通信路と機器を管理する意味（369号）

ハッカー（悪意を持って組織内に侵入しようとする者）がインターネットから侵入することは多くの方がご存知です。

ですが「具体的にどんな通信方式で侵入するの？」と言われると答えに詰まる人は多いでしょう。

今回は、情報を守る側として把握しておくべき通信路と機器の管理についてお話します。

ハッカーの侵入経路を知る意味

「侵入経路なんて技術的なこと知らなくてもいいよ。専門家の領域でしょ？」と考える方も多いと思いますが、自組織を守るためにも基本的な知識は持っておくべきです。

自組織がどんな形でインターネットにつながっているか、どんな通信手順を使ってるかもも知らなくては、対策できないからです。

中小企業や個人の多くはISP（Internet Service Provider:いわゆるプロバイダ）と契約をし、有線でのインターネット契約を１つだけ結びます。
通常はこれがメインの回線となります。

他に、外回りの担当者用にモバイルWi-Fiを契約している会社も多いでしょう。
個人でもモバイルWi-Fi便利ですよね。

また、公衆無線LAN（フリー Wi-Fi）もあります。駅やお店に設置されていて無償で利用できるフリーWi-Fiは便利です。

無線LANを設置している組織ももちろん多いでしょう。

このように、インターネットへの通信路は意外にいろいろとあり、中には情報漏洩につながるような場合もあります。

フリー Wi-Fiでは、通信内容の窃取を目的としたニセのフリーWi-Fiスポットのリスクがあります。（日本では少ないようですが）
無線LANの性能が良すぎて、に敷地外からでもアクセスできる場合があります。

必要以上に恐がる必要はありませんが、自分達がどのような回線と通信方式を使っていて、どんなトラブルが起きうるかを知っておくことは大切です。

インターネットへの接続経路

インターネットへの接続経路は少ないに越したことはありません。

中小企業であれば、有線のインターネット接続契約を１つにするのが現実的です。
契約が１つならガードすべき場所も１つで済みますしね。

ですが、本社、営業所、工場、倉庫などが複数箇所に散在してると複数の契約にせざるを得ませんので、ガードもそれだけ大変になります。

また、インターネット契約が１つでも、その中には様々な種類の通信方式（プロトコル）が並存できます。
例えば、メール送受信、Web閲覧、VPN接続、ファイル共有、時刻合せなどはよく使われる通信方式の代表です。

一般に、使える通信方式の選択はファイアウォールと呼ばれる機器で行います。（ごく小企模なネットワークでは、ルータがその代役をします）

ファイアウォールは「防火壁」の訳語で、外部からの炎（攻撃）を食い止める機器として企業のネットワークでは必ずといっていいほど使われています。

このファイアウォールを導入する場合には、プロにお任せすることを強くおすすめします。中途半端な知識での設定は穴だらけになりがちです。穴だらけのファイアウォールはハッカーを喜ばせるだけで、役に立ちません。

さて、ここ数年で大きな問題になっている通信方式にVPN（Virtual Private Network：仮想プライベートネットワーク）というものがあります。
このVPNは、テレワーク（在宅勤務）で社内情報を社外からアクセスするのに必須の通信方式で、その利用が爆発的に増えています。

その増加ペースがあまりに早いため、セキュリティ対策が追いつかず、ハッカー達に狙い打ちされているのです。
実際、2023年度の警察庁の報告でもランサムウェア被害の実に63%がVPN経由となっています。
VPN経由での侵入については、以前にもこのメルマガで2023年10月に説明をしていますので是非ご覧ください。

　No327 VPNが狙われる３つの理由
　https://note.com/egao_it/n/na25cc3d31e94

また、リモートデスクトップ（RDP:Remote Desktop Protocol）という通信方式による侵入も後を絶ちません。

ちょっと専門的な話となりますが、RDPは社内LAN用の通信手順です。
社外から接続することはあまり考慮されていません。ですので、社外からRDPを使う場合には、まずVPN接続を行って経路の安全性を確保した上で利用すべきです。
VPNなしでRDPを使うことは極めて危険です。絶対にしないようにしましょう。

私物の無線LAN機器の禁止

いわゆる「パソコン通」のメンバがいる場合、私物の無線LAN装置やモバイルWi-Fiを勝手に設置する場合があります。

こういった私設の機器を「シャドーIT」などと呼びますが、これが思わぬセキュリティホールとなるケースがあります。

ネットワーク機器のシャドーITにはいくつかの問題があります。

一つは、誰もメンテナンスを保証できない点です。
社内設備なら、システム担当者がその存在を把握し、必要なセキュリティ対策を取ります。
ですが、シャドーITの機器は誰も全体を把握できませんから、セキュリティアップデートなどのメンテナンス作業がなされません。
社内でセキュリティ強化を行ったとしても、シャドーITの機器は置いてけぼりになります。

もう一つは、攻撃を受けても被害に気づけない点です。
シャドーITはいわば裏口ですから、いくら社内のネットワーク機器を監視していても、シャドーITからの侵入や被害を検知できません。
検知できないと、被害がより深刻なものになってから初めて気付くことになります。

それでも、組織メンバがシャドーITを利用したいのであれば、方法はあります。
その機器を組織に貸与すればいいのです。
組織側が機器を借り受ける形にするのです。
この形であれば、その機器を認知した上で他と同等の対策が取れるからです。

経路や機器の把握は管理者の責務

これまでに書いた通り、組織のネットワーク管理者は組織内の全ネットワーク機器を正確に把握しなければなりません。

もちろん、把握するだけでなく、利用状況を確認して、情報漏洩や不正アクセスが起きていないかを継続して確認できる体制の確保も必要です。

また、情報の保管機器としてのパソコンやタブレット、スマホの所在確認も重要です。

筆者は個人所有のスマホやタブレット（以下、私物と言います）は組織内ネットワークに接続すべきではないと考えています。私物で社内情報にアクセスできてしまうことはリスクだからです。

とはいえ、これは業種や職種にも依存します。
例えば、出先で工事完成状況の写真撮影が必要な場合もありますし、見積り提示も紙よりタブレットが喜ばれる（その場で数値を変えられる）場合もあります。

これらを踏まえても、筆者は社給品でまかなうべきだと考えます。

社給品はその扱いを制限することで漏洩リスクを抑えられます。
例えば、利用時以外はキャビネットになおす、持ち帰りは禁止、といったルールですね。
私物はこうはいきません。

また、社内秘密を格納した私物を紛失した時に報告してくれるかは個人に委ねられます。

情報セキュリティ的にはこれは大きなリスクです。

まとめ

インターネット接続にはいくつかの方式があります。

ですが、組織としてネット接続する場合には、できるだけその経路を絞る方が管理も楽ですし、コストも抑えられます。

経路と同時にどのような通信方式（プロトコル）を許容するかを決めておくのも大切です。
特にVPNとRDPには注意が必要です。
警察庁の調査によれば、2023年のランサムウェアの被害の8割近くがVPNとRDPの不適切な設定やアップッデート不足によるものだったそうです。

また、シャドーITを避けることも重要です。
社内の設備の不備や不便を補うために善意で設置された機器（特にモバイルWi-Fi）はセキュリティ対策の面からは非常にリスキーで、事故発生時に多大なダメージを受ける可能性があります。

こういった社内のシャドーITをなくすには、組織内メンバへの啓蒙が効果的です。
また「必要なものは買う」「善意であっても私物はリスクが高いから持ちこまない」と伝え続けることも大切ですね。

今回は、通信路と通信方式の把握、そして情報機器の管理についてお話ししました。
次回もお楽しみに。

ご報告

この度、日刊工業新聞社さんの雑誌「工場管理」の10月号に寄稿をすることとなりました。
「現場から始めるセキュリティ対策（仮題）」として、現場の方に納得いただきやすい「セキュリティあるある」とその改善方法を６ページで執筆しました。

発売は9月20日前後とのことで、大手の書店さんでお取扱いされています。
是非書店でお手に取ってご覧ください。

また、感想などいただけますと飛び上がって喜びます。

今後とも「がんばりすぎないセキュリティ」へのご支援をよろしくお願いします。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html
筆者（ t.shimizu@egao-it.com ) にメールをお送りいただいてもOKです。