RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する
信頼ゼロ

NISTのゼロトラスト・アーキテクチャが復号化を必要としなくなった理由

2021年1月14日
Jonathan Barrett
MXDRセキュリティ・アナリスト
NISTのゼロトラスト・アーキテクチャが復号化を必要としなくなった理由

NISTのゼロトラスト・アーキテクチャ・モデルとNDR

「ゼロトラスト(ZT)とは、リソース保護に焦点を当てたサイバーセキュリティのパラダイムであり、信頼は決して暗黙のうちに付与されるものではなく、継続的に評価されなければならないという前提である。
- NIST

昨年、米国国立標準技術研究所 (NIST) が公表したゼロ・トラスト・アーキテクチャ(NIST SP 800-207) またはZTAの草案について書いた。また最近、ネットワーク検知とレスポンス (NDR) がNIST ZTAの不可欠なコンポーネントである理由についても取り上げた。

暗号化されたトラフィックやSaaS(Software as a Service)アプリ、非企業所有の資産(企業のインフラを使用してインターネットにアクセスする契約サービスなど)が広く採用されているため、ディープ・パケット・インスペクション(DPI)に依存する監視ソリューションでは、ネットワーク上の攻撃者の可能性を評価するのに苦労することになる。

しかし、NISTが指摘しているように、「だからといって、企業がネットワーク上で目にする暗号化されたトラフィックを分析できないわけではない。企業は暗号化されたトラフィックに関するメタデータを収集し、それを使ってネットワーク上で通信しているアクティブな攻撃者やマルウェアの可能性を検知することができる。機械学習技術は...復号化して調べることができないトラフィックを分析するために使うことができる。

NISTによれば、復号化すべきではない理由

私たちは、 検知 の脅威に対して復号化に頼る必要はないこと、そしてトラフィックを検査するために復号化することがなぜ賢明でないアプローチなのかを書いてきた。実際、私たちは長い間、すべてのものを暗号化することをお客様に推奨してきました。

根本的には、いくつかの重要なポイントに行き着く:

パケットを解読しても何も得られない

NISTが指摘するように、脅威の検知に必要な情報はすべて、トラフィックとメタデータそのものに機械学習を適用することで判断できる。

トラフィックを解読することはますます難しくなり、この技術に依存するソリューションもますます難しくなる。

TLS 1.3 と、HTTP 公開鍵ピン留め(HPKP)、HTTP ストリクト・トランスポート・セキュリティ(HSTS)、DNS over HTTPS(DoH)、暗号化サーバ名表示(ESNI)などのセキュリティ拡張の採用は、設計上、トラフィックの検査をより困難にする。

攻撃者のトラフィックを解読することはできません。

攻撃者はあなたの暗号鍵を使用しないし、多くの場合、中間者トラフィックを復号化するエンドポイントを経由しない。

また、分析用のデータを復号化して保存することには、データ保護とコンプライアンスに関する多くの問題がある。

例えば、PIIや、支払いカードやSSNなどの機密データが保存される可能性がある。

ネットワーク上のすべてのトラフィックを暗号化することは基本的に良いことです。したがって、ZTAの実装を成功させるには、暗号化されたトラフィックに関するメタデータを収集し、機械学習を使用して、エージェントのオーバーヘッドに依存することなく、ネットワーク内のマルウェアや攻撃者からの悪意のある通信を検知できる最新のNDRソリューションが必要です。

VectraNDR:NISTのゼロトラスト・アーキテクチャの重要な要素

Vectraは、国土安全保障省のCDM承認製品リストに掲載されている、人工知能を使用した唯一の米国ベースのFIPS準拠NDRです。当社のAIにはディープラーニングとニューラルネットワークが含まれ、すべてのネットワークトラフィック、アカウント、ID、関連ログ、クラウドイベントを継続的に監視することで、大規模インフラにおける可視性を提供します。

ネットワーク上のすべてのIP対応デバイスが識別・追跡され、サーバー、ノートパソコン、プリンター、BYOD(Bring Your Own Device)、IoTデバイス、さらにすべてのオペレーティング・システムとアプリケーションまで可視化されます。

Vectra、Cognitoプラットフォームは、クラウド/SaaS、データセンターのワークロードからユーザーやIoTデバイスに至るまで、すべてのトラフィックにおいて高度な攻撃を検知することができます。これは、復号化を必要とせずに、すべてのパケットとログからメタデータを抽出することによって行われます

Cognito プラットフォームでは、プラットフォーム内のすべての ID をホストと同じ基準でスコアリングします。これにより、静的に割り当てられた特権とは対照的に、システムで観察された特権を確認できます。

NIST が ZTA の重要な部分として NDR ソリューションの重要性を強調したことに拍手を送りたい。Vectra では、最新のセキュリティ・アーキテクチャを実装するためのターンキーNDRソリューションを提供できることを誇りに思っています。

NDRとZero Trustの両方が、組織がこれらの目標を達成するためにどのように役立つかを知るには、今すぐデモを予約してください。