意見 直感的に分かりやすいように思える。PCをインターネットから切り離せば、攻撃から安全になる。Googleはこのアイデアを高く評価し、数千台のワークステーションをこの危険な沼から切り離そうと試みている。同社によると、このエアギャップは攻撃コストを高めるための実験だという。
Google、一部社員のPCにインターネットのエアギャップを導入か
続きを読む
セキュリティに対する新しいアプローチを試すことは良い考えです。脅威の背後にある経済的な論理を理解することも同様です。Googleさん、素晴らしいですね。ただ、それがうまくいかないのは残念です。むしろ、良いことよりも害の方が大きいかもしれません。
まず明白なことから始めましょう。これはエアギャップではありません。真のエアギャップデバイスは、有線・無線を問わず、他のデバイスと一切接続されていません。本当に確実に知りたい場合は、ファラデーケージに入れて、デジタル処理による電波を遮断する必要があります。古いAMラジオをスマートフォンの横に置いて、どれだけの電波が空中に響き渡るか聞いてみてください。
無理やり言えば、インターネットが機能していないネットワークをエアギャップ化することは可能ですが、それ自体が本質的に安全性が低いのです。ネットワーク上のあらゆるデバイスは、偶発的、不正、あるいは違法な接続が行われれば、ネットワーク全体に悪影響を及ぼします。これが、ウランを精製するイランの超高セキュリティ遠心分離機を機能停止させた原因です。Stuxnetに感染したデバイスが接続されていれば、直接インターネットに接続する必要はありません。そして、Brainブートセクタウイルスが、完璧にエアギャップ化された1988年製のPCクローンで溢れかえる地球全体に蔓延しないはずがありません。
もちろん、Googleのエアギャップは極めて仮想的なものです。従業員は引き続きGoogleの社内ネットワークに接続し、通常のツールやオフィスソフトウェアにアクセスできます。そのため、メールや共有ドキュメントといった、あの便利な攻撃ベクトルが生まれます。エアギャップがどのように実装されるのか、隔離されたネットワークセグメントなのか、ユーザーがマッピングしたファイアウォールのホワイトリストなのか、あるいは他のアプローチなのかは不明です。いずれにしても、うまくいかないでしょう。
究極の理由は、Googleがインターネットから自らを切り離そうとしているという、極めて濃厚な皮肉です。Googleはあまりにも集中しすぎて、自己矛盾の特異点に陥っています。職場でもプライベートでも、私たちの生活をインターネットに完全に依存させるのにGoogleほど尽力した企業は他にありません。コンピューターのネットワークをオフにしてみて、どこまでできるか試してみてください。現代の職場環境が根本的に改革されない限り、インターネットを遮断することは仕事を遮断することと同じです。
企業の日常的なITセキュリティによって引き起こされる損害の多くは、まさにここに起因しています。エアギャップのように、ユーザーがアクセスできる範囲を企業が保護できる範囲に制限するという基本原則は容易に理解できます。しかし、エアギャップのように、そのようなことは何でも可能であると想定しています。セキュリティの要塞を築くどころか、このアプローチは企業社会における最大の沈黙の陰謀を生み出しました。従業員はセキュリティ意識向上コースを受講させられ、規則の遵守と承認されたIT機器のみの使用を義務付ける雇用条件が課せられます。経営陣が自社のコンプライアンス規則を遵守するには、これだけで十分です。すべての項目がチェックされ、企業は責任ある効果的なサイバーセキュリティポリシーを報告できるのです。
- Azure AD に別れを告げ、時間とお金の無駄遣いをやめましょう
- AI軍拡競争は、残酷さを伴わずにクールさをもたらすかもしれない
- 番号は999。そして911。そして000。そして111。
- そもそもGitHubは誰の責任なのか?訴訟ではなくイノベーションが答えるべき
そうなれば良いのに。ユーザーはルールを口先だけで守る。守らなければクビになるからだ。しかし、ツールやポリシーが業務の妨げになる場合は、独自のツールを使い、企業の管理下からデータを非定型的な方法で持ち出したり持ち込んだりする。企業のツールやプロトコルは、ユーザーの業務遂行にはあまり役に立たない。なぜなら、ユーザーに何が必要か尋ねる人などいないからだ。それに、多様性を管理するのは容易ではない。
それでも、人々はあの忌々しい仕事をしなければならないので、それをこなす方法を見つけなければならない。彼らの直属の上司も同じことをしている。誰もそれを認めない。サポートに助けを求めるのは危険なので、実際にはどれほど不安定なのか誰にも分からない。多様性を確保するのに費用がかかると考えるなら、そもそも確保しないことを試してみてはどうだろうか。
一般的に効果的なエアギャップポリシーとは、このことを大々的に宣言したものになるでしょう。ロックダウンが厳格であればあるほど、回避策はより独創的になります。ベンダーやアナリストが言うように、データを分析に基づく迅速な反復処理を促す酸素と捉えるようにビジネスを再構築することは、データの移動を遮断しては不可能です。私たちはサイロを解体するべきであり、ファラデーケージの中に閉じ込めるべきではありません。
攻撃対象領域は、企業が呼吸する膜と同じものです。透過性と感染耐性の両方を備えた設計が必要ですが、窒息と同じくらい確実かつ迅速に人命を奪うのが「小さなもの」です。
コンピューティングには絶対的なルールはほとんどありません。データはプロセッサに出入りする必要があります。データと命令の間に根本的な違いはなく、プロセッサが計算するか命令に従うかは完全に状況に依存します。完全に安全なコンピュータは全く役に立たない ― しかし幸いなことに、それは完全に不可能でもあります。
Googleはこれらすべてを承知しています。エアギャップという現実離れした現実感を無視し、ユーザーのニーズを理解し、適切なセキュリティ判断を下せるビジネスITの構築に集中する方がはるかに賢明です。誰かがやらなければなりません。®
