皆さん、こんにちは。koppunです。 vExpert Securityとして、私が今最も情熱を注いでいるのが Carbon Black Cloud Workload (CBCW) の運用です。
日本の医療機関では「インターネット接続=即・情報漏洩」という極端な恐怖心から、完全な物理隔離(エアギャップ)を尊ぶ傾向があります。しかし、オフラインのアンチウイルスが最新のランサムウェアに無力であることは、近年の国内病院での被害報告を見れば明らかです。私はあえて、センサーの通信をL3スイッチとUTMで厳密に制御し、クラウド上のAIに解析させる「ハイブリッド・アイソレーション」構成を選択しました。
【検証:なぜL3とUTMの二段構えなのか】
CBCWのセンサーは、クラウド上の「Carbon Black Cloud」と通信し、世界中の数百万の端末から集約された脅威インテリジェンスと照合を行います。ここで、単にプロキシを通すだけでは不十分です。 当院では、L3スイッチのACLでサーバーからインターネット方向への通信をデフォルト拒否(Deny All)にし、特定のUTMへの経路のみを許可。さらにUTM側で、Carbon Blackの公式ドメイン(*.carbonblack.io等)に対するポートxxxの通信のみをFQDNベースでホワイトリスト化しています。
この構成の最大のメリットは、サーバーが「外部と通信している」のではなく「セキュリティ解析結果のみを送受信している」状態を作れることです。万が一、脆弱性を突いた攻撃を受けても、攻撃者が意図するC2サーバーへのコールバックは、L3とUTMの「二重の壁」で物理的に遮断されます。「パッチは当てられないが、クラウドの知能で守る」。これが、リソースの限られた病院情シスが取るべき、次世代の「攻めの防御」です。
と、カッコつけて書きましたが、セキュリティは日進月歩です。
今後も、アンテナを張りつつ、キャッチーなネタをお届けできたらと思います。
