セキュリティ戦争

「エモテット」や「VLC」のセキュリティホールなど日々セキュリティの脅威にさらされる昨今だが、セキュリティにどれだけの費用と手間をかけるのかが悩ましいところだ。セキュリティ対策の難しいところは費用に対する効果の説明が難しいことろで、いっそのこと被害が出てしまえば決済を得やすいというのが情報システム担当者の本音ではないだろうか。
しかし、重大な被害で出てしまっては復旧するのに多くの時間と費用が掛かるので、そんなことはまっぴらごめん。かといって「これで万全です」と太鼓判を押して高価なセキュリティを導入してもセキュリティが破られる原因にヒューマンエラーあり得るのだから、これもまたリスキー。
したがって私としては「甚大な損害が出ない比較的ましな防御とダメージコントロールを重視した復旧体制」を重点に置いて考えることになる。

フロント・エンドの防御

フロントは１０名以上の規模の事業所にUTM「統合脅威管理(Unified Threat Management)」を導入する。エンドはクラウド型のエンドポイントプロテクションを全クライアントに導入。資産管理システムによるクライアント管理も有効だが、費用の問題でまだ見送っている状態だ。パスワードは全クライアントでユニーク化して、桁数もアルファベット大小文字混在の６桁に強化した。感染のダメージコントロールのために、１００拠点のとサーバエリアのネットワークを別セグメントとして分離して相互のパケットはルータのフィルタリングで細かい制御をかけて、１つのPCの感染したウイルスが無差別に広がらないようにする。サーバのあるセグメントはVPN回線は接続するが、公衆回線にはプロキシ経由でしか接続しない。

機器や回線の二重化

１９インチサーバは同一モデルを２台、できれば３台単位で導入してトラブル時に融通が利くようにしているが、昨今はAWSなどのクラウドに移行した方が有効なので、徐々に移行する方針だ。ルータも同一モデルを複数台導入してプラスコールドスタンバイ機を１台用意する。光回線はなるべくリスク分散する方針でNTT、SB、NURO、USENの４つのベンダーのビズネス回線にあえて分けて接続する。VPNについてもプライベートVPNとインターネットVPNを混在させる運用を続けている。
経験上シンプルに集中させると全滅の危険が増大すると考えている。多少の無駄には目をつぶって３重化ぐらいはしておいた方が無難だと思う。

ダメージコントロール

怖いのがランサムウェアだが、これはバックアップを複数取るしかないと思っている。限りなくダウンタイムゼロを求められるファイルサーバはRAID5のNASを２重化して夜間で同期、さらに外部ストレージに差分バックアップを取る方式にした。今後はこの外部ストレージをクラウド化すればBCP対策上有利だが、費用の問題もあり今後の課題となっている。サイバー攻撃が先か、天災が先か、いずれでも致命的にならないように考えておくことが必要である。