アラートから実効的なアクションへ： Dynamic Prevention

2020年のSolarWinds侵害インシデントは、攻撃者がいかに正規の活動を装って侵入を拡大できるかを白日の下に晒しました。攻撃者は派手な侵入を試みるのではなく、信頼されたソフトウェアの更新プログラムを改ざんし、多くの防御システムにとっては日常的な活動に見えるアクセス権を獲得しました。米国政府の後の評価によれば、この影響を受けたOrionの更新プログラムを約18,000社の顧客がインストールし、その一部はさらなる侵入活動の被害を受けましたが、その多くは時間が経過した後にようやく発見されました。 
このインシデントから得られた教訓は、単に「より迅速にパッチを適用せよ」ということではありませんでした。それは、攻撃者が一見正常なステップ、ID関連のアクション、管理者ツール、そして想定内のネットワーク挙動を連鎖させ、全体像が明らかになる頃には目的を達成してしまう、という事実です。だからこそ組織には、リスクが形成される過程でそれを認識し、影響範囲（ブラスト半径）が拡大する前に、インラインで自動的に対処できる「Dynamic（動的な）」Prevention（防御）が必要なのです。

Cato Dynamic Preventionは、企業全体で進化する振る舞いに適応する、リアルタイムかつインラインの自動化された脅威防御を提供することで、このギャップを埋めます。ユーザー、デバイス、ロケーションを横断してアクティビティを相関分析し、リスク条件が満たされた瞬間にポリシーをプロアクティブに適用することで、攻撃者の潜伏時間を短縮し、影響範囲を限定し、運用オーバーヘッドを削減します。これにより、複雑さを増すことなくセキュリティポスチャを強化します。

課題：レガシーツールによる脅威防御の限界

レガシーなセキュリティツールは、特定の時点（ポイントインタイム）における明白な指標、シグネチャ、既知の不正IP、あるいは単発の異常を検知するよう設計されています。しかし、現代の攻撃は日常的な活動に見えるよう巧妙に仕組まれています。正規の管理者ツールを使用し、「Low and Slow（低頻度かつ低速）」で活動を拡散させ、個々に見れば無害に見える小さなステップに侵入活動を分割します。その結果、精度の低いアラートが氾濫し、対処が遅れ、セキュリティチームは攻撃者が次の行動に移った後で、手動で点と点を繋ぎ合わせる作業に追われることになります。

真の問題は「検知」ではない。「パターン」を見抜くことにある

「検知-調査-対応」のサイクルは今も存在しますが、攻撃が単一の明白なイベントとして現れることは稀です。攻撃は、一連の流れとして見るまではごく普通に見える、複数のステップからなるパターンとして展開されます。チームがシステム、拠点、タイムゾーンをまたいでシグナルを手動で関連付けようとすると、応答時間が遅延し、アラート疲れや人員不足を招きます。ビジネスへの影響は、インシデントの影響範囲の拡大、運用上の摩擦の増大、そして多くの防御策が依然として個別対処を前提としているためにスケールしないセキュリティ運用、といった形で現れます。
例えば、偽の「openclawcli」を使用した最近の攻撃では、ソーシャルエンジニアリングによって必要なツールをインストールさせ、最終的にトロイの木馬を送り込むという手口が使われました。個々のコンポーネント（YouTubeダウンローダーなど）はクリーンに見え、静的解析、YARAベースのツール、サンドボックスといった一般的な技術を回避したため、脅威は従来の防御をすり抜けることができました。企業には、リアルタイムのコンテキストに基づいて自動的に適応し、複雑さを増したりビジネスを減速させたりすることなく、あらゆる場所で一貫した保護を提供する防御策が必要です。

点と点を繋ぎ合わせる防御

Cato Dynamic Preventionは、人間の介在を必要とせず、リアルタイムに適応するインラインの自動化された脅威防御を提供します。

• ホストとネットワークを横断するトラフィックの振る舞いを相関分析し、時間経過と共にリスクのある状況を特定します。
• 単独では無害に見えるシグナルを繋ぎ合わせることで、ポイントインタイムの検査では見逃しがちな、振る舞いに基づく脅威を表面化させます。
• ベースラインから逸脱した振る舞いを検知した瞬間にポリシーを自動的に適用し、リアルタイムの保護を実現します。

このアプローチにより、単一の曖昧なシグナルに基づいて生産性を妨げる事態を回避できます。その代わり、複数の指標が明確で信頼度の高いリスク状況に収束した時点でアクションを実行するため、手動での相関分析を待つことなく、疑わしいアクティビティを早期に封じ込めます。

Cato Dynamic Preventionの仕組み

Dynamic Preventionは、モデルをシンプルでスケーラブル、かつ信頼性の高いものに保つ3つの機能に基づいて構築されています。

振る舞いプロファイリング：ベースラインの確立

Dynamic Preventionは、ホストとサイトごとに固有の振る舞いベースラインを継続的に構築します。ベースラインは、「このユーザー、デバイス、ロケーション、アプリケーションのパターンにとって何が典型的か」というコンテキストを提供します。このコンテキストは、特に正規のITオートメーションや管理者ツールが一般的に使用される環境において、日常的なアクティビティに過剰反応することを避けるために不可欠です。

リアルタイム分析と相関分析：弱いシグナルを繋ぎ合わせ、強力な証拠へ

Dynamic Preventionは、ネットワークアクティビティを常時監視し、脅威となりうる状況を特定します。鍵となるのは相関分析です。単一の内部スキャンはIT部門のタスクかもしれません。単一のリモート実行コマンドは標準的な運用かもしれません。単一の異常な認証は出張中のユーザーかもしれません。しかし、これらのイベントが複数のホストやネットワークをまたいで疑わしい順序で発生した場合、その組み合わされたパターンを無視することは困難になります。

ここにこそ、Dynamic Preventionの真価があります。ポイントインタイムの視点では決して明確に捉えられない、一見普通のイベント群を、一貫性のあるリスクストーリーとして繋ぎ合わせるのです。

適応型ポリシー適用：条件が満たされた時点で即座に実行

定義された一連の条件が満たされると、Dynamic Preventionは変化する振る舞いに基づいてセキュリティポリシーを動的に調整し、潜在的な脅威をプロアクティブに緩和します。
これにより、手動でのトリアージを待つことなく、「何を」「いつ」制限すべきかを判断し、制限するという実用的な封じ込めアプローチが可能になります。シンプルに言うと、こういうことです。Dynamic Preventionは、あらゆる異常で作動するわけではありません。パターンが形成されるのを待ち、その上で、人間の介在なしに、断固として自動的にアクションを実行します。

SASEの中核をなす、プラットフォームネイティブの防御機能

自動化されたインライン防御は、導入の複雑さや運用オーバーヘッドを増やすことなく、企業全体で一貫して実行されて初めて機能します。

Dynamic Preventionは、Catoのシングルパス・クラウドエンジン（SPACE）にネイティブに組み込まれており、インラインかつ大規模に動作します。プラットフォームにネイティブであるため、エージェントや追加ツール、運用オーバーヘッドは一切不要です。

このネイティブ機能は、最小限の手作業で、あらゆる場所のあらゆるユーザーにセキュリティと最適化されたアクセスを提供するという、Cato SASE Platformの設計思想に合致しています。Cato SPACEは中核となるセキュリティエンジンとして位置づけられ、ユースケースを横断してコンテキストに応じたリアルタイムのポリシー適用を提供し、一貫性のあるスケーラブルなセキュリティ成果を支えるための豊富なフローおよびイベントデータを収集します。

Dynamic Preventionは、運用が容易になるよう設計されたプラットフォーム機能であり、複雑さを増すことなく防御レベルを引き上げることができます。

Cato Intrusion Prevention System (IPS)

運用オーバーヘッドを増やすことなく、防御レベルを向上

Dynamic Preventionは、ビジネスの優先事項に直結する成果をもたらすよう構築されています。

• リスクエクスポージャーの低減：自動化された制限と累積的なトラフィック分析により、侵害の可能性と攻撃者の潜伏時間を低減します。
• セキュリティポスチャの強化：正規ツールの不正使用や、これまで認識されていなかった振る舞いに対するプロアクティブな防御を可能にします。
• チームの効率化：ITおよびSOCチームの誤検知と手動調査の労力を削減します。

次のステップは、現在のプロセスにおいて、特にラテラルムーブメント（水平展開）のパターンや正規ツールの不正使用に関して、アナリストによる手動のシグナル相関分析に依存している箇所を特定し、どのリスク条件が自動化されたインラインの制限を発動すべきかを定義することです。

Dynamic Preventionは、点と点を自動的に繋ぎ合わせ、適切なタイミングで制限を適用し、より早期に脅威を封じ込めるよう設計されています。Cato Dynamic Preventionに関する詳細は、弊社ウェブサイトをご覧ください。