< ブログ一覧へ戻る

信ぜよ、されど確認せよ (Доверяй, но проверяй)

Vectra Threat Labs
著者
Vectra Threat Labs
2019年9月16日

ロシアの格言「信ぜよ、されど確認せよ(Доверяй, но  проверяй)」は、米国のロナルド・レーガン大統領が旧ソ連との核戦力全廃条約の調印式で引用した言葉として知られています。

それ以降、この言葉は政治の場以外でもよく引用されるようになりました。本質的に、絶対的な確信が持てない際に「信頼する」という言葉が使われます。しかし、実際にビジネスを成功させるためには、多くの場合、信頼の幅を広げる必要があります。

情報セキュリティの世界で使われる「ゼロトラスト」というコンセプトは、ここ数年で大きく業界内で広がり、ホットなトピックになっています。基本的にゼロトラストアーキテクチャーは、ネットワークの全エンティティを信頼せず、エンティティが特定のリソースに対するアクセスについて認証または許可を受けていない(つまり信頼されない)限り、いかなるリソースへのアクセスも許可しないというものです。

しかし、ネットワーク内のサイバー攻撃者は、認証情報の盗難や特権昇格、あるいはポリシーの設定上の誤りを悪用し、その拡張された信頼性を使って容易にリソースへアクセスできるため、タイムセキュリティゲートに対する一点集中型のアプローチには根本的な欠陥があります。これは、今年の始めに米国のボルチモアとノースカロライナ州グリーンビルが攻撃を受けた、RobbinHood ランサムウェアを見ても明らかです。

ガートナーは「セキュリティやリスク管理の責任者は、常にどこでもセキュリティを適応できる、戦略的アプローチを採用する必要がある」と述べています。ガートナーでは、この戦略的アプローチを「継続的に適応するリスクと信頼性のアセスメント (CARTA: Continuous  Adaptive Risk and Trust Assessment) 」と呼び、「CARTA による戦略的アプローチによって、リスクや信頼性が常に変化するデジタルビジネス環境に対応できるアーキテクチャーを構築し、最初に評価を実施した後も、継続的に評価を行っていくことが求められる」としています。

さらに、「システムやデータに一度侵入を許してしまうと、ユーザーやアプリケーションプロセス、マシンといったエンティティが、システムやデータとのやり取りを始めるため、これら全てを監視し、その信頼性を評価する必要がある」と説明しています。

これは信頼モデルにおける「されど確認せよ」に該当する部分です。信頼性が低下し、リスクが増加して一定のしきい値を超えた場合、その状況に応じて拡張機能への対応とアクセスが適応されなければなりません。最終的に、実際に発生している、変えようのない真実を保持することができるのは、ネットワークに他なりません。

最近アップデートが行われた Cognito プラットフォームには、Privileged Access Analytics (PAA、特権アクセス分析)と呼ばれる機能が備えられ、CARTA フレームワークに対しても上手く対応できます。PAAでは、ユーザー、ホスト、そしてサービスの動きを継続的に監視します。

しかし Cognito プラットフォームでは、エンティティに与えられた特権に依存したり、特権に捕らわれるのではなく、エンティティがネットワーク内で特権をどのように行使したか、つまり実際に観察された結果に焦点を当てています。

このような見方は、攻撃者が攻撃を続ける前にエンティティ間のやり取りを観察したり推測する方法に類似しています。この結果、Cognitoは、ユーザー、ホスト、およびサービスの特権レベルを継続的にリアルタイムで評価し、脅威スコア、確実性、リスクの優先順位付けを行うことができるようになります。現在PAA は、Cognito  Stream、Cognito Detect および Cognito  Recall といった Cognito プラットフォーム全体で利用することが可能になっています。

Cognito プラットフォームでは、PAA に加え、ホストの継続的な監視によって、内部偵察やラテラルムーブメント、さらにデータの持ち去りを行っているホストなど、ネットワークレベルでの異常な事態を特定します。Cognito と PAA を組み合わせることで、クラウドから企業に至るまで、全てのトラフィックに対する完全な可視性を提供できる優れた機能を実現することができます。

Vectra AI社の PAA に関する詳細については、ソリューション概要をご覧いただくか、Vectra  AI社の営業までお問い合わせください。

* Gartner, “Seven  Imperatives to Adopt a CARTA Strategic Approach,” Neil MacDonald, 10 April  2018

脅威検知とレスポンスのプラットフォーム

ハイブリッドおよびマルチクラウド環境向け

Attack Signal Intelligence を活用して、既知および未知の脅威をリアルタイムで検知、追跡、調査することで、セキュリティチームは可能な限り早い段階で攻撃を特定し、侵害となる前に阻止できるようになります。

Vectra MDRサービス
Vectra TDRプラットフォーム
パブリッククラウド
AWS向け脅威検知
SaaS
Microsoft 365
向け脅威検知
アイデンティティ (ID)
Microsoft ADとMicrosoft Azure向け脅威検知
ネットワーク
オンプレミスとクラウ
ドネットワーク向け
脅威検知
Attack Signal Intelligence™
セキュリティAI駆動型検知
セキュリティAI駆動型トリアージ
セキュリティAI駆動型優先順位付け
AIを活用した運用
Integrated Investigations (統合調査)
Workflow Automation (自動化ワークフロー)
Targeted Response (ターゲットレスポンス)
Vectra
エコシステム
コンテキスト、
ワークフロー、
レスポンスのための統合
ファイアーウォール
クラウドサービス
クラウドアクセス
トラフィックの最適化
EDR
SIEM
ITSM
SOAR
プラットフォームの詳細

© 2023 Vectra AI, Inc. All rights reserved.