エア ギャップに対する用心: ネットワーク分離のコスト、生産性、およびセキュリティにおけるデメリット
2017 年 5 月 1 日 - Paul Nicholas - Trustworthy Computing、シニア ディレクター
このポストは「 Mind the air gap Network separation’s cost, productivity and security drawbacks 」の翻訳です。
最近の政策立案者との話し合いにおいて、重要なサイバーセキュリティ ツールとしてネットワーク分離 (インターネットから機密ネットワークを物理的に切り離すこと) が提起されることが時々あります。その理由は、サイバー攻撃者は「エア ギャップ」を越えてターゲットに近づくことができないため、セキュリティの最高の目標である 100% の保護が保証されるからです。
しかしながら、ネットワーク分離は、政府のサイバーセキュリティ ツールキットで採用されているものの、重大なデメリットも存在する、と私は経験から学んでいます。このデメリットの例として、実装コスト、保守コスト、生産性の低下、 (直感に反して) セキュリティの重要側面の弱体化が挙げられます。全体的に見て、システムの相互接続性を基盤として、クラウド コンピューティングやモノのインターネット (IoT) がイノベーションを推進しているような世界では、ネットワーク分離は不適切です。このブログ記事では、これらの問題についてもう少し詳しく見ていきたいと思います。
ネットワーク分離は、重要分野 (軍機密ネットワークや原子力発電所など) において確立され、認められたセキュリティ手法です。これらのシステムが不正にアクセスされた場合に生じうるダメージは壊滅的なので、どれだけのデメリットがあろうともネットワーク分離をする意味はあるからです。しかしながら、より広範囲にわたるネットワーク分離の実装を政府が検討するとなれば、その費用対効果の計算も改める必要があります。
コスト面だけを見ても、複数の分離されたネットワークを構築することは、限られたリソースの消費を増大させ、スケール メリットを低下させることを意味しています。「エア ギャップ」を採用するには、独立したサーバー、ルーター、スイッチ、管理ツールなどを用いてまったく新しいネットワークを構築する必要があります。そのネットワークは、 (時々しか発生しないとしても) 予測可能なピーク需要に合わせて構築する必要があります。ほとんど使用されないこのキャパシティは実質的に無駄になります。一方、分離されていないネットワークの場合、一時的なクラウド リソースを用いて、必要に応じて「スケール アップ」するだけで済みます。分離すれば、物理的な保守でより多くの時間がかかると同時に、リモートの集中ハブでソフトウェアの保守を行うことができないため、さらにコストが増大します。
ネットワーク分離は、効率性、生産性、および利便性にも悪影響を及ぼします。「エア ギャップ」は、大半の行政職員が市民に最高のサービスを提供するうえで必要となる外部世界に対する障壁を構築します。どれが分離されているのか、どれがされていないのかに気をつけつつ、異なる複数のデバイス間で情報を移動させるのは、時間を無駄にするだけでなく、悪くすると混乱を招くことになります。そして、市民と直接やりとりすることを意図した数多くの行政サービスおよびシステムは、分離プロトコルによって速度が低下し、煩雑化するおそれがあります。政府がネットワーク分離のためにクラウドや IoT のメリットを放棄すれば、スマートな都市やスマートな国家のメリットが大きく損なわれることになります。
最後に、ネットワーク分離のセキュリティに関するメリットも絶対確実とは言い切れません。一例を挙げると、多くの場合、脅威から切り離されることは、サイバーセキュリティのイノベーションはもちろん、パッチなどの日常的なセキュリティ ツールからも切り離されることを意味します。さらに、従業員や管理者は、「エア ギャップ」の向こう側は安全であると思い込んでしまうことで、重要なセキュリティの基本事項を軽視してしまうおそれがあります。実際、組織のサイバーセキュリティ文化が未熟であれば、ソーシャル エンジニアリングやヒューマン エラーによってシステムに侵入する手段を悪意のある第三者に与えてしまうことになりかねません (例: 従業員が面倒な要件を回避しようと、私用電子メール (たいてい安全性が低い) を利用する)。
また、「エア ギャップ」自体が回避される可能性もあります。外部世界とのわずか 1 回の接続が悪意のある第三者に悪用される単一障害点を生じさせます。また、直接接続を一切用いなくても「侵入」できる手段は存在します。Stuxnet が示したように、USB ドライブなどのリムーバブル メディアを使用すれば、物理的に分離されたハードウェアにマルウェアを侵入させることが可能です。また、ハッキングの中には、「エア ギャップ」を「越える」ことができるものもあります。例として、USBee (「USB ドングルの電磁放射を利用して狭い範囲でデータの抜き取りをソフトウェアのみで行う手法」) や AirHopper (コンピューターのビデオ カードを FM 送信機に変え、「エア ギャップ環境内」のデバイスからデータを収集する手法) が挙げられます。
サイバー攻撃の規模、頻度、高度化、および影響の増大を懸念している政府にとっては、ネットワーク分離を採用する正当な理由があるのかもしれません。ネットワーク分離は、機密ネットワークの保護などの限られた状況において、リスク管理に基づいた適切なサイバーセキュリティ対策の一部として採用されることもあります。しかしながら、このアプローチのコスト、利便性、および効果に関するトレードオフについて政府が理解することは非常に重要です。ネットワーク分離は、サイバーセキュリティに関するすべての懸念事項に対する正しい答えでもなければ、唯一の答えでもありません。