「社内LAN撲滅運動」は正しいか
会社におけるセキュリティーというのは非常に頭の痛い問題です。かつてシステムがうちに閉じていた時代はそんなことを心配するのもバカバカしかったのですが、どこもかしこもインターネットに繋がってしまっている時代において、セキュリティーを維持するのは大変難しい課題です。
一般的に、セキュリティーには論理的セキュリティーと物理的セキュリティーがあります。前者は、認証認可の仕組みでアクセス制御をかけたり、ルーティングで到達不可にしたりと言うもの。後者は文字通り「入れなくする」ことで実現します。後者においても完全に物理的に閉じる、ということは現実的には難しい(外に出れないと利用者が使えない)ということもありますから、物理的にアクセスした時にしかできない操作を規定する、というかたちで両者を組み合わせることになると思います。
物理的セキュリティーというのは、サーバーとかそういうものだけではありません。企業活動において重要なのは情報がきちんと管理されることです。なので、一番の問題は人。次に紙(物体または比喩的な意味)。情報というのは電子上のものでなくても流出するのです。今だとたいてい小説やドラマの産業スパイはハッキングをするものですが、昔は潜入して写真を撮っていたものですね。人を誘拐して、とか、指紋からグミ指作ったり、とかまあ色々とネタはあります。
物理的セキュリティーが突破されると、情報のアクセスし放題か。例えば、重要な書類を机の上に出しっぱなしにする会社であれば、危ない。ぶっちゃけ清掃員に化けてという古典的な手段が危ない。逆に、紙の資料がきっちりとしている会社であれば、次はサーバーアクセスという手順を踏まねばならず、一段階壁が高いです。しかし…ディスプレイにIDとパスワードが付箋で貼ってありますよ!
とまあ、これは前置き。さて、こんな試みをしている会社があります。
私たちは、社内LANとインターネットとを区別するのではなく、クラウドを利用してネット上に仮想のワークスペースを作り、それを場所を問わず使えるようにするという方針でセキュリティと業務の両立を図りました。
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました | 大石蔵人之助の「雲をつかむような話」
これでISMS認証を取ったってのはかなりすごい…
なるほどね。どうせ社外のシステムを利用するのであれば、社内LANである必要はないと。全部SSLなら何も問題無いと。
全てのサービスがSSL通信を利用するので、経路上の盗聴などは発生せず、またパスワード管理はシングルサインオンを利用して高いセキュリティを確保。万一端末を無くしたりした場合でもリモートワイプで情報を削除したり、管理者からパスワードを変更してクラウド上の情報にアクセスできなくすることで、迅速に防御できるようにしています。
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました | 大石蔵人之助の「雲をつかむような話」
これまで社内LANが「ベルリンの壁」よろしく社内外を隔てる壁として機能していたことは認めますが、今の時代にあっては、逆に社内LANといういい加減な認証機構が残っていることによって「iPhoneを社内に持ち込んではいけない」とか「PCを持ち出してはいけない」などという時代錯誤なルールができてしまうと考えています。
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました | 大石蔵人之助の「雲をつかむような話」
時代はBYODですよね!
ところが、現実問題として情報漏洩の約8割は社内から起きている(セコムトラストシステムズ社調べ)ことを考えると、「LANだから信用できる」という盲信は事実と反していると言わざるを得ません。
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました | 大石蔵人之助の「雲をつかむような話」
そのとおり!LANは信用できません!
なんだかクラウドに依存し過ぎな気がしますが、社内システムを無停止で運用できるスキルのある会社もそうそうあるものではありませんからね!
ところで、「社内LANを無くす」、と書かれていますが、実際にはそうではないですよね。あくまで「社内LANを特別視しない」です。LANがなかったら公衆無線LANとかそういう経路が必要ですから。社員が多ければ帯域も必要になりますしね。
はて、そこで少し疑問が。「管理されないネットワークに接続した端末からのアクセス」自体が社内LANからのアクセスと同レベルのセキュリティーなのはわかります。でも、端末そのものの安全性って保たれるんでしょうか。スタバドヤ顔と社内LANが同レベル、ということですから、そこにリスクがないかの評価が一番のポイントだと思います。今日日、サービス側にセキュリティーを疑ってしまってはSaaSなんて使えないですからね。ISMSの審査員はそのあたりをどのように評価したのかがとても気になります。
ウイルスやらマルウェアやらを仕込まれるリスクやらなんやらがあることがぱっと思いつきます。社内LANを堅牢に保つことの一つのメリットは、アウトだけではなく不正なインパケットの監視によって端末が乗っ取られていないかのチェックが出来たり、利用するサイトを制限することで情報の無許可持ち出しを防いだりすることができることですし、インベントリ管理によって怪しいものが入っていないかのチェックもできますよね。
また、認証システムが甘いと、ストーキングしてスタバで後ろから覗きこむような真似ができなくもありません。もっとも、パスワードは端末が覚えているのでしょうけれども。
社内LANによるセキュリティー、というのは確かに自体錯誤かもしれません。うちの会社もiPhone貸与によって一部のNotesDBの利用が可能だったりしますね。しかしその一方で、社内のLANのセキュリティー設定はしっかりしています。
まあどんなにしっかりとしたセキュリティーをシステム的に構築したとしても、最後のネックはどうしても人なんですよね。社内LANというシステムがそこそこセキュリティーとして機能しているのは「そこでしか操作しない」ということに依存しているのです。そして、それは結構重要なことなんですよ。決して、サーバーのアクセス許可を社内セグメントからしか出さない、ということではないんです。
そこでしか操作しないことによって、(なにか変なものに感染してなければ)ソーシャルな手段によって以外は認証情報が流出することもないし、重要な資料が他人の目に入ることもありません。
情報のアップロードをきちんと管理できれば問題無いことも多いのですがそれが一番難しい。SSLにしても、SSLだからOKではなくて、SSLだから逆に何やっているかわからないのでSSLで接続できる先を絞る必要があるかもしれません。(関係ないけどそろそろSSLじゃなくてTSLって呼んだほうがいい気がしてきた)
そういう個々の端末の挙動管理はここで言われている方法だとできないので、この方式だから絶対安全、ということはありません。セキュリティーは「絶対」をイメージした時に脆弱性の種がまかれます。
もう一度引きます。
ところが、現実問題として情報漏洩の約8割は社内から起きている(セコムトラストシステムズ社調べ)ことを考えると、「LANだから信用できる」という盲信は事実と反していると言わざるを得ません。
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました | 大石蔵人之助の「雲をつかむような話」
現実問題として、社内からの情報アクセスがほとんどであるという事実から、情報漏洩の8割は社内から漏洩させるしかない事案だった、と解釈するほうが自然かと思っています。つまり、社外に情報を持ち出す機会が増えると社外での情報漏洩が増えるのではないか。ちょっと待てよ、そもそもこの情報漏洩がどこから起きるか、ということって社内社外ってどういう定義なんだろうか…
というわけで、社内LANに頼るセキュリティーってのも時代錯誤なのは間違いありませんが、情報のアクセスをどのようにレイヤー分けして、どのように制御していくか、ということを疎かにしてしまうと、クラウドを使おうが何を使おうが全く無意味です。
ちなみに、クラウドサービスが死んだら、という心配は当然つきまとうものですが、社内システムが障害になって業務に支障が出るようなことを経験したことがあれば、どっちがマシか、というレベルの話でしかないことはわかると思います。
