法人で利用されている端末の中にはインターネット接続を前提としないオフライン端末も存在します。また、組織内ネットワークのみでの利用を前提としたクローズド環境でも端末が運用されています。それらの多くはさまざまな理由から一般的なセキュリティソフトによるマルウェア対策を施せない場合もあります。
今回は、法人におけるオフラインやクローズド環境のセキュリティについて考えてみましょう。
オフライン環境はマルウェア感染とは無縁?
法人におけるオフライン端末(インターネットにつながっていない端末)の代表例は、工場の生産ライン管理や製品検査などの業務に使用されるものです。医療機関では制御端末、電子カルテなどがオフライン環境や、組織内ネットワークのみに限定されたクローズド環境で運用されている例があります。
ただ、オフライン環境の定義は曖昧で、組織によって解釈はさまざまです。「インターネットから完全に切り離された環境」だけでなく、「インターネットと直接的にはつながっていない環境」もオフライン環境ととらえられることがあります。たとえば、専用回線で保守業者などが接続できるように許可しているケースが後者の例です。
オフラインやクローズド環境はインターネットから押し寄せるマルウェア(ウイルスなど不正なプログラムの総称)などのセキュリティ脅威とは無縁のように思われがちです。
しかし、これは誤ったイメージです。まず、間接的であれインターネットとつながっている場合はマルウェアと無関係ではいられません。
また、USBメモリなどを介して感染するタイプのマルウェアが持ち込まれた場合、オフライン環境であってもそれらを介してマルウェアに感染する危険性があります。ほかにも、実際には一部の機器がWi-Fiと接続していたり、一時的にインターネットに接続する機会があったりなど、完全に独立した環境ではないことが少なくありません。
また、近年はポータブルWi-Fiやスマホのテザリング(スマホを親機としたインターネット接続)機能の利用も一般化しており、従業員による機器の持ち込みなどによってオフライン環境が突如「オンライン」化してしまうこともあります。ここからは法人におけるオフラインやクローズド環境におけるマルウェア感染事例を見ていきましょう。
図:さまざまな脅威にさらされているオフライン環境下の端末
オフライン環境のマルウェア感染事例
事例1:某医療機関
一時的にインターネットにつながったオフライン環境下のWindows端末がリモートデスクトッププロトコル(RDP)経由でランサムウェアに感染。全端末のセキュリティパッチ適用を含め、数日がかりで復旧作業を行ったものの、暗号化対象となったファイルを消失し、その間の業務停止も余儀なくされてしまいました。ランサムウェアは、端末をロックして操作できなくしたり、端末内のファイルを暗号化したりして、元に戻す条件として金銭(身代金)を要求するマルウェアです。このランサムウェアによって医療機関が被害に遭った例も少なくありません。業務の停止だけでなく、人命にも関わる問題に発展する危険性があります。
事例2:某製造業
オンライン環境の端末で使われていたUSBメモリを介してオフライン環境の端末がマルウェアに感染。生産設備が停止に追い込まれてしまいました。
事例3:某製造業
製品検査用のオフライン端末がマルウェアに感染し、その感染端末による検査工程で出荷製品にもマルウェアが混入。そのまま製品が出荷され、当該メーカーは消費者への告知や製品の回収、交換などに伴う多額の損失を被っただけでなく、ブランドイメージの低下も招いてしまいました。
こうした事例からも分かるとおり、オフラインやクローズド環境下であってもマルウェアに感染する危険性があります。つまり、それらの環境下においてもセキュリティによる保護が欠かせないのです。
オフライン環境において有効なマルウェア対策とは
オフライン環境におけるマルウェア対策は一筋縄ではいかないのも事実です。セキュリティの観点では一般に、OSの開発元から提供された更新プログラムを速やかに適用し、脆弱性(マルウェア感染などの原因となるセキュリティの欠陥)を修正することが推奨されます。
しかし、企業のオフライン環境では脆弱性が放置されるケースも少なくありません。生産ラインなどで使用される制御端末は24時間365日稼働することが求められ、更新プログラム適用に伴う再起動も極力避ける必要があるためです。
また工場や医療機関の制御端末は厳密な性能要件を満たす必要があり、新たなソフトウェアのインストールが禁止されている場合もあります。仮にソフトウェアをインストールできたとしても、以後メーカーのサポート対象外となる可能性があるため、一般的なセキュリティソフトによる対策も困難です。
そもそもオフライン環境では「パターンファイルの更新が難しい」「パターンファイル更新のたびに動作検証が必要になるため手間が大きすぎる」といった問題もあります。では、オフラインやクローズド環境の端末をどのように保護すればよいでしょうか。
法人向けセキュリティ製品の中には、オフラインやクローズド環境向けに提供されているものもあります。たとえば、オンライン環境からオフライン環境にファイルを転送する前にそのファイルを解析し、マルウェア感染を防ぐ製品が代表例です。
また、外部から持ち込まれた機器からの感染を防ぐため、USBメモリやスマホなどのデバイス接続を管理・防止するもの、内部犯による情報の持ち出しや感染を防ぐネットワーク監視や脆弱性悪用の防御といった機能を有するものもあります。組織の担当者は環境や運用状況に応じてセキュリティ製品を活用すると良いでしょう。
企業や組織にとってマルウェア感染は、事業活動の継続や企業の存続そのものを揺るがしかねない重大なリスクの1つです。昨今、サイバー犯罪者はセキュリティによる保護が不十分な子会社や関連会社、海外拠点、取引先などへのサイバー攻撃を足掛かりとして親会社に攻め入る動きも見せるようになっています。企業にはサプライチェーン全体を考慮してセキュリティガバナンスを確立することが求められているのです。
そのためには、従業員教育も欠かせません。企業の担当者による技術的対策に加え、人の脆弱性を突く攻撃を回避するための教育も並行して実践しましょう。
そして、そのためには経営層によるリーダーシップが欠かせません。担当部署や担当者に任せっきりにせず、セキュリティを経営課題の1つとして取り組んでください。
最後に、家庭にも目を向けておきましょう。いまやホームネットワークを構成しているのはパソコンやスマホだけではありません。カメラやゲーム機、プリンター、スマートスピーカーなどもその一部であり、家庭におけるオンラインとオフラインの境界線はますます曖昧になっています。そこで求められるのが、セキュリティソフトによって端末を個別に守るだけでなく、それをインストールできないスマート家電なども含めたホームネットワーク全体を保護する方法です。
また、インターネットに接続せずに使っていると思っているパソコンやカメラ、周辺機器も、実際にはWi-Fiや、リムーバブルメディアを使ってファイルのやり取りを行っている場合があり、それらを介してマルウェアに感染する可能性も否めません。最低限の対策としてホームネットワーク全体を保護するセキュリティ製品を利用しましょう。
そして、インターネットに接続するパソコンやスマホ、タブレット端末には必ずセキュリティソフトやアプリをインストールし、常に最新の状態で利用することも忘れないでください。
※この記事は制作時の情報をもとに作成しています。