より詳細なネットワークの可視化を求めるゼロトラストアーキテクチャーについて、NISTが新たなガイドラインを発表

9月23日、米国の国立標準技術研究所(NIST: National Institute for Standards and Technology) が、ゼロトラストアーキテクチャー(ZTA) に関する草案(NIST SP 800-207) を発表しました。

NISTは、その目的について「どんな企業もサイバーセキュリティリスクを完全に排除することはできません。ZTAを既存のサイバーセキュリティポリシーやガイダンス、ID管理やアクセス管理、継続的な監視、さらに全般的なサイバー・ハイジーンによって補完することで、全般的なリスクを軽減し、一般的な脅威から自社を保護できるようになります」としています。

Vectra AI社では、NISTが今回発表した草案やその考え方を歓迎しています。特にゼロトラストアーキテクチャーの強化に向けたネットワークの可視化の重要性については、これまで当社が提唱してきた内容と多くの共通点があります。

この50ページに及ぶドキュメントでは、複数の導入モデルやユースケースが紹介されていますが、当ブログでは、ZTAに関する2つの重要な点、つまりトラフィック復号化の優先度を下げ、ホストの範囲を超えた監視を行うことについて着目したいと思います。

トラフィック復号化の優先順位を下げる

現代の企業ネットワークは、モバイルおよびリモートユーザーの増加やクラウドサービスの拡大によって、大規模かつ急速な変化を余儀なくされています。

さらに企業のIT環境については、自社が所有する以外のシステムやアプリケーションへの依存度がますます高まっています。

このようなサードパーティのシステムやアプリケーションの多くは、パッシブな監視に対する耐性を備えています。そのため、ほとんどの場合、暗号化されたトラフィックの検査やディープ・パケット・インスペクション（DPI）は実行不可能です。

この結果、侵入検知ツール(IDS: intrusion Detection System) のような、オンプレミス環境上のエンドポイントの可視化を主な手段としたトラディショナルなネットワーク分析ツールは、急速に時代遅れになっているのです。

しかしNISTは、「但し、企業はネットワーク上の暗号化されたトラフィックを分析できないということではありません。企業は、暗号化トラフィックのメタデータを収集し、それを使ってネットワーク上で通信を行う可能性のあるマルウェアや活動中のアタッカーを検知することができます。機械学習を活用することで、復号化や検査が不可能なトラフィックについても分析が可能となるのです」と指摘しています。

以前説明したように、Vectra AI社が提供するプラットフォームは、脅威の検知にあたってトラフィックの復号化に依存することはありません。

その理由は、以下に示すいくつかの重要なポイントに集約されます。

1. パケットを復号化しても、そこからは何も得ることはできません。脅威の検知に必要な全ての情報は、トラフィックとメタデータそのものによって決まります。
2. トラフィックの復号化は容易ではありません。HTTP公開鍵ピンニング（HPKP: HTTP Public Key Pinning）などのセキュリティ拡張が、トラフィックの検査をより困難なものにしています。
3. アタッカーのトラフィックに関する復号化は不可能です。アタッカーが鍵を使用することはありません。

ZTAの実装を成功させるためには、これらの代わりに暗号化されたトラフィックのメタデータを収集し、機械学習を使用してネットワーク内のマルウェアまたはアタッカーの悪意のある通信を検出できる、最新のネットワーク検知と対応（NDR: Network Detection and Response）ソリューションが必要になります。

全てのユーザーとシステムの振る舞いを可視化

ゼロトラストアーキテクチャーの基本は、特権がネットワーク上でどのように使用されているかを監視し、その振る舞いに基づいてアクセスを継続的にコントロールするというものです。

DHSは、これを「継続的な診断と緩和(CDM: Continuous Diagnostics and Mitigation) と呼んでいます。

しかし、CDMの実施においては、ホストの監視だけでは十分と言えません。

CDMでは、次のような質問に対する明確な回答が必要になります：

• どのデバイスやアプリケーション、そしてサービスがネットワークに接続し、ネットワークで使用されていますか？
• どのユーザーやアカウント（サービスアカウントを含む）がネットワークにアクセスしていますか？
• ネットワークを介して、どのようなトラフィックパターンやメッセージが交換されていますか？

繰り返しになりますが、これらの回答を用意するためには、ネットワークの可視化が不可欠です。

企業は、ネットワーク上の全ての関係者とコンポーネントを可視化し、脅威の監視と検知を行う必要があります。

実際に、NISTのレポートにもあるように「ZTAの成功には、強力なCDMプログラムが重要」になるのです。

ZTAを成功に導く基盤となるVectra Cognito

Vectra AI社のプラットフォームは、米国国土安全保障省のCDM承認製品としてリストされる、人工知能（AI）を使用した米国唯一のFIPS準拠NDRです。

ディープラーニングとニューラルネットワークが搭載されたAIが、ネットワークトラフィックやログ、さらにクラウドイベントを継続的に監視して、大規模なインフラストラクチャーを可視化します。

Vectra AI社が提供するCognitoプラットフォームは、データセンターやクラウドなど、全てのエンタープライズトラフィックで発生する高度な攻撃を検知することができます。

これは、全てのパケットからメタデータを抽出することによって可能になります。

ネットワーク上でIPを使用する全てのデバイスを検知およびトラッキングすることで、サーバーやラップトップ、プリンタ、BYODやIoTデバイス、さらに全てのオペレーティングシステムやアプリケーションを可視化することができます。

Cognitoプラットフォームは、プラットフォーム内の全てのIDをホストと同じ基準でスコアリングします。

これにより、あらかじめ与えられた権限ではなく、システム内で実際に観察された権限を確認することができます。

Vectra AI社では、ZTAのキーとなる要素としてNDRソリューションの重要性を強調したNISTの考え方は、称賛に値すると考えています。

Vectra AI社は、最新のセキュアなアーキテクチャーを実装する過程で、あらゆる企業に対してターンキー型のNDRソリューションを提供できることを誇りに思っています。

詳細については、インタラクティブなデモをご覧いただくか、製品ページをご覧ください。

‍

‍