世の中・・・と言うより、日本国内ではナンセンスなセキュリティ対策が、さも標準的な対策であるかのように横行しています。セキュリティ対策の基本「どうやって」「だれから」「なにを」守っているのか考えてみれば綻びがはっきりします。二つ目の例として、「社内ネットワークをインターネットから分離して、インターネットを使うときには社内ネットワークとは切り離されたパソコンを使う。」ことによって、「どうやって」「だれから」「なにを」守れているのか考えてみましょう。
「インターネットを使うときには、社内ネットワークとは切り離されたパソコンを使う。」と聞いて真っ先に考えるネットワークは上のようなものかも知れません。これはむしろ全体のセキュリティを悪化させているに過ぎません。今時社外とインターネットを使った情報の送受信をやらずに済む事など無ありません。結局の所、社内のネットワークから必要な資料等をCDやDVDでインターネット専用端末に持ち込むことになります。インターネット専用端末がウィルスやマルウェアに感染していた場合、インターネット専用端末を介して情報漏洩に繋がる恐れもあるのでセキュリティ対策を疎かにするわけにはいきません。
社内ネットワークから切り離されたパソコンのセキュリティをどのように担保するのかが重要になります。インターネット専用端末が所属するネットワークにも、ADサーバーによる従業員の個別認証、IDSによるインシデント検知、Firewallによる通信の制限、WSUSによるセキュリティアップデートの監視、企業用のウィルス対策ソフトウェア導入、USBメモリなどのストレージ機器の監視・・・下のような、一通りの管理体制は必要になるはずです。
インターネットから切り離した社内ネットワークはどうなるのかというと、完全にインターネットと切断するわけにはいきません。インターネット接続用端末からUSBメモリなどを介してウィルス等が持ち込まれる可能性も考えると、セキュリティパッチのインストール、ウィルス対策ソフトの更新などは必要です。個々のパソコンからの接続は禁止していたとしても、セキュリティパッチのインストール、ウィルス対策ソフトの更新を行うための中継サーバーはインターネットに接続しておく必要があります。先の「インターネット専用端末が所属するネットワーク」と同様の管理体制が、インターネットから切り離した社内ネットワークにも必要になります。
ここであらためて考えてみましょう。インターネット接続用ネットワークも、社内ネットワークも同じレベルのセキュリティ対策が施され、管理されています。インターネット接続用ネットワークを儲けることで、セキュリティがどのように向上しているのでしょうか?実はクライアントパソコンに着目する限りでは、何もセキュリティは向上していません。ネットワークインフラ構築にに2倍のコストを掛けたうえに、インターネットから切り離すことで業務効率を悪化させているにも拘わらず、セキュリティはほとんど向上していないのです。
これは「なにを」守るのかが、ズレているのが要因です。上の図のようにセキュリティ更新を受けることが出来ない古いソフトウェアや、運用の都合でセキュリティパッチを導入できないサーバー等、様々な理由でセキュリティレベルの低い状態に置かれている場合があります。本当に排除しなければならないのはインターネットではありません。インターネットに接続可能な環境で使用するにはセキュリティレベルの低い状態になっている端末やサーバーを、インターネットと社内ネットワークから排除するひつようがあります。そのために社内ネットワークまるごと排除するのは過剰対策ですし、USBメモリなどによる持出を許可するのであれば、なんの解決にもなりません。
脆弱なサーバーや端末を社内ネットワークから排除し、使用する必要がある場合にはシンクライアント等で接続するように構成した場合です。シンプルに見えるでしょう?
実はこのような構成変更をするには、社内ネットワークの業務システム全体を掌握しており、必要に応じて大幅な設定変更できる事が必要になります。必要十分な実力を持つ情報システム部門が無かったり、情報システム部門が機能不全に陥って社内の業務システムを掌握出来ていない場合には無理です。図1や図2の構成を進めようとしているのであれば、その背後に情報システム部門の機能不全を考えた方が良いでしょう。緊急対策として「インターネットを使うときには、社内ネットワークとは切り離されたパソコンを使う。」の対処を行うにしても、その場合は情報システム部門の再構築をセットで考えるべきと思います。
参考:
日本のPOS端末が狙われる?組込みシステムのセキュリティ対策 – IT、IT製品の情報なら【キーマンズネット】
インターネットに接続していない環境から、大規模な個人情報漏洩が起きた事例です。最近のPOSはWindows Embeded等が使われておりセキュリティ対策としてネットワークからの隔離を実施していました。ところがPOSのメンテナンスのために接続されたUSBメモリがウィルスに感染しており、USBメモリを経由して個人情報漏洩を起こしています。隔離対策だけで脆弱な部分を残していては、もっとも脆弱なところから攻撃されます。