以前から良く言われるのは「このパソコンはネットに繋がっていないから安全なんだ」という神話ですが、果たして本当に安全なのでしょうか?
まず、ネットに繋がっていないパソコンというのは具体的にどういう用途で使われているパソコンなのか列挙したいと思います。
- ファームバンキングの端末(2024年頭には全てなくなりそうですが)
- 工場などの工作機械に付属する端末
- 病院などの医療機器に付属する端末
- 放送局などの放送機器に付属する端末
- その他、作業用機器・制御機器に付属する端末
一般的に、これらの機器は情報システム部門の業務範疇から漏れているケースもあり、誰が管理するのか曖昧になっているものが多いかと思います。
そこで問題になるのが以下になります。
- OSやソフトウェアのアップデートは誰がどのように行うのか?
- OSやソフトウェアは各メーカーのサポート期間内なのか?
- ウイルス対策は万全なのか?
- 完全に独立した存在になっているのか?
だと思います。
特に3番目の「完全に独立した存在」がキモで、意外と意識されていないのですがUSBメモリや何らかのメディアを使ったりして外部とデータのやりとりをしている可能性が否定できないという点が問題になります。結局、線では繋がっていないけどメディアでは繋がっているという事になると「完全に独立した存在」ではなくなる訳ですね。セキュリティの観点からすると「線で繋がっているものと同等に扱う」必要があります。
しかしながら、先にも書いた通り「ネットに繋がっていない=安全」という神話が固く信じられているため、サポート切れのOSやソフトウェアを使ったり、サポート期間内であっても最新の状態になっていなかったりの状態で放置されているため、セキュリティ的には「大穴が空いている状態」である事が多いです。
2010年のコンピュータウイルスStuxnet(スタクスネット)の感染拡大はUSBメモリを介して行われました。これによりネットに繋がっていない制御機器用パソコンを感染させ、システムをダウンさせるという事件が発生しています。
ですから、一見ネットから切り離され独立して存在しているように見えるパソコンであっても、USBメモリを始めとするメディアでのデータのやりとりを行う以上はネットに繋がっているパソコンと同等のセキュリティが求められると同時に、それらと同等にOSやソフトウェアのアップデートを行い、ウイルス対策を行う必要があるという事を忘れてはいけません。
また、記憶に新しいのは2021年10月の徳島県のつるぎ町立半田病院のランサムウェア被害です。こちらも「いわゆるネット(インターネット)には繋がっていない(=端末からはインターネットにアクセスできない)」システムでしたが、業者の保守回線用に設置されたVPN(仮想プライベートネットワーク)機器の脆弱性を突かれて侵入され感染したものでした。この例では、意識されていなかったものの保守用にインターネットに繋がっていた訳です。
どんな形で存在しているパソコン(システム)であっても「絶対に安全」なパソコン(システム)なんてないのです。データの流れ等を洗い出しリスク分析を行って穴を埋めていく事が非常に重要になります。
御社でも今一度見直してみたらいかがでしょうか。