- テストが不十分なコンテンツ更新によって、"ClownStrike" という「仮想」のセキュリティ企業が Windows のインストール基盤の大半を停止させた事件があった
- この状況について非難すべき相手は多いが、多くは「こうしたシステムはインターネットに接続されるべきではない」という主張を繰り返している
インターネットに接続しないことの現実的な考慮事項
- 現代のビジネスコンピュータは、ほぼ全面的に通信装置としての役割を果たしている
- 組織や地理的境界をまたぐ相互接続なしでは、価値を生み出すことは難しい
- 航空会社の予約・スケジューリングシステムなどは本質的に通信システムであり、ネットワーク接続なしでは機能できない
保守と運用のためのネットワーク接続の重要性
- リアルタイム通信が不要なシステムであっても、ネットワーク接続は保守、監視、ビジネス要件の変化への対応に非常に有用である
インターネットに接続されていないことのさまざまな意味
- インターネットに接続されていない形態にはさまざまなものがあり、明確な定義なしに真剣な議論を行うのは難しい
- 単一デバイスにネットワーク接続がないケースから、NSA認証のクロスドメインソリューションに至るまで、さまざまなシナリオがある
- 専用WAN、暗号化トンネリング、AWSプライベートVPCなど、さまざまな形の制限付きインターネット接続方式がある
インターネット接続のないシステム運用の不便さ
- ほぼすべてのソフトウェア環境がインターネット接続を前提に設計されているため、オフライン環境ではあらゆることがより難しくなる
- OSアップデート、パッケージマネージャ、TLS証明書、クラウドライセンスなど、多方面で追加作業とコストが発生する
- エンタープライズソフトウェアベンダーとの複雑なやり取りによって、時間とコストが大きく増加するケースも多い
オフライン環境は多くない
- 強い意味でのオフライン環境は、防衛、情報機関、一部の銀行などに限られる
- これらの業界は概して、コストと時間が過度にかかることで知られている
- 弱い形であっても、厳しい規制産業やセキュリティを重視する一部企業で見られる程度である
改善のための提案
- 可能な限り制限的なネットワークポリシーを適用すること(AWS などのクラウドはこれを容易にしてくれる)
- オフライン環境を念頭に置いたソフトウェア開発(外部接続の最小化、エンドポイントの代替手段の用意など)
- システムの信頼ストアの使用、デプロイ時点での依存関係解決など、TLSおよびその他の暗黙の前提を見直すこと
- Docker はオフライン環境の管理をかえって難しくする逆説的な事例である
GN⁺の見解
- CrowdStrike事案は、インターネット接続の有無とは無関係な問題である。オフライン環境でもセキュリティアップデートは必須である
- しかし現実には、オフラインアップデートは遅延しやすく、これはかえってセキュリティの助けになることもある
- ネットワーク分断は概念的には魅力的だが、実際の実装は非常に難しい。今後はソフトウェア業界がこれによりよく備える必要がある
- 一方で、インターネット接続を前提とした現代IT環境の根本的な限界を認識し、ネットワークポリシー強化など実現可能な改善策を優先して模索すべきである
- 基幹インフラ、防衛など超高度なセキュリティが必要な領域では、困難を受け入れてでも物理的なネットワーク分離を検討する価値がある
1件のコメント
Hacker Newsの意見
セキュリティ/システム/運用分野で働く者として、たいていの人は仕事をきちんとできておらず、業界全体がそれを後押しするようにできている
スウェーデンにはインターネットから分離されたSjunetという私設ネットワークがあり、医療提供者が利用している
制御エンジニアとして、Ethernetケーブルを使う機械はインターネットに接続されるべきではない
システムをエアギャップすべきでないという主張には同意しない
私設ネットワークを運用する際、内部サービスは一般的なCAのTLS証明書を持たない可能性が高い
マクドナルドのキオスクを使ってみた後、ほかの場所の機器も試してみた
主な結論は、システムがインターネットに接続されるべきではない、ということではない
Hamnetは部分的にインターネットルーティングが可能で、アマチュア無線の周波数帯を使っている
航空会社の予約システムはネットワークに接続されている必要があるが、多くの機器はオンラインに接続される必要がない
ある種のソフトウェアは人気を失い、もはや害を及ぼさなくなった