企業からのスパムメール(その後)
皆さんこんにちは。
ファイアウォールだけでは守れない
報道で時折聞こえてくる、大企業などでの個人情報漏洩。
強固なハズのファイアウォールがあり、セキュリティ対策予算も組んでキッチリ固めているのに何故だろう?と不思議に感じたことはないでしょうか?
もちろん漏洩に至るまでには幾つかの経緯やパターンがあり、ヒトコトで語ることはできないものですが、社内に目を向ければ、その盲点が社内ネットワーク内の脆弱性であることも…。
いくら外のインターネット側に対して強固でも、社内ネットワークは全く別のものですので。
インターネットと社内ネットワークは、簡単に例えるならば、家の外と家の中で、ファイアウォールという壁(この例の場合は玄関のドア)を通じて内外が繋がっているイメージです。
それでは、ドアを締めてカギもしたのに、どうして情報漏洩が起こるのでしょうか?
社内はノーガードという例も…
例えば、精度の良し悪しは一旦除外し、大手メーカーが販売しているセキュリティ機器でも、インターネットという外に対しては、キッチリ防波堤の役目を果たしていますが、社内は監視対象ではなかったりします。
ですが、これでファイアウォールとしての要件は満たしているので、仕様上の問題は全くありません。
外に対策すれば、中にも対策を講じるのは当然のように考えがちですが、実は、過去に発生した誰もが知る大企業(N社)の情報漏洩では、社内は無防備に近かったという驚きの報道もありました。
テレワークで広がる脆弱性
自宅と会社で仕事を行うようになり、クラウドでデータのやり取りをするのは時代の流れですが、これは暗号化通信により、一定の安全性を担保しています。
それでも大事なデータはUSBメモリーで、、、となると、自宅の普段使いのPCがキッチリとセキュリティを施しているのか?はたまた危ないサイトを閲覧して怪しいアプリが組み込まれていないのか?など、不安要素は高まります。
もしそのUSBデータに変な物が紛れ込み、社内が無防備の状態だったとしたら・・・『地獄への階段』の足音が聞こえてきそうです。
実は、先の大企業(N社)の例もこれが原因でした。
ゼロトラストの考え方
ゼロトラストは、『何も信用しない』という考え方に基づき、社内ネットワークを監視することです。
私は以前から、これに近い考え方を既存顧客には提案してきましたが、それは社内だからといって、信用に値する確固たる理由がないからです。
そして皆さんを狙う敵は、巧妙かつ狡猾な連中が相手ですので、常にネットワークにはゼロトラストの考え方をお奨めいたします。
孫子の兵法では、
『凡そ軍は高きを好みて下きを悪み、陽を貴び陰を賤しみ、生を養いて実に処る。是を必勝と謂い、軍に百疾なし。丘陵・堤防には、其の陽に処りて、之を右背にす。此れ、兵の利にして地の助けなり。』
【解説】
「軍隊というものは高地を好み、低地を嫌うものであり、日の当たる場所を良しとして、日陰になる場所を避けようとし、兵士の健康に気を配って水や草の豊かな場所に陣取る。
これを必勝の駐屯法と呼び、様々な疾病も生じない。
丘陵や堤防では、日向の側に陣取り、その丘陵や堤防が右後方になるようにする。
これは戦争における利益であって、地形による助けとなるものである。」
セキュリティを高めることは、高地と同じ意味だと考えます。
少なくとも、外敵に対してハダカで挑むのではなく、ちゃんと鎧を着ましょう。(笑)
このようなコラムが、少しでも皆さんのお役に立てば幸いです。