働き方改革-モバイルファースト時代のIDS(不正侵入検出)とIT資産管理

モバイルファースト(働き方改革時代)のIDS/IPS(不正侵入検出、排除)とIT資産管理

ipv6 は殺してしてしまえ。検疫システムの限界 - 今後のIT資産管理

というブログを数年前に書いて、不正端末検出システム(IDS/IPS)の限界を探ってみました。

ま、大した反響もなかったンですが、最近、普段持ち運び用のPCがご臨終になったので、色々物色していました。何しろPCというのはスマートフォンやタブレット端末に向く「デジタルコンシューマー」のツールではなく、その中身を作る「デジタルクリエーター」のツールなのですね。少なくともオフィスにおいてはです。という事で何とか 13.3 Inch の「ちょっと重いけど」フルスペックの安物ノートを手に入れました。ところで、この種の「カバンPC」を探すうえで色々物色して問題となるのが、薄さと軽量化を求めるとオンボードで RJ45 のポートが標準装備というPCが中々手ごろなのがない、という事です。

- 脱着可能な Ethernet アダプタ -

でも「やっぱりNASの中に大量にある、馬鹿みたいにデカい映像や画像、資料からデジタルコンテンツとして、資料見ながら、文書から簡単な映像、プレゼンテーション資料、プログラミングまで、一つのコンテンツを作るなら有線接続だよね」という事になると、多くの 11.1 ~ 13.3 Inch モバイル系PCの多くは、有線LANポートを持っていません。無線アダプタはIDSなどの不正端末検出システムに正規の物として登録しても、速度面ではやっぱり 802.11ac 規格より、有利な有線で 1Gb ネットワークを使いたい、という事で USB TypeC 用の RJ45 変換プラグとかをホワイトリストに登録して使うわけですね。これ、簡単に脱着できるし、簡単に無くすし、別なPCに繋いでも、同じ MAC アドレス使っているのでDHCP環境では同じIP振られる可能性が高く、単に「未登録のPC」に不正使用していただく事もできるわけです。IPS の Arp Poisoning による不正端末検出、切断なんて全然使えません。

「あれ、オレのこのノート、ゲストは繋がんないねぇな」
じゃぁこのアダプタで繋いでみたら?」
「あ、繋がるねぇ」

という事になります。何しろMACアドレスによる arp poisoning は PC 本体の情報ではなく、PCに半永久に実装されている Ethernet Port の MAC アドレスを登録することで、未登録のデバイスにアタックを与えて接続拒否をするからです。「脱着可能な Ethernet Adapter」なんて、「アウトオブ眼中」なのですね。

- テザリング端末 -

まぁ最近のスマートフォンってのは、普通にテザリング機能があるわけですね。当然 IDS にはスマートフォンが社内ネットワークにつながる時は Wireless デバイスの接続の許可/非許可を、システム担当者は IDS 内部に設定できるのですが、テザリングを有効にした後の、その先のタブレットだとか無許可ノートPCなんてのはチェックできない。

勿論、普段使いの BYOD スマートフォンは許可とって、従来型のエージェントレスの IDS/IPS に登録していたとしても、テザリングで「オレんちで使っていたオレのノートPC」も同じ手段で社内に接続ができてしまうのです。現在の普通のIDSシステムではこれを拒否る機能はまずなさそうです。そこで「My持ち込み無許可PC」を「許可付きスマートフォン」のテザリング機能で繋いでしまえば、いくらでもデータコピーができて風呂敷残業ができてしまいます。

- VPN接続 -

何やら「働き方改革」というのがキーワードになる近年、経営側だけのメリットを考えると無駄な残業代をカットしたり、オフィススペースの賃料を節約するために、狭いフリーアクセスフロアにして、経営側は成果、結果ではなく、時間でしか成果を評価できないクセに「ウチで仕事してもいいよ」という事が、どうもぶっ飛んだ企業では流行りになりそうです。当然、これも、IDS/IPS では検出できない。当然VPNで繋ぐにはそれなりの設定というのが必要なんだろうけど、普通は、VPN ゲートウェイのユーザIDとパスワードなんで、自宅で悪い事しているPCでもIDとパスワードを登録すれば、接続できてしまいます。

何しろ「働き方改革」は、与党の民衆への人気取り政策であり、「働くオフィスドレイの為の政策」ではないのです。何しろ多くのIDSで検知できるのはVPNサーバーの MAC アドレスだけ。当然、VPNの向こうの平和だったり、平和でもない家庭のネットワークなんぞ、知らんぞな、もし。という事なのですね。もし、そんなユーザにとっては当たり前の環境を検出できずに、繋がっちゃった場合、責任を取るのは結局「現場のネットワーク管理者の減点5」になるわけです。

-これからのIDS(不正侵入者検出、ブロック)の機能は-

やっぱり、接続可能なデバイスの「システム内部」の全てに何等かのエージェントをインストールして「マーキング」をして、マーキングがないデバイスは接続は許さんぞ、というシステムが必要なような気がします。これらは Windows, MacOS, iOS, Android, Linux など全てのシステムソフトウェアに対応している必要があり、システム管理者に対して「お前働くドレイなんだから、それインストールするのに八王子の山奥に住んでいるオレんちまで来て仕事しろ」というユーザがいるかも知れませんが、黙って高尾山の蕎麦屋のレシート確保してでもやるべき仕事かもしれません。

- やっぱりはびこるセキュリティ根性論 -

私はパスワード管理もウィルス対策も、基本は「根性論」であると考えています。システムとしていくつかの障壁を作ってみても、今あるIDSによる不正接続検出に限界がある以上、「やっていい事」「悪い事」はそれぞれユーザに教科する根性論が重要になります。「悪い事」を教えるのはシステムの穴を教えるようなモノなのですが、「やってもいい事」だけのリストではそれ以外は、グレーリストになるため、ブラックルールも明示し、それなりのペナルティを用意しておくことも必要だろうな、という根性論なのです。またグレーゾーンをどう探し出して、運用基準を定期的にアップデートするかのシステム運用側の「根性論」も重要でしょう。

--
という事で、「今考えられる働き方改革の障害となる不正アクセス検出方法」のホワイトリストに俄然と存在するブラックホールを幾つか考えてみました。単純な IP Poisoning によるIDS/IPS にはもう限界があり、それなりのシステム側の対策には様々な方法が見当たるのでしょうが、その都度、新たな投資を考えなければならないのです。









by islandcenter | 2017-10-13 10:41 | プライベートクラウド | Comments(0)