隔離されたサブネットは本当に安全か

ネットワークセグメントを隔離することで、脆弱性をなくすことはできるのか?

隔離されたネットワークにはそれ以上の保護は不要、そのような見方があります。脅威が入ってくる経路がないのであれば気にする必要はない、という考え方です。しかし、隔離されているからといって、脆弱性がないことが保証されるわけではありません。そこで具体的な例として、実例を基にした3つのシナリオを見ていくことにしましょう。

各シナリオの舞台として、とある架空の企業に登場してもらいます。この企業は、エアギャップを設けて隔離したサブネットを持っています。このようなサブネットは、インターネットからアクセスできないだけでなく、自社ネットワークの別セグメントからもアクセスできない状態です。さらには、自社の情報セキュリティポリシーに従って、以下の規則が適用されています。

  • セグメント内のコンピューターはすべてウイルス対策ソリューションを使用し、手動によるアップデートを1週間に一度受けなければならない(隔離されたセグメントの場合、この頻度で十分との判断)。
  • 各コンピューターのデバイスコントロールシステムによって、使用が許可されている(信頼できる)USBメモリ以外のUSBメモリの接続が禁止されていなければならない。
  • 敷地内での携帯電話の使用を禁止する。

特に変わったところはありません。では、何が問題となり得るのでしょうか?

シナリオ1:DIY式のインターネット接続

施設内でインターネット接続ができない場合、従業員は回避策を講じます。携帯電話を一つ余計に持ち込んで、一つを受付に預け、もう一つをモデムに使って業務用コンピューターをインターネットにつなげる人が出てくるのです。

隔離されたセグメントの脅威モデルは、ネットワーク経由の攻撃やインターネットから入ってくるマルウェアなどを想定していません。また、管理者が皆ウイルス対策ソリューションを毎週アップデートするとは限らないという現実があります。そのため攻撃者は、1台のコンピューターをスパイウェアとして機能するトロイの木馬に感染させることができれば、ネットワークにアクセスできるようになります。こうして、攻撃者はマルウェアをサブネット全体に拡散させ、次のウイルス対策アップデートが行われてマルウェアが駆除されるまでの間に情報をリークさせることができます。

シナリオ2:ルールの例外

隔離されたネットワークであっても、例外は設けられています。例えば、使用が許可されたUSBメモリがそうです。しかし、そういったUSBメモリの使い方に制限が設けられていなかった場合、ネットワークの隔離されていない部分と隔離されている部分の間でファイルの移動が行われないとは言い切れません。それだけでなく、例えば隔離セグメント内のネットワーク機器を設定するなどの目的で、技術サポート担当が自分のノートPCを隔離されたネットワークに接続することもあります。

使用が許可されたUSBメモリやノートPCがゼロデイマルウェアを媒介してしまったと仮定しましょう。隔離されていないネットワーク内では、アップデートを受け取ったウイルス対策ソリューションがマルウェアに反応して無害化するので、マルウェアがネットワーク内にとどまるのは短期間であるはずです。メインの(隔離されていない)ネットワークが被害を受けるはその短期間内かもしれませんが、隔離されたネットワークの方には、次にアップデートが行われるまでの間、マルウェアが残ったままです。このシナリオの舞台となる企業は、週に一度しかアップデートが行われないことになっています。

結果としてどんな自体となるのかは、マルウェアの種類によります。マルウェアは例えば、使用が許可されたUSBメモリにデータを書き込むかもしれません。それを発端に、隔離されていないセグメント内で、別のゼロデイ脅威が情報を求めてネット接続デバイスの探索を開始し、見つけた情報を社外に送信するかもしれません。または、ソフトウェアまたは工業用制御装置の設定を変更し、何らかの妨害工作に及ぶかもしれません。

シナリオ3:内部関係者

隔離されたネットワークセグメントが置かれている施設に出入りできる従業員が買収されたとしたら、その人は余裕を持って境界内に入り込むことができます。そうした人は、例えば、SIMカードとインターネット接続を備えたRaspberry Piベースの小型デバイスをネットワークに仕掛けるかもしれません。DarkVishunyaの事例は、その典型です。

対策

3つのシナリオを見てきましたが、いずれの場合も、極めて重要な部分が欠けています。最新の状態のセキュリティソリューションです。隔離されたネットワークの中にKaspersky Private Security Networkがインストールされていれば、脅威はリアルタイムに検知されて除去されたはずです。Kaspersky Private Security Networkは、基本的にはクラウドベースのKaspersky Security Networkのオンプレミス版ですが、データダイオード方式で機能することも可能です。

Kaspersky Private Security Networkは、言い換えると、ローカルに実装されていながら外部から最新の脅威に関する情報を受け取り、内部のエンドポイントソリューションと共有します。同時に、隔離された境界を超えてデータがグローバルネットワークに出て行くことを防ぎます。詳細については、製品ページをご覧ください。

ヒント