閉域網とは?だからこそ必要なセキュリティ対策
閉域網は、インターネットに接続されていないクローズドネットワークです。インターネット経由の攻撃を防ぐことができる点がメリットですが、サイバー攻撃にはインターネット経由以外からのマルウェア攻撃もあります。これらの攻撃を受けると、ネットワークと会社の財産に大きな被害が出る可能性があります。
今回は、閉域網におけるセキュリティ対策に焦点を当てて説明します。
目次
閉域網とは どこまで安全?
閉域網の定義や実例を踏まえて、実際に閉域網はどこまで安全といえるのか、詳しく説明します。
閉域網とは?
閉域網とは、インターネットおよびインターネットに接続されている機器には接続されておらず、外部から直接アクセスすることが不可能な通信ネットワークのことを指します。
インターネット経由の攻撃・通信傍受・データ改ざんなどのリスクを回避できる点に加え、限られた利用者だけが使えるネットワークを構築できるという特徴から、さまざまな領域で利用されています。
閉域網の種類
第三者からの攻撃を防ぐことができる閉域網ですが、運用コスト・セキュリティの強度・ネットワーク構築の自由度の違いにより、いくつかの種類があります。
- 広域イーサネット
広域イーサネットを利用する例としては、身体の安全や生命にかかわる病院、多額の財産を扱う金融機関、通信障害などによる遅延が許されない放送会社、マイナンバーなど重要な個人情報を扱う行政機関などが挙げられます。
これらの多くは、通信事業者が提供する閉域イーサネット網を利用しており、運用コストは高めですが、高い安全性を担保できます。
【特徴】運用コストが高い、セキュリティが強固、イーサネット回線を使用
- IP-VPN
IP-VPNは通信事業者が提供する閉域IP網を利用します。利用するプロトコルが限定されますが、広域イーサネットに比べると、導入のしやすさもあり、製造業やサービス業での利用が多いという特徴があります。
インターネットに直接接続することなく、会社のサーバと仮想ネットワークを経由してPCを接続するといったケースが考えられます。
【特徴】通信プロトコルはIPのみ、導入のしやすさ、イーサネット回線を使用
- エントリーVPN
通信事業者が提供する閉域IP網を利用する点は「IP-VPN」と同じですが、閉域網へのアクセスに、比較的安価な光回線やADSL回線を利用する点が特徴です。
そのため、低コストでの運用が可能です。一方で、他の方式に比べて通信品質や通信速度は劣るという特徴があります。
【特徴】運用コストが低い、通信品質が若干劣る、光回線などを使用
閉域網はどこまで安全なのか?
閉域網はインターネットから隔離されているので、Webやメールからのマルウェアの感染被害が出るものではありません。
しかし、マルウェアによる攻撃を100%避けられるということではなく、閉域網でもセキュリティ対策は必要です。
例えば、USBデバイスや、閉域網の機器をメンテナンスするために持ち込んだ保守端末を接続することによってマルウェアに感染することがあります。また、ファームウェアにマルウェアが忍び込んでいる例もあるのです。
これらの例から、閉域網はインターネットから遮断されているから安全であるとは言いがたいことがわかります。
閉域網に対する攻撃の手口とは?
閉域網にUSBデバイスなどを利用して行われるサイバー攻撃があります。
閉域網に接続されたUSBデバイス、ファームウェアなどからランサムウェアのようなマルウェア、特に自己拡散型マルウェアが入ると、ネットワーク内部での広がりを止められません。
攻撃者は、出口も入口もない閉域網で攻撃が広がることをねらっているのです。
閉域網に対する攻撃の代表例と手口をもう少し詳しく説明しましょう。
ランサムウェアの手口
ランサムウェアにはバリエーションがありますが、攻撃のシナリオは共通しており、以下の特徴があります。
- 入口出口ではマルウェアと検知できない亜種・新種が多く、パターンを用いるような製品での対策は難しい
- 閉域網の内部でも拡散してしまう
- OSのセキュリティパッチなどの適用が難しい
例えば、ランサムウェアが仕組まれたソフトウェアがUSBデバイスに格納されていた場合、このソフトウェアを閉域網でコピーしようとすると、どうなるでしょうか?
USBデバイスを接続した時点では何も実行されないので検知されません。ソフトウェアとしてインストールされた時点でも、一見何も問題がないように見えます。これは、タイムボムの仕組みを使ってあとから攻撃を開始するためです。時間が経つにつれて、密かにランサムウェアが実行され自己拡散し、次々とほかのPCがランサムウェアに感染していくことになります。
ランサムウェアの被害と対策
ランサムウェアは、2017年ごろを中心に急速に被害が広がった時期があります。各国のマスコミでも大きな話題になったので、耳にしたことがある人も多いでしょう。ランサムウェアはメール経由でPCに侵入することがあるほか、USBデバイスなどからの感染もあり、ネットワークのメンテナンスのために接続された機器からの感染もあります。そのため、閉域網でのランサムウェア感染についても対策が必要になります。
ランサムウェアの被害は2種類あります。PCやデータに関する被害と金銭的被害です。
PC全体を暗号化して正常に動作させなくする暗号化ランサムウェアに感染すると、データを完全に復元することは困難となり、データの破壊、可用性の損失といった被害が生じます。
ランサムウェアは英語のRansom(身代金)に由来する名称であり、身代金の要求のように、「お金を支払えばPCを解放する」との要求が画面に表示されます。
この要求に乗ってしまうと、金銭的な損失も生じます。
現在では、「丸ごと暗号化」や「画面を暗号化」されたなどで動かなくなったPCに対しては、セキュリティベンダー各社が参加する「No More Ransomプロジェクト」において、復号化のための無償サポートが行われています。
同プロジェクトのWebサイトでは、要求された金銭を支払ってはならないことも同時に呼びかけており、技術的な対応だけでなく、啓蒙で被害を軽減・予防する活動もしています。
閉域網の適切なセキュリティ対策とは?
上述のように、閉域網に対する攻撃は、ひとたび組織内ネットワークに入ると大きな被害を生じさせる可能性があります。閉域網には多くの機密情報、扱いに注意を要する情報が含まれているため、適切な対策を行う必要があります。
有効なセキュリティ対策のポイントは、攻撃の入口となるデバイスの監視と異常が認められたデバイスの切り離しです。
閉域網のセキュリティ対策
- デバイス間の通信振る舞いを監視
自己拡散型のマルウェアの検知に関しては、監視対象をデバイス間の通信振る舞いにまで広げることが必要です。自己拡散型マルウェアに共通な振る舞いパターンを異常の検知に利用することができるためです。
- 異常を検知したデバイスの切り離し・自動遮断
デバイス間の通信振る舞いの監視からデバイスの異常を検知した場合には、自動的に即座に切り離しを行い、攻撃による悪影響を限定させ、拡散を食い止める必要があります。
閉域網への攻撃に万全な対策を
閉域網は、一見するとサイバー攻撃に強いように見えますが、ひとたび自己拡散型マルウェアが組織内ネットワークに侵入してしまうと、攻撃とその悪影響を容易に止めることができません。そのうえ、閉域網には多くの機密情報や扱いに注意を要する情報があるため、被害が甚大になりがちです。
そこで、適切で有効な対策を行う必要があります。有効なセキュリティ対策のポイントは、攻撃の入口となるデバイスの監視と異常なデバイスの切り離しです。
しかし、相当数のデバイスを管理する会社組織の閉域網で、すべてのデバイスを人の手で監視し切り離すことは、現実的ではないでしょう。自動で監視・遮断が可能になるソリューションでの対策が現実です。例えば、「iNetSec SF(アイネットセックエスエフ)」のようなアプライアンス製品ならば、自己拡散型のマルウェアに感染した端末の監視・遮断にも対応しており、閉域網のサイバー攻撃対策としてより強力です。
閉域網であってもサイバー攻撃と無縁ではないので、閉域網に特化したセキュリティ対策を導入し、サイバー攻撃から会社を守りましょう。
不正持ち込み端末など、リスクのあるIT機器をネットワークから遮断する「iNetSec SF」
インターネットに接続されていない閉域網は、外部から直接アクセスすることができないため、一見、安全な通信ネットワークのように思えます。しかし、USBデバイス経由や、外部から持ち込まれて一時的に接続される保守端末経由でマルウェアに感染することがあります。
閉域網では、機密情報を扱うことも多いため、ひとたびサイバー攻撃を受けると深刻な被害が予測されます。
閉域網におけるセキュリティ対策としては、感染拡大をできるだけ早く抑止し、影響を限定化させることです。具体的には、異常を検知した機器を自動的に即座に切り離しを行う必要があります。
iNetSec SFは、ネットワークに接続されたすべてのIT機器を見える化し、不正持ち込み端末など、リスクのあるIT機器をネットワークから遮断します。
