セキュリティ対策の対象は、もはや社内だけではなくなった
企業におけるセキュリティ対策というと、社内のネットワークに繋がっている業務用PCやサーバーのセキュリティ対策について考える。というのが一般的かと思います。
しかし、ここ1~2年における環境の変化は、組織におけるセキュリティ対策について、その認識を大きく変えるべき状況をもたらしています。
デバイス×スマートフォン×無線LANがもたらす新たな脅威
今や無線LANは有線LANの速度を超えるばかりでなく、パソコン以外の様々なデバイスに組み込まれ、ネットワークに接続するといえば、有線LANよりも無線LANが使われるのが当たり前とも言える状況になってきました。
無線LANの親機も家電ショップなどに行けば、数千円で手に入るようになり、都会ならどこに居ても、無数の無線LANデバイスが見つかるという状況になっています。
そして、スマートフォンの普及により、デバイスをスマートフォンに接続してコントロールする。ということも、もはや当たり前の状況となってきており、数年前には考えられなかった状況が、もはや当たり前の状況となっている。ということに、私たちは目を向ける必要があります。
あらゆるデバイスが無線LANに繋がり、スマートフォンを通じてコントロールできる。という状況は、デバイスを通じてスマートフォンに侵入したり、無線LAN環境を通じて、ネットワークに繋がる他のデバイスに侵入することができる。という可能性をもたらしています。
このようなことは、ネットワークに接続されるデバイスがパソコンくらいしかなかった時代には考えられませんでした。
攻撃者に乗っ取られるドローンが生み出す新たな脅威
2014年12月18・19日の両日で開催された日本発の国際会議CODE BLUEでは、空中撮影用などに使われる、ヘリコプターのようなラジコン機器「ARドローン」を乗っ取り、操るデモが披露されました。
「ドローン」はAmazonが商品の宅配用に採用すると表明して話題になりましたが、大きなものは軍事目的で使われるような無人飛行機から、おもちゃとして売られている小さなものまで、様々なものがあります。
単なるラジコンであれば脅威とはならなかったかもしれませんが、無線LANとスマートフォンが組み合わされ、個人が自由に手に入れることのできるデバイスとして普及し始めた「ドローン」が、悪意あるものからの攻撃によって乗っ取ることができてしまう。という事実は、これまでは考えられなかった思わぬ脅威を生み出しています。
例えば、個人での空中撮影というと、これまでは高価なヘリコプターのラジコンを使い、難しい操縦に慣れない限りは、思うような撮影をすることはできませんでした。こうした幾つものハードルが重なっていたことで、脅威となるようなことはありませんでした。
しかし、無線LANとスマートフォン、そして、高性能で安価なデジタルカメラを使って、誰でも手軽に空中撮影を楽しむことができるようになった今では、ドローンを使った盗撮が現実の脅威として取り沙汰されるようになってきています。
このような状況に加えて、ドローンを使って他のデバイスを乗っ取ったり、ネットワークに侵入ができるとなると、話は更に厄介となります。
無線LANが普及している企業の事務所にドローンで近づき、無線LAN経由でネットワークに侵入する。といった話は、1年前なら馬鹿げた話として相手にもされなかったでしょうが、今では、そのような脅威が現実となりうる状況が生み出されつつあります。
企業の事務所の窓から漏れる無線LANの電波を、空中に浮かべたドローンを使って掴み、無線LANルーターの脆弱性を突いてネットワークに侵入する。また、ホテルなどでビジネスマンが使っている無線LANの小型ルーターの電波を掴んで、パソコンに侵入する。
このような脅威は、これまでの常識では考えられなかったことで、有線LANに繋がっている業務用PCやサーバをセキュリティ対策の対象として考えればよかったこれまでとは異なる時代がやってきている。ということを、私たちは認識する必要があります。
あらゆるものがネットワークに繋がる世界で考えるべきセキュリティ対策
IPv6によって、あらゆるデバイスにIPアドレスを割り当てることが可能となり、無線LANによってあらゆるデバイスがネットワークに接続できる状況となってきた現状は、今後さらに発展し、「こんなものまで!?」と思うようなものまでが、ネットワークに繋がる状況となるであろうことは間違いないでしょう。
会社にも自宅にも、どこに行っても無線LAN環境があり、スマートフォンをはじめとする様々なデバイスが、常にどこかしらのネットワークに繋がっている状況となっている。
一見すると、ネットワークが違えばセキュリティ的に問題ないと思われるかもしれませんが、ユーザーが手にし、ユーザーと共に移動するデバイスが、企業のネットワークとは別のところで、攻撃者の手によって乗っ取られ、それらのデバイスが事務所内に持ち込まれることで、無線LANルーターや、ネットワークに繋がる様々なデバイスの脆弱性を突いて、企業のネットワークに侵入される。そんなシナリオが現実となる日は、もう、そこまで来ているかもしれません。
そのような状況下では、社内のネットワークに繋がる業務用PCや業務システムにセキュリティ対策を施す。というだけでは、セキュリティ対策としては十分ではなくなってくるはずです。
社員が個人で保有しているデバイスが、組織に脅威をもたらす媒介となりうるのだとしたら?
デバイス×スマートフォン×無線LANがもたらす新たな世界は、新たな脅威が登場する世界でもあります。組織におけるセキュリティ対策は、もはや社内に閉じた話ではなくなってきている。ということを、セキュリティ担当者は認識するべきでしょう。
新たな世界におけるセキュリティ対策はどうあるべきか?
あなたの組織では、どのように考えるでしょうか?
→次の記事へ( 世間はまだまだ、誤解だらけ!セキュリティに関するこんな誤解(その1) )