企業のセキュリティを堅牢な DNS で確保:NIST SP 800-81r3 のガイド
今日の相互接続された世界では、セキュリティを確保するドメイン・ネーム・システム(DNS)は運用上の必要性だけでなく、企業の全体的なセキュリティポスチャの重要な要素となっています。最近リリースされた National Institute of Standards and Technology Special Publication(NIST SP)800-81r3 セキュアなドメイン・ネーム・システム(DNS)の導入ガイドでは、DNS をネットワークセキュリティの基本レイヤーとして使用する方法に関する最新のガイダンスが提供されています。
このブログでは、このガイドの重要性と、企業が DNS インフラのセキュリティを確保、脆弱性の排除、マルウェアやサイバー脅威からのリスクの軽減のために取るべき重要な実践的手順について説明します。
安全な DNS の導入が重要な理由
DNS は、DNS 要求を介して人間が読めるドメイン名をマシンが読み取れる IP アドレスに変換し、オンラインリソースへのシームレスなアクセスを可能にします。しかし、このコア機能は、サイバー攻撃の主要な標的になっています。DNS セキュリティの侵害は、次のような結果を招く可能性があります。
データ漏えい:攻撃者は、ユーザーを偽の Web サイトにリダイレクトして、資格情報や機密情報を盗む可能性があります。
マルウェアへの感染:DNS は、悪性のドメイン名を解決することでマルウェアを分散するために使用できます。
分散サービス妨害(DDoS)攻撃:DNS サーバーは、増幅攻撃を含むトラフィックに圧倒され、サービスを中断させる可能性があります。
ゼロトラスト・アーキテクチャの迂回:DNS クエリーのオープン解決は、ゼロトラスト・ネットワークの制御をバイパスするルートになる可能性があります。
NIST SP 800-81r3 は、サイバー回復力、多層防御戦略、ゼロトラスト・アーキテクチャには、十分に保護された DNS インフラが不可欠であることを強調しています。
NIST ガイドの重要なポイント
導入ガイドでは、DNS セキュリティのさまざまな側面について詳細に説明します。以下は、重要なポイントの一部です。
保護 DNS の使用:悪性の DNS クエリーをブロックし、コンテンツをフィルタリングし、規制要件に準拠するために保護 DNS を使用します。保護 DNS は、デジタルフォレンジックとインシデント対応のために貴重なデータも提供します
DNS プロトコルの保護:暗号化 DNS(DNS over TLS(DoT)および DNS over HTTPS(DOH))や DNSSEC など、DNS サービスの整合性を確保するための対策を実装します
DNS インフラのセキュリティを確保:専用の DNS サーバーを導入し、高い可用性と回復力を確保します
信頼できるサービスに対する脅威の管理:ゾーン転送の脅威、ゾーンコンテンツの脅威、動的更新の脅威、DNS 通知の誤使用を防止する対策を実装します
再帰/転送サービスのセキュリティを確保:暗号化された DNS の実装、パブリック DNS プロバイダーの使用の制限、DNS トンネリングによるデータ窃取の検知、DNSSEC 検証の有効化を行います
スタブリゾルバーのセキュリティを確保:DNS リゾルバーのセキュリティを確保することで個々のデバイスを保護します
エンタープライズ DNS セキュリティの現実的な対応策
この NIST DNS セキュリティ導入ガイドでは、進化する DNS 攻撃やサイバー脅威からネットワークインフラを保護するための、IT プロフェッショナルとサイバーセキュリティチームに不可欠な戦略を提供します。企業は次のことを確認し、実装する必要があります。
- 保護 DNS と高度な脅威防止
- DNS プロトコルのセキュリティと暗号化通信
- DNS インフラのセキュリティ
- 権威 DNS の保護
- 再帰 DNS のセキュリティ
- スタブリゾルバーのセキュリティ
- 情報漏えいの防止
- 外部ドメインの整合性と高度な脅威緩和
保護 DNS:高度な脅威防止
リアルタイムの脅威インテリジェンスを備えた DNS ファイアウォールなどの保護 DNS サービスを使用すると、悪性の DNS クエリーをブロックし、不要なコンテンツをフィルタリングし、規制コンプライアンスを確保することで、包括的なネットワークセキュリティを提供します。
これらのサービスは、セキュリティ情報およびイベント管理(SIEM)システムやセキュリティ運用センター(SoC)などの既存のセキュリティアーキテクチャと統合しながら、インシデント対応に役立つ貴重なフォレンジックデータを提供します。
DNS プロトコルのセキュリティ:暗号化された通信
DNS プロトコルを保護するには、通信の整合性を確保し、DNS ハイジャック、DNS スプーフィング攻撃、および中間者攻撃を防止するために、DoH、DoT、DNSSEC 検証などの暗号化された DNS テクノロジーを実装する必要があります。
DNS インフラのセキュリティ:高可用性システム
DNS インフラのセキュリティを確保するには、Anycast 実装、自動フェイルオーバーメカニズム、地理的な分散を備えた専用 DNS サーバーを導入して、高可用性を確保し、DNS 増幅攻撃を含む DDoS 攻撃を緩和する必要があります。
権威 DNS の保護:ゾーンセキュリティ管理
信頼できるサービスに対する脅威の管理には、ゾーン転送のアクセス制御リスト、トランザクション署名(TSIG)認証、秘密鍵トランザクションのための汎用セキュリティ・サービス・アルゴリズム(GSS-TSIG)による動的更新セキュリティ、ゾーンベースの攻撃や不正な変更を防止するための DNS 通知保護の実装が含まれます。
再帰 DNS のセキュリティ:クライアント保護
再帰/転送サービスのセキュリティの確保には、暗号化された DNS 実装、パブリック DNS プロバイダーの使用制限、データ窃取防止のための DNS トンネリング検知、およびネットワークパフォーマンスを維持しながら内部クライアントを保護する DNSSEC 検証が含まれます。
スタブリゾルバーのセキュリティ:エンドポイント防御
スタブリゾルバーのセキュリティを確保すると、ローカルリゾルバー設定、DNS キャッシュポイズニング防止、グループポリシーとモバイルデバイス管理の統合を使用した企業のエンドポイント管理を通じてデバイスレベルの DNS セキュリティが提供され、すべてのデバイスにわたる包括的な DNS セキュリティが実現します。
情報漏えいの防止:DNS レコードセキュリティ
DNS レコードで公開される情報量を減らすことで、攻撃者による偵察の可能性を最小限に抑え、情報漏えいを最小限に抑えます。これには、DNS 応答のサニタイズ(無害化)、スプリットホライズン DNS 設定の実装、公開されている DNS レコードコンテンツの慎重な管理、不正な開示からの IP アドレス情報の保護が含まれます。
外部ドメインの整合性:高度な脅威緩和
プロアクティブなドメイン監視、証明書管理、DNS 健全性管理の実践を通じて、ダングリング CNAME の悪用、不完全な委任の悪用、類似ドメインの悪用などの巧妙な攻撃を防ぐことで、外部の信頼できるドメインの整合性に対応します。
結論
DNS インフラのセキュリティ確保は、今日の脅威の状況において最も重要なことです。NIST SP 800-81r3 は、企業の DNS セキュリティポスチャの強化を支援する包括的なガイドを提供しています。
このガイドに記載されている推奨事項を実装することで、組織は DNS 関連の攻撃のリスクを大幅に軽減し、全体的なセキュリティの回復力を向上させることができます。
Akamai の役割
新たに導入された Akamai DNS Posture Management ソリューションを含む、Akamai の包括的な DNS ポートフォリオは、DNS エコシステム全体で総合的な可視性を提供することで NIST ガイドラインに直接対応します。
この可視性と、弊社の信頼性の高いキャッシュ DNS ソリューションを組み合わせることで、組織は防御 DNS サービスの実装、DNS プロトコルのセキュリティ確保、NIST が推奨する高可用性インフラの維持に必要なツールを獲得できます。
