ハニーポットとは?
ハニーポットとは、サイバー攻撃者がどのように行動し、何を狙っているのかをセキュリティ担当者が確認するために、攻撃者を引き寄せるように設計されたコンピュータシステムのことです。ハニーポットは通常、組織の主要な本番環境から隔離されており、組織のデータを危険にさらすことなく攻撃者をおびき寄せて侵入させるためのワナの役割を果たします。
これまでのハニーポット
ハニーポットは、多くの企業にとって、サイバーセキュリティの手段として定着しています。しかし、技術の進歩により、「デセプション(Deception) 技術」と呼ばれるサイバーセキュリティの新たな分野が登場しました。この技術は、メインシステムの内外に、トラップやダミーファイルを戦略的に配置します。攻撃者がハニーポットに侵入すると、これらのダミー情報(デコイ) が観察、追跡し、時には反撃もします[1]。ガートナーリサーチ社は、2016年にデセプション技術を「市場に浸透しつつある先端技術」と認定しました[2]。
セキュリティとデセプション技術
ハニーポットやその他のデセプション技術は、侵入者を発見し、被害拡大を防ぐのに有効です。しかし、分散型デセプションプラットフォーム(DDP) を採用する前に、企業はいくつかのステップを踏む必要があると、ガートナー社のResearch Vice Presidentであるバロス氏は述べています[3]。
彼によると、他のセキュリティ技術の代わりとしてDDPに投資するタイミングなどを決めることが重要です。また、他のセキュリティ技術からデセプション技術にリソースを移行することに意味があるのかを見極める必要があります。例えば、脆弱性の評価をきちんと行っていない場合、DDPを導入すべきではありません。
ハニーポット技術の今後
現在、いくつかの企業がハニーポットをはじめとするデセプション関連製品を開発しています。一方、テキサス大学ダラス校は、デセプション技術の展望について研究しています。UTダラスの研究者らは、マルウェア攻撃者の行動をコンピュータ自体に学習させるために、本番システムにトラップやデコイを仕掛ける「DeepDig(DEcEPtion DIGging)」技術を開発しました。この技術は、サイバー攻撃を機械学習ベースの侵入検知システム(IDS) のライブトレーニングデータとして自由に使用できるように設計されています。検知システムは、攻撃者がネットワークに侵入した際に、セキュリティチームに通知するだけでなく、反撃も同時に行うハニーポットとしても機能します[4]。
[1] Varun Haran, BankInfoSecurity.com “Deception Technology in 2020”
[2] Lawrence Pingree, Gartner “Deception-related technology – it’s not just ‘nice to have’, it’s a new strategy of defense”
[3] Augusto Barros Gartner Research “New Research: Deception Technologies”
[4] John Leyden, The Daily Swig “AI-powered honeypots: Machine learning may help improve intrusion detection”