WebブラウザでURLを入力したり、検索サイトから目的のサイトにアクセスしたり、このプロセスには人間が理解しやすいドメイン名から、数字乗られるであるIPアドレスへ変換する名前解決が必要だが、これを担うのがDNS(Domain Name System)サーバーだ。この作業はWeb全盛の時代において極めて重要であるが、DNSはこれまでその脆弱性についてあまり顧みられることがなかった。
今回Microsoftは、そうしたDNSの潜在的な脆弱性に対処するため、WindowsのDNSトラフィックを保護する新しい「Zero Trust DNS」(ZTDNS)フレームワークのプレビューをリリースした。
ZTDNSの中核となるコンセプトは、その名の通り「ゼロトラスト」だ。ゼロトラストとはセキュリティにおいて 「何も(Zero)信頼(Trust)しない」事を前提に対策を講じるセキュリティの考え方の事で、ZTDNSでも徹底的に検証されるまで、いかなるドメイン解決リクエストも自動的に信用しない。このモデルでは、ZTDNS用に設定されたWindows PCは、ドメイン名が明示的に承認され、DNSルックアップが暗号化され、認証されない限り、サーバーへの接続を完全に拒否する。
「ZTDNSは、ハードコードされたIPアドレスや承認されていない暗号化されたDNSサーバーの使用を、TLSターミネーションを導入することなく、エンドツーエンドの暗号化のセキュリティ上の利点を失うことなく、無意味なものにします」と、Microsoftは説明している。
ZTDNSは、ルックアップを処理するためのDNSクライアントと、ネットワークポリシーを実施するためのWindowsフィルタリングプラットフォームという、2つの既存のWindowsテクノロジーを利用する。ZTDNSを有効にすると、承認されたDNSサーバーとネットワーク発見に必要な最小限のものを除き、デフォルトですべてのアウトバウンドIPv4とIPv6トラフィックをブロックする。そのため、IPアドレスを含むDNS応答はすべて、その宛先の例外ロックを解除し、対応するアプリやサービスの接続を許可します。対照的に、承認されていないIPにアクセスしようとすると、即座に阻止される。
Microsoftは、ZTDNSの普及が、検証されていないドメイン名を使用する潜在的に悪意のあるトラフィックをブロックするのに役立つことを期待している。このフレームワークは、企業やリスクの高い環境におけるDNSベースの攻撃やデータ漏えいの全カテゴリーを排除する可能性がある。
ただし、この機能はまだ初期のプレビュー段階であり、安定版リリースの明確な予定はない。しかし、Microsoftは、より広範なテストのために、近々Windows Insidersにこの機能を提供することを約束している。
Microsoftは、米国のサイバー安全審査委員会が過去のセキュリティ慣行を “不十分”と批判したことを受け、保護の見直しを進めている。委員会の懸念は、Exchange Onlineのハッキングのような大きな事件の後に生じた。この見直しにより、同社は行動を起こすことになった。今週初め、MicrosoftのCEOであるSatya Nadella氏は従業員に対し、何よりもセキュリティを優先するよう指示する全社的なメモを配布しており、その後ブログ投稿で同社のセキュリティパフォーマンスを役員報酬とリンクさせる事も明らかにしている。
Source
- Microsoft: Announcing Zero Trust DNS Private Preview
コメント