本記事は Sansan Advent Calendar 2021 6日目の記事です
こんにちは、Sansan株式会社でセキュリティエンジニアをしている大井といいます。
CSIRT/RedTeamとして主にWebアプリケーションの脆弱性診断や社内ペネトレーションテストなどを担当しています。
病院へのサイバー攻撃
昨今、病院がサイバー攻撃(ランサムウェア)を受け診療できなくなるという事件が発生しました。
事件自体は国外のでも発生しているものと同じで、攻撃手法も一般的なランサムウェアとみられます。
こういった攻撃が発生するたびに「機密情報を外部ネットワークにつなぐな」といった言動がTwitterや一部専門家?から上がってきます。
私は一介のセキュリティエンジニアとして、外部ネットワークからの分離は必ずしもセキュリティの向上を意味しないと考えています。
その理由を、発生しうる脅威とともに説明したいと思います。
分離したネットワークが善意の人物により外部と接続される可能性
分離したネットワークが、社員などのユーザーが外部ネットと接続してしまう可能性があります。具体的には閉鎖系ネットワークのパソコンでは使いにくいからスマホを接続してテザリングしてしまうなどです。
分離したネットワークが悪意ある人物により外部と接続される可能性
分離したネットワークが悪意ある人物(いわゆるクラッカー)によりネットワークと接続されてしまう可能性もあります。こうしたツールはすでに一般に販売されています(LAN TURTLE 3Gなど)。またLTEモデムとラズベリーパイなどを利用してかんたんに自作することもできます。
単純なネットワーク分離により脆弱性が放置される可能性
単純なネットワーク分離を行った場合Windowsアップデートなどができなくなり重大な脆弱性が放置される可能性があります。
WSUSなどを利用しても。上位のアプリケーションにおいても同様に脆弱性パッチ適応などを考える必要があります。
単純なネットワーク分離によりマルウェアの検知対応が遅れる可能性
上記に上げたような攻撃などでシステムが侵害された場合、その攻撃を検知するためSOCとの通信や検知のためのウイルス対策ソフト定義ファイルアップデートをどのように行うのかといった問題がります。
通常別の手段で通信できるようにしますがその方法自体が分離との矛盾をはらみリスクも発生します。
利便性が低下することにより、そもそも分離したネットワーク内に必要な情報が置かれなくなる場合
一般的に分離したネットワーク内のコンピューターは使いにくいです、結果社員が別の場所にファイルをおいたり、個人のLine間でやり取りされるなどの状況が発生する可能性があります
上記の理由から単純なネットワーク分離はセキュリティを向上させるどころか、場合によってはセキュリティの低下を招きます。
結局どうすべきなのか
ではどのようにすればよいのでしょうか?私が思い描く機密系の保護は以下の導入が重要だと思います。
SaaS(クラウド環境)の適切な利用、EDR・NDR・XDR等検知対応系の充実、SOCの設置など、いわゆるゼロトラストの考え方が必須になってくるという認識です。
セキュリティにおいて、これをすれば完璧などという手段は少なく、地道にセキュリティの向上に務めっていく必要があります。