61.社内セキュリティー
観ていた番組で、セキュリティーに関する話題に触れていたので、そのことについて書きたいと思います。
セキュリティー診断を受けて
先日、立命館大学情報工学部の方によるセキュリティー診断を受けたのですが、利用せずに放置していたWebサーバーの更新が滞っていたことによる、問題点の指摘を受けました。
詳細な調査、誠にありがとうございます。
当初このWebサーバーは社外の人との巨大ファイルのやり取りや、SVNの開発リポジトリ(構成管理ツール)として機能させていたのですが、現在ではVPN接続に切り替えてるので、利用していませんでした。
もともと、閉じた社内向けの運用だったので、現時点では外部と接続する必要がないことから、指摘後アクセスポートを閉じました。
指摘を受けなければ、そのまま放置し続けていたと思いますので、大変ありがたかったです。また、管理者として、配慮が足りなかったと反省しています。
現状の回線
現在、IPoEv6+固定IPv4のJPIX(旧JPNE)回線を利用しています。一般的な、光通信の契約よりも、非常に速度が安定しています。
通常はプロバイダを経由するため、速度が出にくい状況となりますが、JPIX回線にIPv6で直接接続されるため、送受信共、常時500Mbps~700Mbpsの速度が出ます。
それまでは一般的な光回線を利用していたのですが、これだと平日昼間に100Mbpsを下回る事が頻繁にあり、調子の悪い時だと10Mbpsを下回る事もありました。
弊社の環境は、現状以下の接続となっています。
ONU → HGW(パススルー) → LinuxServer(ルーター) → 社内LAN
※ONU, HGWはNTTより提供
※パススルーとは、パケットを直接通過させるだけの動作の事
通常は外部との接続にはルーター(HGWやそれに代わるもの)を利用することが多いと思われますが、セキュリティー面を考慮して、LinuxServer機によるFirewall兼ルーターとしています。
この構成は、一般的な中小企業であれば最適な構成だと感じます。ルーターの中に、社内向けProxyやDNSを設置することも可能なためです。
ただし、LinuxServer機の扱いや、ネットワーク・Firewall等の知識が必要となります。もし、同一の環境を構築したいが、アドバイスが必要な場合、DM頂ければサポートします。
現状のセキュリティーについて
Firewallで外部からアクセスの必要があれば、社内のServerに転送する仕組みにしてます。それ以外の外部からのアクセスは、接続承認されたパケットのみしか通過させません。
社内からの外部アクセスは、社内ProxyServer経由でしか接続出来ない仕組みとすることで、社内からの不要なパケットを外部に出さないようにしています。
但し、メール・Webサーバーが外部にあるので、ポート番号指定で必要最小限のパケットは外部へ送れる仕組みとしています。
先日かなりはまったのですが、外部へのVPN接続についてもProxy経由では不具合が発生する場合がありますので、特定の宛先については直接の接続を許可しています。
Firewallの設定方法についても解説したいところなのですが、セキュリティー面のリスクがありますので、控えたいと思います。手の内をさらすと、攻撃者は対応してきますからね・・・
不正パケット
Firewallで不正なパケットを検出して、記録しているのですが一日では以下の数の不正パケットが検出されています。黄色の部分で target が DROP になっている箇所が不正パケットを捨てた数で、いくつかの区分に分けて検出しています。
log-dropは一般的なパケットの不正アクセスを表し、log-drop-type1-4は通常はあり得ない不正パケットを表します。不正パケットはFirmwareの脆弱性を利用したハッキングに利用されることが多いです。
IPv4の不正パケット(24時間)
IPv6の不正パケット(24時間)
これだけの数の不正パケットが検出されています。
IPV4の方が圧倒的に多いですね。この数を見ていただければ分かると思いますが、ランサムウェアによる被害が拡大している現状としては、Firewallによるフィルタは必須と言えます。
外部を防いでもそれだけでは意味がない
外部からの侵入ばかりが注目されるのですが、実際は内部からのセキュリティリスクの方がはるかに高いことを皆さんご存じでしょうか。
私の会社でも過去に以下の事例がありました。
SVNリポジトリの新規作成を社員に許可した所、追加したリポジトリにデフォルトで追加されるGuestユーザーが残っており、内部を閲覧(変更は不可)出来る状況になってしまった(googleのクローラーに閲覧を許した)
他社とのファイルやり取りの中で、PCがウイルスに感染し、そのPCからメールアカウント設定が盗まれ、第3者からなりすましメールが送信されていた
大変恥ずかしい話で、思い出したくもない出来事ですが、自身への戒めも込めて公開します。
1については、管理者である私の説明が不足していたことが問題です。2については、関係する業務の人達のアカウントだけが盗まれていたことから、不正なファイルのやり取りに対する意識が欠如していたと考えられます。
また、OSの更新についても行っていなかったことから、セキュリティー意識の欠如が関係しています。
これら2つの事象は、外部からの侵入を防いだところで、人的ミスが関係しますので防ぐことが出来ません。このような対策には次のようなことが必要となります。
新規作成は完全にシステムを理解したものだけに限定する
定期的にソフトウェアのアップデートの確認・実施
不必要なファイルのやり取りを行わない
不審に思った時はすぐに報告する
宿泊先ではルーターを経由して接続する
ファイル共有は行わない
ストレージは全て暗号化する
不明なメールの添付ファイルは開かないこと
メーラーをTextベースで表示するようにする
出来るだけ穴の出来ない運用とする
各々がセキュリティー意識を持つ
結局のところ
「人自身が最大のセキュリティーリスクとなる」
これが一番大きな脅威だと感じます。そのような事から、管理を徹底することが重要ですね。
この出来事以降、セキュリティーソフトによる厳密なチェックを行うように社内の方針を変更しました。
セキュリティーの知識
過去の教訓から、管理もさることながら、最近では日々のセキュリティーニュースでの情報収集を怠らないようにしています。お勧めは以下のHPです。
普段利用するブラウザやOSに脆弱性が見つかった場合、緊急度合いによっては社員に通知し、Server機の更新も合わせて対応しています。
まとめ
セキュリティーは専門知識が必要とされると思われている方が多いと思います。
確かに、独自の機能を持ったルーターを作成するのであれば、知識は必要ですが、国内の主要メーカーのルーターの場合は、Firmwareの更新頻度も高く安心して利用出来ます。
各々のPCについても、セキュリティーソフトで対応していれば概ね大丈夫です。セキュリティーソフトは様々利用しましたが、ESETが負荷・セキュリティー・価格のバランスがよく、扱いやすい印象を受けます。
それよりも、一番大切なことは、人が最も大きなセキュリティーリスクとなることを自覚する必要があります。
皆さんでセキュリティー意識をもって企業活動いただければと思います。
いいなと思ったら応援しよう!
