作の変更が自動的に行われており、自動防衛システムが攻撃や異常な行動に対してリアルタイ

ムで対応している様子を示しています。分析システムからトラストフィードバックを介してポリシー変更情報を受信す

ると、TACによるポリシーの強制適用が直ちに実行されます。

振る舞い抑制

TAC は広範囲で「許可」または「ブロック」のポリシーオプションを許可することで、振る舞い抑制を実現します。ポ

リシーは TCP/IP セッションを代替リソースにリダイレクトすることもできます。代替リソースは権限が縮小されたサ

ーバーです。縮小された権限の例として、読み取り/書き込みアクセスではなく、読み取りアクセスだけを持つデータベ

ースがあります。代替リソースは、与えられた ID の振る舞いや意図についてより多くの情報を集めるように設計された

ハニーポットだったり、修復サービスだったりします。

上記のチャーリーの例：

「中程度の信頼」に対する代替ポリシーでは、企業の銀行取引を開始するために使用されるサーバー宛てのアクセスは、

トランザクションが記録されたが実行されなかった代替サーバーに送信されます。これにより、本当の宝物を危険にさ

らすことなく、安全なサンドボックス内の取引を監視することができます。信頼がある他の人による操作は、コーポレ

ートバンキングサーバーによって通常通り処理することができます。


サイバー自動防御ポリシーは、基盤となるネットワークから独立して機能する必要があるため、トポロジーに関する知

識や調整は必要ありません。

従来の多くのセキュリティツールは送信元 IP アドレスに基づいていますが、TAC は ID に基づいてポリシーを実装しま

す。これにより TAC はネットワークトポロジーとは無関係に動作することができ、ソース IP アドレスが動的に割り当

てられる場所で動作することができ、またオフィスやキャンパスなど複数の場所からユーザーが操作するときにも動作

が可能になります。

ネットワークトポロジーから独立して動作するだけでなく、ネットワークトポロジーの変更との調整も必要としません。

これは、IP アドレスを使用してセキュリティポリシーを決定するシステムよりも明らかに優れています。トポロジーに

依存するシステムの例としては、ルーターのアクセス制御リスト（ACL）やファイアウォールの規則などがあります。

どちらもネットワークアドレスに基づいてポリシーを使用していますが、変更される可能性があり、ポリシーの有効性

を維持するためには基盤となるネットワークとの調整が必要です。また、時間要素もあります。ネットワークが変化し

ている間、トポロジーベースのポリシーは古いトポロジー情報に基づいてインスタンス化され、ダメージを引き起こす

かもしれないそれらのセキュリティポリシーをレンダリングする可能性があります。クラウドや SDN 展開が含まれる場

合、ネットワークの大部分がサードパーティまたはオーケストレーションシステムの管理下に置かれ、トポロジーの調

整がさらに難しくなります。




BlackRidge の TAC 製品は 1 億を超えるトークンで分析されており、また何百万もの同時 TCP/IP セッションを処理し

ます。この数は単一の BlackRidge TAC インスタンスのものです。複数の TAC インスタンスなら、任意の大規模な ID

数をサポートすることができます。

TAC 製品は物理ネットワークアプライアンス、クラウド展開用のソフトウェアインスタンス、および OEM 向けの統合

ソフトウェアモジュールとして提供されており、企業が管理するデータセンター、サードパーティのクラウドプロバイ

ダー、リモートオフィス、モバイルデバイスなど、さまざまな環境で監視およびサイバーポリシーの実施を可能にしま

す。これにより、ネットワーク型、エンドポイント型、クラウドおよびレガシーシステムなど、複数の展開モデルが可

能になります。

分析システムの統合

BlackRidge TAC 製品は、高品質の情報センサーと応答行動の抑制を提供します。BlackRidge はビッグデータや行動分

析ソリューションは提供していませんが、代わりに、従来のセキュリティ情報およびイベント管理（SIEM）システム、

行動システム、および知識ベースシステムなど、さまざまな分析システムと統合するように設計されています。

信頼できる属性情報を規格準拠のフォーマットで提供するため、分析システムが BlackRidge センサー情報を取り込む

のは簡単です。また、RESTful インターフェイスを使用する BlackRidge トラストフィードバックによって、制約のあ

るレスポンシブ動作を簡単に実装できます。このアプローチにより、サイバー自動防衛の展開に最適な分析システムを

柔軟に選択することができます。

まとめ

BlackRidge TAC は、フォールスアラームでセキュリティオペレーターに負担をかけず、またユーザーのタスク実行を

妨げることのない方法でサイバー自動防衛を実現可能なものにします。そして、信頼できる帰属情報を分析システムに

送信し、即応性のある抑制行動のための決定論的メカニズムを提供します。多数の脅威や攻撃からの保護、複数ベンダ

ーのネットワークおよびセキュリティ機器との相互運用性、集中型または分散型ポリシーの提供、複数の同時管理ドメ

インのサポートとスパン、そしてあらゆる展開における強力な認証 ID を提供します。TAC は、さまざまなハードウェ

ア、仮想プラットフォーム、および組み込みプラットフォームに移植されるように設計されたソフトウェアです。

サイバー防衛の自動化 - BlackRidge Technology · 2019-01-07 ·...

Documents

Transcript of サイバー防衛の自動化 - BlackRidge Technology · 2019-01-07 ·...