🛡️

死にそうで死なない背水のセキュリティ対策

に公開
情シス
アドベントカレンダー
セキュリティ対策
死なない
idea

https://adventar.org/calendars/11541

はじめに

アドカレ初心者枠ということで簡単な自己紹介を。

私はアラカン間近の情シス3年生、印刷業営業職からまさかの異動でひとり情シスになりました。弊社の規模は130人程度、拠点3つの典型的な中小会社で、書籍印刷などのオフセット印刷を生業にしています。

結論から

人・モノ・金が足りていないという前提から、何を守るかを絞り込むことがひとり情シスの精神を守ります。そして多分、企業も守れるかもしれません。

サイバーセキュリティ(以下セキュリティ)対策はコスト青天井です。しなければならないこと(したくなること)が無限にあります。私たちは限られたリソース内で職務を遂行するためにこの「全部ちゃんとやりたい」という欲望と戦う必要があります。

経営・社員・攻撃への不満・不安に磨り潰されず、自らの雇用を守るために、まずここを守れば死なない、生き残れば勝ちというスジを見つけましょう。あとは野となれひとり情シス。

「あ、これ一発で死ねる」と気がついた日

情シス2年生となった昨年、K社さんのランサムウェア被害をきっかけとしてセキュリティ対策について怯え始めました。このインシデントが表沙汰になるまでは、社会トレンド的に全然足りていないといえそうな自社セキュリティ対策に目を配る余裕が有りませんでした。

しかしK社さんはガチの隣接業種(弊社にとっては顧客業種)です。弊業界は様々な顧客と非常にカジュアルなデータ授受を行いながら業務を回しています。メール、ファイル転送サービス、クラウドストレージ、USB、CD-ROM、ほんの少し前まではまだMDやFDも利用され、PPAPすら無いような形で時には個人情報の授受すら行われてきました。

対して社のセキュリティ対策といえば、従来の境界型セキュリティ対策にとどまっており、顧客を含めてアタックサーフェスが広い割にのんびりとした状態にあります。更に顧客を含めてセキュリティ意識が低く、過去にはPCのフルバックアップを取ったメディアが数KBのデータ授受のために渡されたようなこともありました。

K社さん、及びその背後で起きていたI社さんのインシデントは、私を怯えさせるに十分なものでした。やばい。ついにこの業界にも被害が出始めたかと思ったものです。しばらくは冗談でなく弊社がやられる夢を見ました。

対策をせねばと情報を集めれば集めるほど、中小企業こそが危ないこと、特にサプライチェーンの課題が大きいこと、当社と同規模・同業態の企業もランサムウェアの被害を受け始めていることが見えてきました。

ランサムウェア被害は体力のない中小企業にとって死活問題です。特に弊社は顧客の事業に直結するデータを大量に抱えており、これを飯のタネとしています。データの消失や欠損は業務停止のみならず、即死クラスのインパクトを持つことが容易に想像出来ました。

もし弊社がランサムウェアに感染すれば、インシデントの解消までも持たず、キャッシュがランアウトして廃業するだろうと考えています。

即死を想像できない

私はむちゃくちゃ怯えましたが、即死クラスの想像を社に還元することには困難を極めています。ひょっとしたらば、どこかに私の知らない資金があるのかもしれませんが…。地震への備えのようなもので、人間、想定可能な苦難はどこか他人事として心のフィルタで弾かれているのかもしれません。

セキュリティ関連情報を収集しつつ上部へのアウトプットを始め、関連ドキュメント→テキスト+画像のスライド→ほぼ画像のみのスライドまでブレークダウンして行きましたが、そもそも話を聞く姿勢になっていただけずことごとく空振っています。挙げ句、直上の上司からは、取締役の負担になるために一旦自分が引き取るとまで言い渡されます。お、詰んだか。

この一年で対応してきたこと

半ば詰んだような状態で悲観的なビジョンを私は抱えていますが(狼少年とみなされている可能性がありますね)、それでも現実的な対応としては、経営者・一般社員に啓蒙と提案を続けながら、淡々と出来ることを推進しました。特に社長には面談の機会があるたびに、次はこれ、来年はこれをやりますよ! と豆腐に釘なメッセージを送り続けています。

そんなこんなで今年一年セキュリティ対策として実施してきたことを書き出してみます。

  • 諸台帳整理
  • システムの正規化・標準化・見える化の進展
  • エンドポイントのセキュリティ設定の見直し(Windows Defenderなど)
  • RDP利用禁止例発布
  • EOSしたOSの停止、一部ESU導入
  • ID・PWの使いまわし、安易な変更の是正
  • IDの棚卸しと是正
  • メールサーバのDKIM/DMARK対応
  • メールアカウントの一斉PW変更(一部アカウントへの不正アクセスと思わしき挙動を検知したことから実施)
  • MFAを使えるサービスでは可能な限りデフォルトオンに変更
  • SaaSフリーアカウントの棚卸し実施
  • EOSしたファイルサーバ・NASの廃止提案、承認まで取り付ける
  • UTM学習、FW / WEB Filter設定の棚卸し、設定の整理(ベンダと協働)
  • VPN接続先・OTPトークンの棚卸し、SSL-VPN廃止のための調整開始
  • VPN接続用と引き継ぎ紹介されていた用途不明のPC群停止・廃棄
  • NW機器の実体管理にテプラ貼付を開始
  • NWの不要な物理経路廃止・統合
  • 老朽化したSW HUB類の棚卸し・リプレース実施
  • スイッチの空きポートを塞ぎ、合わせLANケーブル無断脱着禁止令発布
  • 全社向けセキュリティアンケートを複数回実施
  • 社内Slackにセキュリティ・ICT系情報共有用チャンネルを設置
  • 微インシデントの社内見える化実施(閉ざさず見える化する)
  • などなど

全部入りから考えることを止める

細々としたことをちまちまやってきましたが(特に全社のPCリプレースを実施したため、PCの設定変更ができたのは良かったのです。ちまちま大事です)、即死に至る道筋はいくつも想像が効く状態が続いています。

そこで膨大なやりたいことへの誘惑を振り切り、まずこれだけという実施リストに絞ってみました。でもそれすら、コストを考えるとリジェクトされると想定されました。今年秋くらいから諦念、いや思考の適正化が進み、一番やばいところをとにかく潰せば、なんとか会社は死なないかもしれない、そこをやるべきだろうという気持ちにたどり着きました(時間かけすぎだとは自分でも思います)。

そう、求める方向の根っこ、つまり会社の即死を避けることを目指せばよいのです。なんとか企業が生き残ってくれる状態に持っていけるような策を練ればよかったのです。正直、なんとかレベルではインシデント発生時に会社の多くの人がレイオフされる状態が来るだろうなとは思います。しかし突然の倒産に全社員が路頭に迷う心配は避けられます。レイオフ対象者には退職金すら支給できるかもしれません。

(なお、対策不足からのインシデント発生時に、責任の所在が私には無いことだけは上位に確認して承認されました←超大事)。

さてでは何をするか

まず、当社製造のコアである製造データを保護するための措置を充実させます。具体的にはバックアップ方法の見直し(現在は3-2-1ルールにかなり近い状態です)と、サーバへのアクセス経路を縮小することを考えます。

また、製造系NWとその他の部門のNWを可能な限り分離するつもりです。なんなら、UTMごとNWを分けてしまいたいと考えています。

そしてその他の設備については、やられたらば諦めて素から構築する覚悟です。作業量からも軽微とは言えない被害になるでしょうけれど、事業継承さえできれば、ある程度の借り入れの目処も立つかもしれません。当座をしのぎまくって、生き残る所存です。

内容がセキュリティだけにこれ以上踏み込んだことは書けませんが、なんとかやって行きますよ。おそらく、私と同じような境遇にあるひとり情シスや限界情シスの方はたくさんいらっしゃると思います。負けず死なず心を壊さないよう、もがいていきましょう。

Discussion