え、「こんなとこ」にも影響？ ランサム被害が日常化する今こそ考える“隙のないシステム”：半径300メートルのIT

最近ランサムウェア被害の影響が私たちユーザーの日常にまで浸食してきているように思えます。この原因はもしかしたら現行のシステム構成に課題があるのかも。そこで今回はランサムウェアに強い“隙のないシステム”とは何かを考えてみましょう。

[宮田健，ITmedia]

　先日、とある場所に取材で訪れたのですが、実はそこは直前に不正アクセス被害を報告していました。中のレストランで食事を済ませると、今はレシートが出せないとのこと。そのときはスルーしていましたが、同場所の別のレストランでも同様の対応をしており、どうやらこれが「不正アクセスの影響」であることに気が付きました。

　この不正アクセス被害がランサムウェアによるものかどうかは分かりませんが、その影響はしっかりと利用者にも広がっていました。ただここで一つ疑問が浮かびます。レストランの会計業務にまで影響が広がるのはなぜなのでしょうか……。基幹システムとレシート発行システムが直結している？　ここに現行のシステム構成の課題があるように感じます。今回はセキュリティ観点でシステムの“あるべき姿”を考えてみましょう。

ランサムウェア被害が日常にまで浸食　隙のないシステムをつくるには？

　サイバー攻撃者は漏えいしたID／パスワードや、脆弱（ぜいじゃく）性、電子メールに添付したマルウェアなど何らかの方法でシステム内部に侵入します。

　その後、社内ネットワークを探索し、同じように弱い部分を持つ端末に横展開し、ゴールであるデータベースや基幹系システムを侵害し、さらなる情報窃取を狙うのが定石です。もはや初期侵入を完全に防ぐのは困難と考えるのが当たり前になっていますので、感染後いかに速く検知し、拡大行動を止めれるかどうかがポイントです。そしてそれがEDR（Endpoint Detection and Response）やXDR（eXtended Detection and Response）が注目される理由の一つです。

　もう一つ、ポイントとなるのはネットワークの探索を止めるための仕組みです。もし社内が全てのサーバにフラットな構成になっていたとしたら、従業員が使う端末から、最重要なデータが含まれるデータベースサーバに簡単にアクセスできることになります。

　本来であれば直接つながる必要のないサーバなら、そこに関所となるような仕組みがあってもいいでしょう。その考え方が、ネットワークセグメントを細分化してその間のトラフィックを制御できる「マイクロセグメンテーション」です。理想としては、社内のネットワークは細かくセグメント化されているべきでしょう。

　しかし「言うは易し行うは難し」というのがセキュリティ施策の典型例で、恐らくゼロトラストセキュリティを構築するのと同じくらい大変なのも事実。簡易的にでもこの仕組みが導入されていれば、被害も最小限にできていたであろう事例が多く観測できるはずです。

　ここまで書いて、「そういえば……」と思い出したことがありました。かつて大規模な事故を起こしてしまった後、“厳しすぎる”仕組みを導入したある業界の事例です。

厳しすぎる自治体システムから学べること

　それは自治体における強靭（きょうじん）化の仕組みです。自治体が住民の個人番号（マイナンバー）を扱うシステムでは、マイナンバー利用事務系や総合行政ネットワーク（LGWAN）につながるLGWAN接続系、そして電子メールなどを扱うインターネット接続系の3層に“分離”し、その間は通信させない／無害化させるといった仕組みをとっています。現在ではその運用負荷を軽減すべく、小規模の自治体には「α'モデル」といった緩和策も運用されており、こちらも日々進化しています。

ISMAP準拠など特定のクラウドサービスはLGWAN系でも利用可能とする「α’モデル」の概要（出典：総務省「各検討項目の改定方針」から抜粋）《クリックで拡大》

　自治体におけるランサムウェア被害はゼロではないものの、DDoS攻撃の被害や、サポート詐欺をはじめとするフィッシングの方が目立ち、システム全体が長時間ダウンするという話はあまり聞かないように思えます。もしかしたら、かつては厳しすぎるとされたこの三層構造の分離が効いているのかもしれません。

　マイクロセグメンテーションの考え方は、ゼロトラスト・アーキテクチャの一部とされています。ゼロトラストへの移行を考えている組織も増えているかと思いますが、既に導入が完了している組織でも、かなりのランサムウェア被害を発生させている事例が出てきました。もしかしたらゼロトラストへの移行期、移行完了と思ったときこそが、最も隙が大きいタイミングなのかもしれません。

　ネットワーク的に分離するということは、組織内の端末の状況を把握し、必要な通信、必要なアカウントを正しく認識する必要があります。この実施はそう簡単ではないことは理解しつつも、経営に影響があるレベルでの被害が発生している今、それでもやらねばならないタイミングだと考えています。

　マルウェアが侵入し、不正アクセスが発生するのはもはや日常茶飯事となってしまいました。しかし、「なぜこの部分にも影響が」と、利用者レベルでも思ってしまう事例も増えてきています。侵入させない対策だけでなく「影響を最小限にする」ための施策こそが、今投資すべきポイントなのではないかと筆者は考えています。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。