企業のネットワークのインフラ整備において、「ファームウェアの管理」は重要とされるもののひとつです。忘れてしまいがちな基本的なシステム整備にあたる作業ですが、一度手順を間違えると、機能しているネットワークに障害を引き起こしかねないため、二の足を踏む担当者も少なくありません。
ファームウェアの管理が大切とされる機器の中でも、特に重要な機器のひとつが「ネットワークルーター」です。ネットワークの入り口にあたるルーターのセキュリティは、社内全体のセキュリティにも大きく関係していますが、実は法人で利用されているルーターの方がセキュリティ対策において万全ではないと言われています。
自社のルーターのセキュリティは「何が適用されているのか」「何のためにこの設定になっているのか」を確認したことはありますか? 今回はネットワークの入り口、ルーターのセキュリティ施策について考えましょう。
NOTICEの注意喚起の対象は、ほとんどが法人向けのルーター
近年のIoT機器を対象としたマルウェアの増加を受けて、平成31年2月20日から総務省が「NOTICE」といわれるIoT機器に対するセキュリティ調査を実施しています。NOTICEではインターネットプロバイダーと協力してIPアドレスに対して接続を試み管理画面(ログイン画面)にたどりつけるか、たどりつけた場合はデフォルト状態、もしくは脆弱(ぜいじゃく)なID/Passwordを利用していないかなどを調査しています。
総務省の赤阪晋介氏によると、このNOTICEで得られた知見のひとつに、NOTICEの注意喚起対象に挙げられた機器は「個人向けルーターよりも法人向けルーター」の方が多いということがあるとのことです。
この記事では「法人向けルーターでは社外から管理する必要性に迫られ、外部から管理画面にアクセスできたりポートが開放されたりしているうえに、弱いパスワードを利用していたためにNOTICEの検知対象が増えた」「個人向けルーターはデフォルトの利用でも十分にセキュアな構成となっている」と述べられています。
筆者の見解としては、中小企業で特にNOTICEの検知対象が増えているのではないか、と見ています。ネットワークセキュリティに対しての十分な知見を持っていない担当者が、やむなく法人向け製品を設定し、セキュリティが万全でない状態で利用しているうえに、万が一の障害を恐れアップデートしないというサイクルに陥っているのが実情ではないでしょうか。
ルーターが乗っ取られることで起こるリスク
ルーターがネットワークにおいて担う機能は多岐にわたります。無線LANが主流の現在では、有線LANが主流だった時代と比べるとさらに重要になっていると言えるでしょう。ルーターに脆弱(ぜいじゃく)なID/パスワードが使用した結果、管理画面にログインされるだけで多大な被害を受ける可能性があるのです。
簡単なリスクの実例を挙げましょう。ルーターのDNSサーバのアドレスを変えれば、指定していないサーバに飛ばすことが可能です。例えばネットバンキングのアドレスを指定して別のサーバに飛ばせば、あっという間にフィッシングが成立します。
ルーターに蓄積しているログも情報の塊です。さらに接続機器をたどれば、社内のサーバや情報機器のアドレスをたどることも可能になります。VPNルーターとして活用している場合はなおさらです。
それ以外にも単純にマルウェアの感染の土台となることが考えられます。2016年以降に爆発的な感染・被害を引き起こしているマルウェアのMiraiは、脆弱(ぜいじゃく)性のあるIoT機器、特にルーターやネットワークカメラなどに感染し、ボットネットワークを形成することによってDDoS攻撃などの踏み台サーバを生み出しました。
企業のルーターがマルウェアに感染すれば、良くてネットワーク障害、悪ければ情報流出や直接的(金銭的)な被害を引き起こしかねません。重要視しなければならないのは「悪意のあるユーザーにそれほどの能力がなくても、これらの攻撃が可能となってしまう」という点であることを重々肝に銘じておきましょう。
この機会に再度見直しておくべきセキュリティ項目
それでは、こういった被害を最小限に抑えるために何をするべきなのでしょうか。
大前提として、セキュリティ担当者であるならば、社内のネットワークマップを作成するべきです。自社内にどのような機器があり、どのような経路で接続されているのかということを認識することが、「正しいセキュリティ」を検証するためにも重要だと言えます。
社内の情報資産の棚卸しも重要です。社内には何が存在しており、何のために使われているのか。不必要な情報機器が存在していないか、更新で別の機器に入れ替わっていないかなども、セキュリティ担当者ならば当然把握していなければなりません。
これらは「ルーターのためのセキュリティ」に限った話ではありません。ただ、ルーターはネットワークの入り口にあるために、ネットワークに接続する機器全体に影響を与え、同時に影響を受けているのですから、しっかりと検証すべきでしょう。
そのうえでルーターのセキュリティで重要となる最大のポイントは「不必要にアクセス可能な状態になっていない」という点です。
・不要なポートの開放
・不要なアクセス権限
・不要な管理画面の接続
といった「不要な一切合切」はすべてシャットアウトされるべきでしょう。
加えて、
・定常的なファームウェアの更新確認
・定期的な接続機器の確認
・ログの取得
・十分に複雑なIDとパスワードの利用
といった基本的なことをまもるだけで、大きくセキュリティが向上します。
また、無線LANの活用をしている環境下ではSSIDステルス機能を活用することも重要です。とにかく、うかつに情報を公開しないようにしましょう。
テレワークでは従業員の家のネットワーク環境も注意を
そして、昨今のテレワーク重視の環境下では従業員が利用する家庭のネットワーク環境も検証する必要があります。といっても、ユーザーが利用しているネットワーク機器の安全性の確認や、機器の整備といったことまでひとつひとつセキュリティ担当者が行っていたら、やがてパンクしてしまいます。重要なのは、「必要にあわせた、セキュリティの構築」です。
テレワーク環境下で容易にセキュリティの構築をする方法は、「セキュリティソフトの導入」と、「VPN環境の構築」ではないでしょうか。これらは家庭のネットワークはもちろんのこと、公衆無線LANなどの活用時などに特に効果を発揮します。
ただ、テレワークをしているユーザーが利用している機器についての情報を集めておくこともおすすめします。企業としての情報は安全性が担保されていても、個人で利用している機器が危険な状態にあり、そのユーザーの情報が漏洩していたとしたら……どのような事態が引き起こされるか予測できません。社外に対する信用を確保するという意味でも、個人が利用している機器の情報は確認しておき、必要に応じてセキュリティの指導をすることが大切です。セキュリティ担当者にとってはやや面倒な作業ではありますが、個々人のセキュリティ意識を高めるにはとても重要な要素とも言えるでしょう。
まとめ ルーターのセキュリティは対岸の火事ではない
総務省の調査によると、法人向けのルーターは意外なことに個人向けよりも危険だという実態があります。
特に中小企業は求められる知識と持ち合わせているスキルにギャップがあるため、ルーターがセキュリティホールになってしまう可能性が非常に高いことがわかって貰えたと思います。
ルーターのセキュリティがいかに重要なのかは言うまでもありません。
そんな重要な機器であるにも関わらず、定常的に設定を確認できているかというと、どれくらいのユーザーが手を挙げられるでしょうか。
今回の情報を契機に、ぜひネットワーク機器に対して関心を持ち、セキュリティをしっかりと確認するようにしましょう。本サイトでもネットワーク機器に関する知見をまとめたページがあります。
残念なことに、上司に「外からでもアクセスしたいから、管理画面を開放してくれ」などと言われたという事例は少なくありません。そのような際にセキュリティ担当者が知識を持って「なぜそれが危険なのか」ということを説明できれば、むちゃな頼みも少なくなることでしょう。まずは責任を持って、知識をつけることがセキュリティ担当者としての基本です。