スキップしてメイン コンテンツに移動

ネットワークセキュリティーは戦わずして勝つ!!

最近ネットワークのお仕事やってないなぁ~なんて思ってしまって、愚痴っちゃおうかなぁ~なんて思いました。


一般的にインターネットと社内ネットワークや家庭内ネットワークの境界にはファイアウォールを設置するとセキュリティー面で安心という仮説があります。


ファイアウォールもUTMという部類で、攻撃検知やウイルス対策、URLフィルタリングなどの検疫技術を使って通信の内部も監視しよう!Palo Altoをはじめとする現代の(次世代)ファイアウォールではHTTP/HTTPS通信の中身を監視し、アプリケーションを認識して適切な通信規制を行うことで、よりセキュアな通信を可能とする製品が広がってきています。


でも、この辺の製品を使ったら安心だなんて思わない方がよいと思います。
攻撃者は利用可能な方法を活用して攻撃してくるわけで、どの企業においても、ほぼ例外なく許可するHTTP通信をつかって攻撃します。だから次世代ファイアウォールではHTTP通信に特化した制御を行おうとしているのです。


とはいえ、攻撃者はHTTP通信のなかでも許可された通信を使って攻撃をしようと頑張っていますので、最終的には信頼できる相手以外との通信は拒絶する必要があります。でも、インターネット上ではなりすましという技もありますので、本当に信頼できる相手なのかの確認をする必要があって、そのレベルまで行くと、信頼できる企業同士を専用線(または信頼できる閉域網)で接続する以外、方法がなかったりします。


ではそんな専用線通信しかしない企業に対し、攻撃者はどうするかといえば、社員になりすます。なりすますのが無理なら社員として堂々と潜入するのです。


このレベルで攻撃された場合、ネットワーク技術者として対抗する手段はありません。だって、相手は正社員であり、正規にアクセス権を保有する人間なので、不正アクセスではなく、業務上必要なアクセスということになります。


では、正規にアクセスすることができる社員に対し、いかに防御するか?というと、社員の行動を監視し、記録を取って、悪事を働いた際に犯人捜しをしやすい環境を作るということになります。


そりゃクリック操作などのアクションごとに画面を保存し、キー入力も記録、Webカメラ内蔵なら定期的に操作者の写真を保存。GPS付なら座標情報も、電話や会話もすべて録音。ありとあらゆる情報を取得し、保管するわけです。
プライバシーなんてありませんよ、業務すべてを監視する必要があるわけです。すかしっぺの回数や行った時間もすべて監視します。だって、すかしっぺでモールス信号やって情報漏えいを行う輩だっていないとは言い切れないでしょ?排泄物だって保管対象ですよ。カプセルに仕込んだ記憶媒体を排泄物に混入させ、下水処理場で待つ仲間に渡すことだって不可能ではない。


で、ありとあらゆる方法で社員を監視したとしても、監視システムを操作できる情報システム室の社員は故意に監視対象外にしたりすることができるので、彼らを監視する監視者が必要で、その監視者も必要、って無限に監視体制が必要です。



「絶対に安全」なんて絶対に不可能です。



じゃぁ、どうすればいいのよ!!と思うのですが、
簡単な方法は、盗む価値のある情報を保有しない。


これが一番ですね。すべての情報を公開し、価値をなくしてしまう。
公開されていれば、攻撃する必要がないし、防御する必要もない。
知りたければ公開されている情報を参照すればいいのです。


秘密がなければいいのです。



もしくは・・・・



秘密を保有していることを悟られない。


いかに攻撃対象にならないようにするか?
これこそ最大の防御ですね。




攻撃者の目的がセキュリティー対策費の増加だった場合、対策を行った時点で負けなんですよね。


攻撃者は目的を達成しているのですから。



コメント

このブログの人気の投稿

SharePoint アイテム保管ライブラリをのぞいてみよう(2023年1月改訂)

※アカウント移行に失敗し画像を失ったので再度取得し改訂しました。 Office 365 Advent Calendar 2021  の12月16日投稿です。 警告: 個人的な理解に基づく内容、表現です。疑いを持って取り扱ってください。 SharePoint と OneDrive の保持の詳細 - Microsoft 365 Compliance | Microsoft Docs SharePoint Onlineをご利用の方にとっては普通?の機能ですが、SharePoint Server 2010以前から利用している方にとっては2013からの新機能「インプレース保持」で使われる「アイテム保管ライブラリ」をちょっとのぞいてみようという内容です。 Exchangeのインプレース保持とSharePointの保持は違うよ~ Exchange のインプレース保持はごみ箱から消えたメッセージを含むすべてを保持することができるのですが、SharePointでは対象外アイテムが存在しますし、編集についてはバージョン履歴に依存しています。また、情報管理ポリシーの「ごみ箱に移動する」が動作しなくなるなど利用者への影響もありますので注意が必要です。また、保持してることを内緒にしたくてもサイト管理者にはバレバレな点は認識しておかないとね。あとE3相当以上の方はExchangeは容量無制限ですけど、SharePointはしっかりと契約容量に含まれているので上司の方から説明のたびに叱られる可能性がありますね。 SharePointの保持は、Exchangeが連携して利用する大容量添付ファイル送信やTeamsメッセージの添付ファイルを保持する目的のために存在する機能なのかな~という感じがします。SharePointの情報調査や監査という意味では、バックアップ製品などでこまめに世代管理する必要があると感じます。 SharePointで削除されたアイテムは各サイトの「アイテム保管ライブラリ」にコピーされ設定期間保持されます。 各サイトというのがミソですね。しかも、サイト管理者から参照可能な場所に保持されるため、保持について理解のないサイト管理者はこのライブラリのアイテムURLを見ることができないユーザーに渡すなど困った行動を起こす可能性があります。 それでは保持を確認するために保持されるアイテムを準

あけまして

コロナから始まり、コロナに終わる。 今年は別の話題で終わると良いですね。 モーそろそろアフターコロナになりたいな〜と思います。  今日は何人でした。とかね、なんか昭和最後の年末年始をちょっと思い出す。 なんだかな〜って感じですね。

ADMXがあればIntuneでもグループポリシー配布できるもん

一番信頼できる情報源としては docs を読むのが正解なんだけど,不安を感じたことを書き留めておくね。 1.ADMXファイルをインストールする必要がある  オンプレだと "\\{Domain Server}\SYSVOL\{Domain name}\Policies\PolicyDefinitions" にADMXとADMLを保存したら展開が始まるけどIntuneの場合はデバイスの構成プロファイルを使って配布する。  OMA-URIにADMXの内容を設定するんだけど,OMA-URIってなに?って感じだけど細かいことはDocsを読んでね。  OMA-URIは次の値を設定するよ。 ./Vendor/MSFT/Policy/ConfigOperations/ADMXInstall/ {AppName} /{SettingType}/{FileUid or AdmxFileName} ここで重要なのは {AppName} だけといってもよさそう。 {SettingType}は「Policy」で決定しているし,{FileUid or AdmxFileName}は同じ{AppName}内で競合しなければなんでもよさそうだったのでファイル名が無難ですね。 構成プロファイルを配布をするとレジストリに次のようなキーが2か所に作成される。「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxInstalled\{UID}\ {AppName} \Policy\{FileUid or AdmxFileName}」 「\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\AdmxDefault\{UID}\ {AppName} ~Policy~{CategoryName}~{SubCategoryName}」 必要なのは二つ目のキー。実際のADMXファイルを例にすると・・・    < categories >      < category   displayName = "$(string.googlechrome)"   name = "googlechrome" >        <