● 「130万社かその2倍の事業所数が参考になるかも???(かも?です)」~ PC30台以下の事業所が、未知のウィルスにも対応できて、ランサムウェア漏洩や脅迫をつぶす、WindowsUpdate(基本、事務用途にはほぼムダな修正)を多少怠けても大丈夫な、ネットワーク構築やPCの使い方
※まだ書きかけです。すみません。
※間違ってたらすみません。
※メモ書きなので、自分でも意味不明な箇所も多いです。ごめんなさい。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
ポイント
★★★ 専門家の対策だと犯罪者との ★★★
★★★ 「いたちごっこ」は「永遠に続きます」。 ★★★
★★★ ★★★
★★★ でも今回の対策だと、もしかしたら、 ★★★
★★★ 「いたちごっこを終わらせる」ことが可能かもしれません。 ★★★
まえがき
今回の対策は、
全国に恐らく130万社くらい、事業所数だと「恐らく200万拠点くらい」が存在する、
「Webやメールやクラウドばっかり見てるわけじゃない(接客、商談、工事等々をしてる)」
「ワークグループでのネットワーク構成」の、
「パソコン台数30台以下の」、
「パソコンを、基本的には事務だけにしか使わない」、
そういう
「零細企業の」
事業所のためのものです。
(※現在、日本の企業数は、約336万社あって、そのうちの99%くらいが中小零細で、
特に、従業員が20名以下の企業が日本全体の85%くらいだそうです。
拠点数(事業所数)は515万拠点くらいらしいです。)
大企業や、中小企業の中でも大きいところ、IT屋さん、デザイン屋さん、動画屋さん、広告屋さん、
などの
「Webやクラウドが1時間でも使えないと死ぬ」
「大規模ネットワークしか使えない(ActiveDirectryなども含む)」
「VPNなどで物流センターや大きな工場とつながっている」、
などの企業は対象にはしていません。
(今回被害のあった、アスクルさんやアサヒビールさん、過去に被害のあったトヨタ系の下請けさん、等々の大きな企業は対象にしていない、ということです)
そして今回の対策としては以下のような方向を目指しています。
●「感染はするけど、漏洩や脅迫は ”ゼロ”または ”少し”。”侵入も大幅減。 ”
「大手企業が犯罪者に暗号化されたり盗まれる量の、8~9割以下に」。
従業員のうっかりミスや「ラクしたいゆえのルール破り」があってもです。
そういうルール破り「前提」で。でも被害は「8~9割減に」。
「できれば10割減に。」
少なくとも異変を感じてからルーターの電源を抜いたり、LANケーブルを抜いたり、
他のPCの状況確認などがそこそこ落ち着いてできて、できるだけ業務を止めない、
その「時間稼ぎ」くらいはできるように。
そしてその間は「★★★漏洩しない★★★」という安心感を。
更に少なくとも、大手企業の事件・被害で頻繁に起こる、以下のことが無いように。
"全部盗まれる"、あるいは、
"数カ月にもわたって潜伏を許してしまい"、
"どのデータを盗むと一番効果があるかを、
ゆっくり物色までさせてしまう"、
"そういう余裕を与えてしまう"、
とか、
"どれだけセキュリティのプロが揃っていようが"、
"どれだけWIndowsUpdateを真面目にやっていようが"、
"侵入されて"、
"完全に"
"ナメられてしまう。"
●「感染しても感染したその1台のみしか被害なし。」
「被害を出来る限り1台だけに食い止める」
●「未知のウィルスにも強い。」
●「復旧ができる限り楽になるように。」
●「よって、古いOSも使える。」
●「プリンタ複合機」がどのネットワークからも使える。
(印刷のみ。スキャナPDF共有閲覧はSMBが生きてる同一セグメントのみ)
●ランサムウェアや拡散系のウィルスはネットワーク内の自動拡散は
できるだけ防ぎます。ルーター間では実質ゼロに近づけます。
●作業コスト(追加のパソコンや機器を含む)は1台当たり2~3万で、
できれば最低10年は持つように。(1年あたり2000~3000円以下)。
●各種設定を難しくしすぎない。(PCに詳しいバイトでもできるレベルに。)
●復旧をラクに、できるだけ早くできるように。
●バックアップはこまめに取る。
(平時用に常時接続のバックアップと、
ランサム等復旧用に常時接続しないものの最低2つを。)
●「無駄なWindowsUpdate」不要。
●「脅し的な」「WindowsUpdate」も不要。
●OSやソフトの無意味なバージョンアップ地獄不要。コスト浮く。
●「高額なセキュリティ業者」不要。
●「社員だけで」対応できる。(あるいはPCに少し詳しい学生、バイト、でも設定できる)
●「高額なセキュリティ装置」も不要。
●「メール+WebのPC」はMacでもLinuxでも可。
「Windowsである必要はない」。
(MicrosoftOfficeが不要なときだけだけど。)
「全部繋がっている、ということは、”実は”悪かもしれない?」
「全部繋がると便利!はウソで、実は、IT屋さんが商品売るのに便利なだけ」
「全部繋がるから=全部流出する(例:アサヒビールさんやアスクルさんなど多数)」
「全部繋がると便利!全部つながないなんて超効率悪い!!
=実は半分以上ウソ。実際、例えば、IT関連の仕事じゃなければ、
そこまで効率悪くならない。」
「全部繋がると便利!
=巧みな洗脳。
日本全国、長い年月をかけてそう信じ込まされているだけ。
そう思い込まされているだけ。」
「オンプレミスの顧客DBだけはWebから切り離してもいいのでは?」
「例えばIT屋さんでもないのに、メール、そんなに送る?実は電話も多いのでは?」
「例えばIT屋さんでもないのに、Web、そんなに見てばっかりいる?」
「実は先入観無く見直してみたら、実は顧客DBだけのネットワークの中で、
チラシや広告のデザインも、印刷も、FAXも、Excel・Wordも、
全部完結しちゃうんじゃないの?」
という思想でやります。
(※もちろん、クラウドの顧客DBなどの場合、
それを見るPC達もWebにつなぐことになります。(Webへの出入口は色々)
本対策では、それは
後述の構成図の(【a】=ルーター3)のネットワークのPC達になりますが、
ブラウザは顧客DBのみ等しか使わないようにして、
検索などは禁止し、メーラーはインストール禁止にします。
uBlock必須にして、ブラウザやタスクトレイなどの広告を
死んでもクリックしないようにして、
Web検索自体やその他の利用が禁止、です。
この形態だとサボると漏洩するので、注意します。
ただ、これ書くと必ず「甘い」と文句を言う人がいますが、
大企業の顧問の「被害を出してるセキュリティの専門家」がやってる
「高度な」機器やソフトによるモノ (でも入られると重要データや
顧客データが盗まれ放題の対策)、
よりかは、
はるかにコスパがいい、はるかにマシ、な対策です。
お金の無い零細にとっては。)
あと、
「人間やロボットなどが、直接事務所に来て、ウィルスを仕込みまくったり
データを直接盗んでいく」とか
「内部犯行」
などは対象としていません。
それは監視カメラか従業員同士の声かけのしあい、
などくらいしか、コスパの良い対策は無いので。
「そこを考えない対策は甘い!」とか主張するキチガイじみた人間や記事がありますが
そんなのは警察や軍(orスパイ防止法)の仕事なので、今回の対策外、とします。
零細がそこまでできるわけないですし。
あくまで、
「犯人はWebの向こうにいて、暗号化、感染、脅迫、が自動化されている場合」のみ、
の対策です。
それでも、「漏洩」を許すセキュリティの専門家や、
セキュリティ機器とソフトだけ売りつけて面倒見ないIT屋さんよりはマシだと思います。
(※漏洩=暗号化よりも防がないといけないもの。脅迫の源泉。)
なお、USBメモリ経由での感染や、「ラクしたいから一時的にルール破り」のような
人間的なミスも織り込み済みです。
そんなの防げるわけないから、でもそれが起こっても、
「漏洩だけは大企業がやる対策よりは8割は減らす(できればゼロ)」、
という思想でやります。
大企業の対策だと、「全部つながってる」ので、
入られたら数時間で、「また」、やられるだけです。
機器が売れるだけで何の進歩も無い‥と言われかねません。
それが20年以上続いている。
「発注したけど使われないデータベース」が「今も減らない」、のと似ています。
★★★ どんだけセキュリティの専門家がいてもやられる大企業がやってる対策。★★★
★★★ 零細企業が盲目的に安易に真似していい対策ではありません。 ★★★
★★★ マネしても被害が減らないどころか、増えるでしょう。 ★★★
★★★ 我々はもう難しいセキュリティ用語や機能は覚えなくていいです。 ★★★
★★★ 通信経路だけ考えましょう。 ★★★
★★★ 零細は。 ★★★
★★★ ぶっちゃけ「恐らく最新セキュリティトレンドも不要」です。 ★★★
※あとになって調べてみましたら、一応、IPA(独立行政法人 情報処理推進機構)も
同じような方法を昔からおすすめしていました。
トレンディではないのは間違いないです。(^^)
ルーター3個と中古PCで安価に済ますか、それとも、VLANや
仮想ブラウザ?(無害化ブラウザ)などを使うかどうか、みたいな違いはありましたが。
今回の方策は、それらよりも安価で、各種アップグレードに対する自由度は、
もしかしたら高いかもしれないです。(=古いOSが使えたり、不用意に安易に
バージョンアップしてしまったがために、むしろ逆に効率が悪くなってしまった・・・、
みたいなことがだいぶ減る。)
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
●ベースの構成図
(「各ルーター間」は、ネットワークアドレスはすべて異なり、
SMBでのファイル共有はできない形になっています)
何も無し(有線無線切断・Web遮断)
|
|
|
ルーター1(社内FTPサーバ×1台のみ)【c】
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)【b】―→ルータ4(Webへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
あるいは、以下のように【a】と【b】を完全に遮断します。
Webへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)【b】
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
|
|
|
何も無し(有線無線切断・Web遮断)
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
PCは基本、2台使います。(ルーターは3つか4つ使います。)
【a】顧客DB入力と閲覧、ExcelWordパワポ、簡単なデザイン、FAX受信、など専用のPC
【b】メール&Web(クラウドその他)専用のPC(中古2万円前後のマイクロPC等)と
の2台です。
なお、【a】と【b】、それぞれのネットワーク(LAN)は独立させています。
別々に分けてあります。
そしてその2台をKVMスイッチ(モニター・キーボード切替機)で繋ぎます。
前者は重要データを格納するPC(及びネットワーク)にして、「Webを遮断」し、
後者はできるだけ重要データを「使ったら消す」PC(及びネットワーク)です。
後者は無線LAN子機を1つ挿してWebにつなぐか、
あるいは、2つ挿して片方をWebにつなぎます。
無線LAN子機を2つ挿す場合は、UltraVNCなどを使って、
A(例えば古いOS)のパソコンから、
B(例えば最新OS)のパソコンを,
リモート画面で操作することもできます。
(【a】のネットワークは「Web遮断」をしたまま。
各ルーター間は「SMB」(後述)を「遮断」します。)
そのほか、USBリンクケーブルを追加することで
ファイルや各種のコピペも可能にできます。
(UltraVNC単体でもテキストのみのコピペが可能です。
ファイルはファイルビューアで転送ができます。
後述の「SMB」は使いませんので、今のところ、
リンクテーブル経由でランサムウェアが自然自動拡散
することは無いです。将来は分かりませんので
油断は禁物ですけど・・・。)
(※今回は中古PCを使うかたちですが、
実は今、中古PCはSSDになってからあまり故障しないので、
事務用途だけなら中古でも十分すぎるほど十分です。
基本的には、事務用途に新品は必要無い時代になったと思います。
特に大企業が放出する中古の機種なら長持ち傾向です。
なので、【a】も【b】も両方共中古PCでもよいです。
今現在でも数社、「中古でも3年保証してくれる」業者もありますし。
なぜそれができるかというと「あまり壊れないから」です。
今後、そういう業者さんがもっと増えてくるでしょう。
マイクロソフトが「まだぜんぜん使えるパソコン」を
「どんどんサポート切れ」とゴリ押しして「廃棄させていく」
というスタイルの商売をやめないので・・・。
(膨大なデジタルゴミ産生+環境破壊+レアアース無駄使いなので
かなり良くないことですが、中古業者さんがそこを埋める形に
なってきたのかも?しれませせん・・・。)
これは多分「日本の中古iPhoneが世界で大人気」、というのと同じです。
なお、アイドル時間が3時間以上あるとあらかじめ分かっているPCなら、
休止状態にしておけば中古であってもさらに長持ちしますし節電にもなります。
あと、マイクロPCは、基本的には消費電力も小さいので節電・静音にもなります。)
※重要な補足:(ある意味諸悪の根源の)「SMB」について
「SMB」とは、俗に言う「Windowsファイル・フォルダ共有」のことです。
で、「SMBでのファイルアクセス(=ファイル共有)ができない」ということは、
ランサムウェアなどのLAN内自動拡散型のウィルスがネットワーク内で
「自動拡散できない」
ということを意味します。
PC間でSMB禁止(=SMB遮断)にすればPC間ではまず拡散しないですし、
ルーター間でSMB禁止(=遮断)にすればルーター越しにはまずウィルス拡散しないです。
それ以外の攻撃も減らすことができます。
つまり、例えばランサムウェアの場合であれば、「暗号化も広がらない」、ということです。
暗号化が広がらなければ、脅迫も無意味です。
また、暗号化されたとしても、バックアップがあって内容が大したことないなら、
それまた脅迫は無意味です。
「中身を公開してしまうぞ!」と脅されても無意味です。
「まあ、それくらいならご勝手にどうぞ」と言う事ができる、ということです。
いちおう、何を盗まれたかをできるだけ「被害限定+推測」できるように
分かりやすくしていますので。
(「少なくともこのPCとあのPCの中身だけ」といった感じで。)
誤解させてしまうといけないのですが、でもあえて言ってしまうと
「ほとんどのウィルス被害の原因」としては、
「ある意味」、
「SMB(Windowsファイル共有)こそが諸悪の根源」、
と言えなくもないです。
(もちろんセキュリティ面で見た場合に限りますが。)
ただ、この事実を知らない私たち一般人が多すぎるので、
というか、自分らの商売が成り立たなくなるため、IT屋さんはずっと隠しているので、
マイクロソフトやセキュリティ屋さんはまずこのことをもっとアナウンスすべきです。
そして、実は、WindowsUpdateは
この「SMB(Windowsファイル共有)」の部分をまったく守れません。
安全に通信させることはさせるかもしれませんが、
でもだからと言って安全に通信「させつつガードする」というわけでは
まったくありません。
(不良品を普通に直すだけのことしかしてません。)
さらには、
『この「SMB(=Windowsファイル共有)」の脆弱性のWindowsUpdateにおける修正項目は、
今となっては件数が少な目』なので、
特に「PCを事務にしか使っていない事業所」では、
更に特に、
「メール、ブラウザのパスワード保存、SNS、クラウド倉庫、個人アカウントの利用」等々の
「侵入口をかなり潰せてる事業所」は、
「WindowsUpdateの意味があるかも疑わしい」です。
もともとWindowsUpdateの修正内容は、
特殊か高度な使い方してる場合の脆弱性修正ばかりなので。
(後述します。)
とはいえ、
「SMBファイル共有」は本当は便利な機能ですし、
逆に使えないとすごく不便なこともあります。
なので、もちろん今後も使っていくべき機能ですが、
ただ、一応覚えておいて欲しいのは・・・、
「SMBを生かしておけばウィルス拡散だけなく他の攻撃もやりやすくします」し、
逆に、
「SMBを殺しておけば、拡散以外の攻撃も(もちろん全部ではありませんが)防ぐ下地ができます」。
あるいは、
「攻撃されたり感染してもデータ漏洩の確率や量がグンと下がる」し、
「攻撃や被害があってもそれが ”8~9割は ”、”無意味になる”、ケースが増えます」・・・
・・・ということです。
なぜかと言うと、そもそもウィルス自体が、
「侵入後や感染時にSMBが生きてる前提で作られているモノ」が非常に多いからです。
(※そのような意味では、
Azureなどのクラウドのデータベースは、ランサムウェアには
結構強い、と言えるかもしれません。「ダブルエクストーション型」の
ランサムウェアの場合はちょっと分かりませんけど・・・))
また、
「実は、すべてをSMBでつながなくても、お仕事の作業効率が落ちない」、
という、
そう言うケース、ゾーンも、ご自分で探せば、
「ある」ということにも是非、気づいてください。
「全部繋がないと絶対に超・効率が悪くなる」、
というのは、
「ある意味IT屋さんの洗脳」、
だと認識して頂いて、そうならないケースも、実は、特に
「事務にしかパソコンを使ってない」という場合は、
「意外と探せばあることもある」ということを、
是非、頭の隅に入れておいて頂きたいと思います。
特に、零細の場合は、
『「どれだけ高額な機器をそろえて、どれだけ頑張ってやっても被害に遭う。」、
なぜなら、「全部」を「繋いでしまっているから。」、
…という大企業の対策・・・ 』
は、
「データ漏洩し放題、暗号化し放題、脅迫され放題」なので、
盲目的にマネしても被害が増えるだけです。
また、そもそもセキュリティ企業に対策費が払えません。
払ったところでメチャクチャコスパが悪いケースも少なくないです。
特に「ワークグループ」のLANでフォルダ共有している事業所は。
したがいまして、結局のところ、
「SMBをどこまで殺せるか」、を考えるほうが、そのような対策の
8割以上は、「安価に」被害を減らせると思います。
ぜひ、頭のすみに、そのことを置いてみてください。
なお、ここでは、SMBv1という、もっともウィルス拡散しやすいSMBを扱う前提で
お話を進めます。
「そのもっとも拡散しやすいものを、防ぐ」ということです。
そして大企業よりも8割以上、データが漏洩しない仕組みを作る、ということです。
(できればゼロに。)
なお、現在SMBにはv2とv3というバージョンもあって、v1よりも侵入しにくくなっています。
「共有フォルダや共有ファイル」を「全部」閉じた瞬間に、ファイルの勝手なアクセスが
不可能になる仕組みです。これにより、ウィルスも拡散が止まります。
でも、外出する際は席を立つ際などに、
「共有フォルダを開きっぱなし、共有ファイルを開きっぱなし」にすると、
「1つでもそのようなファイル、フォルダがあると」その仕組みは壊れ、
SMBv1とほぼ同じように、「共有しあっているPC間のみでは」、
ウィルス拡散し放題、になってしまいます。
ただし、その「2台だけ」ならいいのですが、複数台で、
「1つでも共有フォルダ、または、共有ファイルを開きっぱなし」にすると、
そのウィルス拡散は広がっていきます。
それも、『 今でも、「SMBが諸悪の根源」といえるかもしれない 』一因です。
つまり、「ウチのSMBはv2とv3だから絶対安心」とは、「まったく」「なりません」。
結局のところ、「SMB」は、
「ある意味」「Windows最大のセキュリティホール機能」と言えるかもしれず、
「常にウィルス拡散と隣り合わせ」です。
(機能自体がセキュリティホール、というとんでもない状況です。)
SMBを舐めずに、是非、ご注意ください。
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
ChatGPTに聞きながら、実際に色々と実験してみましたら、
「ランサムウェア、キーロガーやトロイ、インフォスティーラ―、その他諸々からのセキュリティ被害の対策」に使える、
社内LAN接続構成の4パターンを作ることができました。
簡単に言うと、
【a】インターネットにつながってない、顧客DB利用やFAX受信、各種日常作業専用のPCのLANと
【b】インターネットにつながっている、メール+Web、取引先のクラウド利用等専用のPCのLAN、
の2つのLANをつくり、
それぞれにつないだPCを2台、並列に机に置いて、
KVMスイッチ(モニタキーボード切替器)で切替利用します。
(※プラス、【c】として、「ファイル転送用の社内FTPサーバを置いたネットワーク」
も作成します。
その際、その2つのPC間では、ファイル転送や各種のコピペなどが小さからぬ問題になりますが、そのファイルの転送は「SMBファイル共有を使わずに」、
(イ)ファイル転送専用のUSBのリンクケーブル
(クリップボードを共有できる。意外と遅くない。)
か、
(ロ)社内FTPサーバ(前述の【c】に接続したPC。)
などを使って、ファイル転送します。
ちなみにですが、(イ)は、6GBくらいのファイルを10分くらいで転送できます。
(USB3.0のUSBメモリくらいの体感です。メッチャ速いわけではないですが、遅くもないです。)
(イ)の場合、
ファイル転送や各種のコピペが右クリック→コピー→ペースト、でできるのですが、
そこまでできると、かなり操作性がアップします。
(実はモニタが2台あるとドラッグでの転送もできます。あまりお勧めしませんけど。)
PCが2台並列であっても、1台のPCを使っている感じに近づきます。
ちなみにですが、
(ロ)の方法オンリーの場合は、UWSCで転送用FTPフォルダを自動で開くので、
実は思ったよりもスムーズです。ファイル転送に限っては。
ただ、各種コピペのほうは
(ロ)の方法オンリーだとできないのでだいぶ不便かもしれません。
でも、「どのくらい、前述の【a】と【b】のPCの間での各種コピペが必要か?」
にもよります。
しかしながら、
前述の【a】と【b】いずれかのパソコンである程度何らかのソフトで下書きしてから、
いずれかにファイル転送する・・・、という形でも意外と不便なところをカバーできる気がします。
Webページはmhtml形式で保存し、mhtml形式のファイルが見られるビューアソフトか、
Wordかブラウザで開けば、Webにつながってない顧客DB側のネットワークのパソコンでも確認できます。
(顧客DB側のネットワークをWebにつないでしまったら、ブラウザではなくてビューアや
Wordのほうが 良いのかもしれませんが)
そうやってちゃんと調べていくと、
「どのくらい、【a】と【b】のPC間での各種コピペが必要か?(ファイルコピペ以外で)」
ということについては、
「実は意外と少なかった・・・」というパソコンは、
恐らく1台や2台ではないのではないか?と思います。
(※ChatGPTやジェミニなどは【b】のパソコンで普通にやればいいだけですし。)
IT企業やデザイン・広告系の企業、大企業ならいざ知らず、
「Webやメールやクラウドばっかり見てるわけじゃない
(接客、商談、工事等々をしてる)」
「ワークグループでのネットワーク構成」の、
「パソコン台数30台以下の」、
「パソコンを、基本的には事務だけにしか使わない」、
そういう零細企業であれば。
なお、(イ)も(ロ)も設定はさほど難しくないので、
『(イ)が一時的に故障した場合のみの代替として(ロ)を使う』、
ということでも良いかもしれません。
もちろん、『(イ)も(ロ)も併用 』という形も取れます。
顧客DBのネットワークをWebから遮断しつつ。
※社内FTPサーバを置く【c】のネットワークは、
下から【a】【b】【c】と多段的になるようにつないでいった、
その最上位。です。
最上位なので、【a】からも【b】からもFTPのみでアクセスできます。
(SMBはルーターで送信も受信も遮断)
また、【c】から【a】や【b】にはSMBもFTPも無いのでファイルアクセスできません。
あと、ウィンドウの切り替えも、少し手間かもしれません。
でも、UltraVNCなどを使って、【a】【b】の画面を切り替える機能も追加すると、さらに便利になります。
(UltraVNCで何か不都合があったときだけKVMスイッチを使う・・・という方法も取れます。)
総じて不便さは確かにありますが、実際に試してみると・・・
特にUltraVNCを使うと、意外にもあまり苦にはならなく、
前述の(イ)を使うケースよりもさらに「1台のPCを使っているみたいな感覚」に、
これまた意外にも、「けっこう」近づきます。
なお、両方のPCに「マイクロPC」を使えば、場所も消費電力もとりません。
(B)だけでもマイクロPCにすれば効果あります。ノートだと使いづらいですが、
ノートでも一応はOKです。
マイクロPCは中古でもOKです。
1台1万円台からWindows11パソコンがあります。
今時は事務用途ならそれで全然大丈夫です。
起動ドライブがSSDになってから昔ほど壊れなくなった印象ですし。
新品だとデジタルゴミも増やすわけですし、そもそも壊れてないのに、
しかも速度も事務用途ならまったく遅くないわけですので、
「事務用パソコンに新品を使う理由が無い」です。
また、「最初から3時間は使わないことが確定」というパソコンは、
例えば、出かける前などに休止状態にして、さらに消費電力を抑えます。
社員全員で監視して、休止にし忘れていたら、休止にしておきます。
これは、消費電力を抑える目的以上に、
「ウィルスを拡散させない。」
「そのために使用頻度の低いPCはできるだけ眠らせとく。」、
という目的があります。
眠っているパソコンが多ければ多いほど、
感染もしない・拡散しないわけですから、復旧も楽になりますし。
【a】【b】のネットワークや【c】FTPサーバネットワークのパソコンの間では、
ルーターがかませてありますが、上位から見て、
基本、【c】【b】【a】の順に、カスケード的に多段のルーターが繋がっています。
そして、各ルーター間では、送信も受信も、SMB、RPC、RDP、WinRM、を遮断します。
ケースによっては【b】のパソコンには無線LAN子機を2個挿しします。
なお、全体としてはSMB以外のポートが使えるので、
プリンタやFAX複合機は(FAXのPDFファイル共有閲覧以外は)、
印刷自体は問題ないと思います。
KVMスイッチでの画面切り替えや、
SMBを使わない(クリップボード共有にてでの)ファイル転送もできるので、
それでプリンタの繋がっているネットワークにファイル転送してから印刷…、
という方法ももちろん可能です。
機器の販売状況に合わせて変えていけばいいと考えました。
以下のようなことをクリアできるようにしました。
●「感染はするけど、漏洩や脅迫は ”ゼロ”または ”少し”。侵入も大幅減。
(少なくとも大手企業の事件被害のような、"全部盗まれる"、が無い。)」
●「感染しても感染したその1台のみしか被害なし。」
「被害を出来る限り1台だけに食い止める」
●「未知のウィルスにも強い。」
●「復旧ができる限り楽になるように。」
●「よって、古いOSも使える。」
●「プリンタ複合機」がどのネットワークからも使える。
(印刷のみ。スキャナPDF共有閲覧はSMBが生きてる同一セグメントのみ)
●ランサムウェアや拡散系のウィルスはネットワーク内の自動拡散は
できるだけ防ぎます。ルーター間では実質ゼロに近づけます。
●「無駄なWindowsUpdate」不要。
●「脅し的な」「WindowsUpdate」も不要。
●OSやソフトの無意味なバージョンアップ地獄不要。
●「高額なセキュリティ業者」不要。
●「社員だけで」対応できる。
●「高額なセキュリティ装置」も不要。
●「メール+WebのPC」はMacでもLinuxでも可。
「Windowsである必要はない」。
(MicrosoftOfficeが不要なときだけだけど。)
●各ルーター間はSMB、RPC/DCOM、RDP、WinRM、遮断。(RPC/DCOMはできる範囲で)
●後述の構成図のルーター2のPC間は、SMB遮断。あえてファイル共有できなくします。
●同じく構成図のルーター2のPCをマイクロPCなどの消費電力の少ないものを使い、
ルーター3のPCは通常PCかマイクロPCを使って、できるだけ消費電力を落して電気代を安くします。
3時間以上PCにさわらないことが最初から分かっているPCなら、
外出時に使用者がスリープや休止状態にするか、
気付いた他の社員がスリープや休止状態にする。
なお、LANケーブル経由で起動させられてしまうBIOS(UEFI)設定になっていなければ、
例えば「休止」は拡散防止にもなります。
(スリープはその効果が無くてダメな時があります。)
●基本、固定IPアドレス設定。
●クラウドの顧客DB利用に移行する場合は、そのネットワーク内のPCは、
Web検索厳禁+メーラーインストール厳禁、にします。
●ただし、PC20台以下の零細と個人事業主のみしか使えない。
と言っても130万社か、その2倍の営業所数で使えるかもですけど。
(あと、ケースによってはPC100台くらいまではいけるかもですけど。)
●しかし、
「大手企業のように、セキュリティの専門家が勢揃いのくせに軒並み安易にやられてしまう」とか
「セキュリティの専門家とやらの言う通り、WindowsUpdateを毎回確実にやってたのに安易にやられてしまう」などの
「あきらかに」(「理屈上」「理論上」「コスパ上」等々において)「おかしな点」をできるだけ排除する。
●基本的に、「犯罪者が社内で人的に手作業でデータを漏洩したり盗んだり」、とか、
「人間が手動でウィルスを仕込みまくったり」などは考えていません。
それは別の課題になってしまうので。
正直それは警察案件なので、我々ができるのは監視カメラか、
従業員の皆さんの目と声かけ、くらいでしかできないです。
あくまでも自動拡散と漏洩と脅迫を防ぐだけ。
(セキュリティ業者の中には、「それができてないから甘い」とかの
キチガイじみたことを言う人やWeb記事がいますが、
それを防ぐにはスパイ防止法や警察や軍が必要です。
誰がそんなもの雇えますか?制定できますか?
なのでここでは考えません。
万が一ランサムウェアに感染してファイルが暗号化されて脅迫されても、
「後述の図のルーター2のPC」の中に重要データ(顧客データ等々)やメールの中のパスワードなどを置きっぱなしにしなければ、脅迫はまずあまり意味が無くなるので。
結局、「感染前提だけど漏洩は最小限PC1台分のみで脅迫もあまり意味無し」なので、
「あなたたちが少しの感染も侵入もダメだと言うから、あなたたちの言うこと守ったのに、結局やられてデータは漏洩し放題・脅迫され放題じゃんか。どうしてくれる?」ということしかしてない人、
今やられてなくても将来そうなってしまう対策方針を支持する人とは、
そもそもスタートが違うから、最初から全く議論になりません。)
※今回の対策に対する、セキュリティ業者やイクロソフト視点での評価
(零細や素人SEへのけなし、ある意味いじめ。)
今回のこのネットワーク構成や対策を見せると、まず100%、こう言われます。
「それは理想論」
「運用が大変」
「現実的ではない」
「人に依存しすぎ」
「設定が適当で甘すぎる」
でも本音は:
これじゃあ俺たちが売るものがない
ウチのライセンスが増えない
俺らのサブスクが回らない
SOCもEDRも不要じゃんか
AzureもM365も不要じゃんか
ウチのセキュリティ機器もソフトも売れないじゃんか
だから、「そんな対策は具の骨頂」と「かなっらず(必ず)」言ってくる。
さらに言うと:
このネットワーク構成や対策は、
「★Windows Update神話」が「★崩れる」、構成・対策。
なので、これを例えばマイクロソフト公式が肯定できるわけがありません。
・・・結局のところ・・・、
「あなたたちそうは言うけど、
でもあなたちの言うようにWindows Updateやってても、
それでも大企業が軒並み犯罪者にやられてるんだけど?
なんで?
そもそもWindowsUpdateってウチの規模や業種や使い方に
とって本当に効果あるの?
っていうかさ、そもそも”意味あるの?”
事務しかやらないパソコンにはほとんど関係ない修正内容が
すごく多いですよね?
さらに言うと、あなたたち、”まずはWindowsUpdateさえやっておけば安心”、
とか「口を揃えて」言っときながら、
実際に私らが被害に遭うと”それだけでは不十分”、
”あれもこれも不十分。この機械やソフト入れて防御しましょう”って
”必ず”言いますよね。
なんなの?
それ?
結局ウソ言ってたじゃん。
どっちなの?
で、その新しい機械やソフト入れたとして、今度は絶対に被害に遭わないの?
遭うよね?じゃあ、どこまでやれってんですか?どこまでお金出せっていうの?
”(ある意味)効果の無いモノ”に。
そもそもあなたたちの対策って、
想定外に想像以上にカンタンに、
しかも!、
全部!、
データ漏洩しますよね。
私の対策はそこまでしませんよ?
注意すれば、侵入、感染したとしても、
最大で「あなたたちの対策とやらが起こす被害」の
100分の5~10くらいかゼロまでは減らせる。
時間もかせげる。
顧客DBをWebにつないでないですから。
そうやって、大事なデータをWebに漏洩させないエリアを作ってますから。
重要なデータはそのエリアに入れておけばいいんですから。
万が一ウィルスが入って暗号化されても「無人で自動の漏洩」は
限りなくゼロに近づけられる。
Webにつながってないから。
重要なデータのエリア(顧客DBやその他の重要ファイルなど)はWebにつながってないから。
バックアップと感染してない時のクローンの予備の起動ドライブ
があればすぐに復旧できるし。
メール+Web専用PCと併設置して使用しますが、そちらは
各PCのあいだでも、通常のファイル共有(SMB)管理共有(隠れSMB)も止めるので
被害が1台に収まる確率が高い。
使用頻度の低いPCは”LAN起動設定を切って原則全員で休止状態”にするので
さらに拡散しない。
もっと言うなら、
もし設定ミスや「ラクしたいからの一時的なルール破り」が起こっても、
それも織り込み済みなので、
”あなたたちの対策よりは”、
”大幅に漏洩しません。
多分、あなたたちの対策よりも80%以上、漏洩しません。”
普通の人間ならどっちにお金払いたくなりますかね?」
でも悲しいかな“決裁構造”は別。
決裁者は「責任回避」に金を払う
現場は「被害回避」に金を払う
だから:
効果が高い方であっても選ばれないし、
「説明しやすい方」や
「なんかカッコイイ方」が採用される。
素人のアイディアは、どれだけデータ漏洩がゼロに近づいても、採用されない。
おかしくないですか?
という現場からの疑問・・・という話なんです。
●むしろ、以下の「基本」を守ります。
そのほうが「WindowsUpdateやるより」も「20倍以上」、セキュリティに、
防御に強くなるので。
(以下、IT屋さんの社交辞令。真剣には言わない。売れなくなるから。
そしてWindowsUpdateは、
以下のような対策の原因となるウィルスの侵入経路を、
「なにひとつ」「ひとっつも」潰せないです。)
・ブラウザ内のフォーム(Webページ)とパスワード等々の保存設定厳禁。
ランサムウェア被害の原因にもなっています。
ブラウザにパスワードやクレジットカード、
他の支払い手段、住所、などを絶対に保存しない。
盗まれて脅迫のネタや不正な買い物をされたり、現金を盗まれたりするから。
しかもWindowsupdateをどれだけやっても盗まれる、
「Windowsupdateやってもほぼ効果が無い部分」なので。
(実は、一般の方のかなり多くが、WindowsUpdateさえやってればいい、と
誤解させられています。)
また、メールの本文URLやブラウザの広告等で怪しいサイトに
気づかないうちに誘導されたら盗まれ放題になってしまうので。
ランサムウェア被害の原因としても実はここがザルだから起こる場合が
決して多くはないけど少なくもないので。
既定で大体オンになっているので、絶対にオフに変更しておく。
同期で勝手にオンになることもあるので定期的にチェックしてオフにする。
マイクロソフトは、「身勝手にもほどがある」のですが、ついに、
「パスワード無しで多段階認証だけのほうが、パスワードがあるよりもより安全になる」と、
マイクロソフトアカウント作成時の画面で通告しはじました。
GoogleChromeが正解で一番安全なブラウザ、という旨のTVCMを流していますが当然ウソで
「実は穴だらけ」と思って用心したほうがいいです。
・怪しいタイトルのメール開かない。(発送しましたメールや銀行・カード関係のメールなど。)
・ヘッダなどを活用して詐欺かを判断。(全員で協力して)
・メールのURLを安易にクリックしない。
ランサムウェア被害の原因にもなっているため。
・HTML形式(HTML表示のタブなど)で絶対に開かない。
・メールの添付ファイルを安易に開かない。
ランサムウェア被害の原因にもなっているため。
・ブラウザの広告を絶対にクリックしない。
ランサムウェア被害の原因にもなっているため。
・uBlock OriginやLiteは必須アドインとして入れ、広告をできるだけブロック。
ランサムウェア被害の原因にもなっているため。
・同期という同期は全部OFF(漏洩防止のため)。
・フリーウェアインストール厳禁。
・SNS厳禁(社用公式のみ)。
・Windowsアプリ、アップルのストア、使用厳禁。
・OneDrive、365、GoogleDrive、Dropbox、厳禁。
・個人のPCのDBネットワーク参加の禁止(専用の、SMB遮断ルーターにのみ無線接続)。
・マイクロソフトアカウントの無料サービスの利用厳禁。
このようなことを言うと、
また、
「ここが抜けてる、あそこが甘い、ここも抜けてる」と言ってくるでしょう。
でも、
「あんたらの対策と何が違う?」ということです。
「破られまくってるやんか」。
ということです。
「100点を追及する過度な設定」は、
商売の本流の「お客様対応や売上や粗利の向上」には「邪魔でしかない」です。
そもそも「セキュリティと言うモノ自体」が、商売の傍流であり、
「本流の邪魔にしかならない」です。
昔は無かったわけですから。
「昔は無かった」なんて書くと、
「昔はインターネットも無かった」という反論が当然きます。
が、
インターネットができたから、というのは確かにそうなので認めますが、
でもそれでも、
「昔より余計な経費が増えた」
というのは、まぎれもない事実です。
そして更に、
「一晩で会社がつぶれるほどの脅威にもなってしまっている」、
「なのに専門家の対策は破られる」、
「なら経営者としては、そんなものに1円だって払いたくないとなるのは自然」だし、
「侵入口を守ることに集中して漏洩はゆるさない」としたほうが”100倍”マシ。
というのも、まぎれもない事実です。
本来「100%漏洩しないなら」できるだけセキュリティ対策なんかやらないほうがいい、
できれば1円だって使いたくない・・・・、そういうものです。
セキュリティ対策は。
やりすぎは、経営の足かせにしかなりません。
やりすぎくらいやっても、「結局破られる」のが「専門家の対策」なんですから。
それ、価値ありますか?
「しかも復旧もできない」。
どうせ破られるなら、
「侵入口を守ることに100%近く集中して漏洩はゆるさない」としたほうが100倍マシ。
(※実際、ランサムウェア被害のきっかけもそこなことが少なくないし。)
80点でいい。
コストも手間も減るから。
下手したらバイトでもできるから。
「漏洩しない」も、ルーターの電源を落とすか、LANケーブルを抜く間、もてばいい。
また、「専門家の対策のように」「物色までされてナメられる」ことが無いならいい。
そのための、パスワードをブラウザに保存しない、広告踏まない、
メール本文URL踏まない、添付ファイル開かない、アプリインストール禁止、
といった「入口でできるだけ侵入させない」です。
「やりすぎは」「バカがすること」なので、やらないほうがいいです。
★★★「過ぎたるは及ばざるがごとし」、です。★★★
※ちなみに、マイクロソフトは、マイクロソフトアカウントの作成画面で、
「パスワードが無いほうが、プラス、多段階認証『だけ』にしたほうが、
セキュリティの強度がより上がる。だからパスワード無しがいいよ?
多段階認証とかパスキーだけにして!」
と本当に身勝手なことを書き出しました。
身勝手にもほどがあります。
あれだけパスワードを強固にしろとさんざんアナウンスしておいて。
★★★ これは、セキュリティ対策に人間がついてこれなくなった。 ★★★
★★★ 「過ぎたるは及ばざるがごとし」 ★★★
★★★ ということをマイクロソフトが認めた。 ★★★
★★★ ということの『証明』でもあります。 ★★★
★★★ 専門家の対策だと犯罪者との ★★★
★★★ 「いたちごっこ」は「永遠に続きます」。 ★★★
★★★ ★★★
★★★ でも今回の対策だと、もしかしたら、 ★★★
★★★ 「いたちごっこを終わらせる」ことが可能かもしれません。 ★★★
============
では、以下、ネットワーク構成図です。
各ルーター間では、最低でもSMB共有(いわゆるファイル共有、フォルダ共有)は使いません。
遮断します。
理由は冒頭の補足でもお話しました通りです。
基本的に、犯罪者が仕込むウィルスの「ほとんど」が、
「侵入したあとはSMB共有が生きていることが前提」、
として作られているからです。
そして、SMB共有さえ殺しておけば、万が一、ウィルスに感染したとしても、
ほとんどのウィルスは、その悪事の8~9割が「できなくなるから」です。
動き始めても途中で動けけなくなるといったこともあります。
暗号化はされたとしても、後述のルーター2のPCに重要データが少なければ、脅迫もほぼ意味が無いです。
※俗に言うWindowsパソコンでの「全部つながる」は、
「全部のパソコンやルーターでSMBを生かしておいて、
全てのファイル・フォルダ共有できるように繋がる」という意味に近いです。
なお、顧客DBのネットワーク(後述のルーター3のLAN)の中では、PC同士がSMB共有が必要ですが、
そのため、
「インターネットにはつながない。」
「ブラウザ入れない。削除。」
「メーラー入れない。削除。」
という形にします。
(クラウドの顧客DBの場合はネットにつないでブラウザを入れたままにしないといけませんが。
でもそうじゃなくて、SQLServerやMySQL+ブラウザインターフェイス…、
などの形態なら、もちろんブラウザもインストール可です。
インターネットにはつながってないですから。)
基本的には、各ルーター間では以下のようなポートを遮断しておきます。
TCP 135(RPC Endpoint Mapper)(WMI/PRC)遮断
TCP 445 / 139(SMB)遮断
TCP 5985 / 5986(WinRM)遮断
TCP 3389(RDP)遮断
(01)クリップボード共有可能なリンクケーブルが売り切れで無く、UltraVNCも無い場合。
KVMスイッチ(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
FTPサーバかUSBメモリでファイルをやりとりするしかない。
ただ、FTPソフトの転送専用フォルダのオープンと接続をUWSCで自動化できるので、
思ったよりは使い勝手は悪くない。
何も無し(有線無線切断)
|
|
|
|
ルーター1(社内FTPサーバ×1台のみ)【c】
192.168.187.1----192.168.187.100
|
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)【b】 別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
192.168.0.1----192.168.0.100
(02)「クリップボード共有可能なリンクケーブル」が在り、UltraVNCを使う場合。
KVMスイッチ(モニタ+入力装置切り替え機)もVNCがトラブったときに使う場合。
(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
「クリップボード共有可能なリンクケーブル」でファイルを「コピペ」でやりとりできる。
UltraVNCを併用すると、KVMスイッチのモニタ切り替えの頻度をだいぶ減らせるので使い勝手・効率が良くなる。
UltraVNCの中でも、「クリップボード共有可能なリンクケーブル」でのファイルを「コピペ」は有効。
この場合は、FTPサーバ不要なので、(01)からルーター1と社内FTPサーバを消せる。
ファイルのやりとりは、最悪、USBメモリを使う。
(テキストや画像などはファイルの形にして。Wordファイルなどにに貼り付けるのも可。)
何も無し(有線無線切断)
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)【b】 別フロア無線ルーター4別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
192.168.0.1----192.168.0.100
(03)クリップボード共有可能なリンクケーブルだけが在り、UltraVNCも無い場合。
KVMスイッチ(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
ファイルのやりとりは、基本、クリップボード共有可能なリンクケーブルとKVMスイッチで。
(テキストや画像などはファイルの形にして。Wordファイルなどにに貼り付けるのも可。)
最悪、USBメモリを使う。
インターネットへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) 【b】
192.168.55.1----192.168.55.10
↑
LANケーブルやWi-Fiなどではつながない。完全独立。
クリップボード共有可能なリンクケーブルで
ファイルや文字や切り取り画像などをやりとりする。
UltraVNCは使用は不可能。(LANで繋がっていないので。)
↓
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
192.168.0.1----192.168.0.100
(04)顧客DBを刷新して、クラウドに移行した場合や、Win10+仮想マシン(Win2000など)で
動かさないといけなくなったとき。
クリップボード共有可能なリンクケーブルだけが在り、UltraVNCも無い場合。
KVMスイッチ(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DB内ではフォルダ共有はできるけど、また、Webにも繋ぐけどできるだけ漏洩防止したい
ため、メール+Webのパソコンのネット回線とは別の回線にし、そちらとはLANでもつながない。
できるだけ顧客DBは独立したネットワークにして、
「Web検索・通常使用・メール」は厳禁にする。
ブラウザはクラウドDBのみでしか使わない。
365などは格好の侵入口なので、DBでなくて単なるデータ倉庫なら、
メール+WebのPCでやる。クラウドDBなら、メール+WebのPCからは隔離する。
↓
ファイルのやりとりは、基本、クリップボード共有可能なリンクケーブルとKVMスイッチで。
(テキストや画像などはファイルの形にして。Wordファイルなどにに貼り付けるのも可。)
最悪、USBメモリを使う。
インターネットへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) 【b】
192.168.55.1----192.168.55.10
↑
LANケーブルやWi-Fiなどではつながない。完全独立。
クリップボード共有可能なリンクケーブルで
ファイルや文字や切り取り画像などをやりとりする。
時にはUltraVNCでルーター3側から2側を操作。
↓
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
192.168.0.1----192.168.0.100
|
|
|
別回線でインターネットへ
(OSをWin10にしたいだけでネット不要ならこの回線は不要)
あるいは、
インターネットへ
|
|
|
ルーター1(社内FTPサーバ×1台のみ)【c】←---リンクケーブル使うなどなら不要。
192.168.187.1----192.168.187.100
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) 【b】
192.168.55.1----192.168.55.10
|
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
192.168.0.1----192.168.0.100
など。
●「Windows Update」という、下手すると効果の薄い??、ある意味「恫喝???同調圧力???」について。
(「Windows Update地獄」は誰のためか?「更新しない=危険」という思考停止について。)
WindowsUpdateは、特にセキュリティ修正の「その内容」に関しましては、
『ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携などのための「セキュリティの穴」』、
言わば、大企業や「中小のうち大きな規模の会社のみ」、IT企業、セキュリティ企業、デザイン企業、広告企業、などの「セキュリティの穴」
を埋める更新プログラム内容が多く、
反面、以降の【a】~(g)のような、
『「事務中心」かつ、「ワークグループLANネットワーク」での使い方をする、しかも、「そもそももとから外部からの攻撃の入口が限られている零細企業」や中小の「小」の多く 』、
には、「初めから無関係」なことが多いセキュリティ修正内容です。
【a】オンプレミスの顧客DB・売上DBで、特に、Accessや、SQLServer+ブラウザ、MySQL+ブラウザ、などのDBを使い、社外からのDBアクセスは無し。
【b】あとはファイルサーバのみでほぼ日常業務が完結する。
【c】OneDriveやGoogleドライブ、などは漏洩やデータ破壊トラブルがあとを絶たないので、よほどの機能が無い限り使用禁止。DropBoxなども設定に無知だと漏洩するので禁止。
(d)ほとんど事務しかやらない。
(e)動画配信やSNSも会社公式で少しだけ。
(f)ワークグループでのファイル共有のみ。
(g)サーバーなんて社外公開しない。
※上記のような企業は、日本全体で130万社は下らないと思われます。
(中小零細企業全体・336.5万社のうち、その84.5%くらい=285万社が従業員20名以下の零細企業なので。中小零細全体で日本の企業の99.7%を占めます。社数ではなく、事業所数でいったら、その数倍はあるかも?)
正直、
「ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携」などのための不都合なんて、
我々、「PCを事務だけに使っている人間・事業所」には、ほぼ無関係なのです。
(そういう事業所は、メールURLなどのフィッシングやブラウザに保存した
パスワードからの被害のほうが圧倒的に多いですし、事実、今、急増しています。
でもそれは、
「★ WindowsUpdateでは何1つ直りませんし何1つ防げません。
★ 今一番被害の多いそちら経由のことはほとんど解決できないのです」。)
つまり、「WindowsUpdate自体」が(恐らく)130万社以上に対して、「ある意味」ですが、でも、現実に「相当の」「無駄作業」です。
でも、穴があるからやらないといけない、と「恫喝される」からしかたなくやる。
(皆さん「穴があるからやらないといけない」とそう騙されるので同調圧力も強いです。
同調圧力はいろんなところから来ます。
セキュリティ企業、セキュリティ記事、マイクロソフト、銀行、広告企業、
市販ビジネスソフト企業、会計士、PCショップ店員、Q&Aサイト回答者、
パワーユーザー、などなど。)
でも、ここまで述べてきた構成なら、そんな「ムダなWindows Update」を小々怠けても、「もともと外部からの攻撃の入り口の少ない零細企業」では、多くはセキュリティリスクになりません。
(繰り返しになりますが、スパイや犯罪者が物理的にウィルスを仕込みに来たり、直接盗んでいくのは、警察や軍の適用範囲なのでここでは論じません。)
WindowsUpdateなんかやるより、
・メールやSNSやブラウザのパスワード保存設定に気を付ける、
・自分たちのうっかりミスに注意、
・「ちょっとだけラクしたいから」のルール破りの禁止、
等々のほうが「少なくとも20倍以上は」「効果があります」。
(でもそれはアナウンスされず、TVCMでもChromeなどが安全とうそぶかれています。
といいますか、ウソなんですが・・・。
実際、パスワード保存は危険で現実に被害が増えています。
なのにそれが分かってて、でもパスワード保存などが平気で推奨されています。
頭おかしいですね。
Chromeのデフォルト状態の使用でパスワード保存が安全なわけがないです。
完璧なウソです。)
また、「古いOSのまま行ける確率が跳ね上がる」ので、「無駄な」「各種の」「バージョンアップ地獄」からも解放されます。
小々不便になると言っても、IT業界ではないとか、もともと外に出てお客様に接する時間のほうが多い、などの業界なら、言うほど不便にはなりません。
いずれにしましても、
「ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携」、
おまけに「サーバー公開している企業」の尻拭い、とばっちり、は我々(いわば130万社の側)はもうごめんです。
今回の対策は、そんなバカバカしいWindowsUpdate地獄から、脱却するのにも、充分なヒントになる対策・各種構成だと思います。
※補足:「Windows Update の内容についてもう少し具体的に」
Windows Update の脆弱性修正の多くは、
・Active Directory、
・Kerberos 認証・NTLM 認証といった企業向け認証基盤、
・Hyper-V などの仮想化基盤、
・VPN や IPsec といった拠点間・社外接続のための通信機能、
・GPU・DirectX・各種メディア処理基盤、
・Azure や Microsoft 365 などのクラウドサービスとの連携機能
といった、企業環境や高度な利用形態で主に使われる機能に関連しています。
これをもう少しわかりやすく現実にあてはめたものが、前述しましたように、
以下の文のようなかたちになります。
===
『ゲーム用途、Active Directory 環境、VPN利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携などのための「セキュリティの穴」』、
言わば、大企業や「中小のうち大きな規模の会社のみ」、IT企業、セキュリティ企業、デザイン企業、広告企業、などの「セキュリティの穴」、
を埋める更新プログラム内容
(※つまり、事務系や小規模な事業所はほぼ無関係。そういうところは、
メールURLなどのフィッシングやブラウザに保存したパスワードから
の被害のほうが圧倒的に多いですし、今、急増しています。
「でも、これらのフィッシングやパスワード窃取による侵入経路については、
WindowsUpdateでは何1つ直りません。防御もできません」。
というか、ランサムウェア被害も、とっかかりはそういう、
「メールURLなどのフィッシングやブラウザに保存したパスワードから」が、
発端になることも少なくないのです。
だからどれだけWindowsUpdateしてても、「やられてしまう」、のです。)
===
しかも、WindowsUpdateは、以下のような対策の原因となるウィルスの
「侵入経路」を、「なにひとつ」「ひとっつも」「一切」潰せないです。
・ブラウザ内のフォーム(Webページ)とパスワード等々の保存設定厳禁。
ランサムウェア被害の原因にもなっています。
ブラウザにパスワードやクレジットカード、
他の支払い手段、住所、などを絶対に保存しない。
盗まれて脅迫のネタや不正な買い物をされたり、現金を盗まれたりするから。
しかもWindowsupdateをどれだけやっても盗まれる、
「Windowsupdateやってもほぼ効果が無い部分」なので。
(実は、一般の方のかなり多くが、WindowsUpdateさえやってればいい、と
誤解させられています。)
また、メールの本文URLやブラウザの広告等で怪しいサイトに
気づかないうちに誘導されたら盗まれ放題になってしまうので。
ランサムウェア被害の原因としても実はここがザルだから起こる場合が
決して多くはないけど少なくもないので。
既定で大体オンになっているので、絶対にオフに変更しておく。
同期で勝手にオンになることもあるので定期的にチェックしてオフにする。
マイクロソフトは、「身勝手にもほどがある」のですが、ついに、
「パスワード無しで多段階認証だけのほうが、パスワードがあるよりもより安全になる」と、
マイクロソフトアカウント作成時の画面で通告しはじました。
GoogleChromeが正解で一番安全なブラウザ、という旨のTVCMを流していますが当然ウソで
「実は穴だらけ」と思って用心したほうがいいです。
・怪しいタイトルのメール開かない。(発送しましたメールや銀行・カード関係のメールなど。)
・ヘッダなどを活用して詐欺かを判断。(全員で協力して)
・メールのURLを安易にクリックしない。
ランサムウェア被害の原因にもなっているため。
・HTML形式(HTML表示のタブなど)で絶対に開かない。
・メールの添付ファイルを安易に開かない。
ランサムウェア被害の原因にもなっているため。
・ブラウザの広告を絶対にクリックしない。
ランサムウェア被害の原因にもなっているため。
・uBlock OriginやLiteは必須アドインとして入れ、広告をできるだけブロック。
ランサムウェア被害の原因にもなっているため。
・同期という同期は全部OFF(漏洩防止のため)。
・フリーウェアインストール厳禁。
・SNS厳禁(社用公式のみ)。
・Windowsアプリ、アップルのストア、使用厳禁。
・OneDrive、365、GoogleDrive、Dropbox、厳禁。
・個人のPCのDBネットワーク参加の禁止(専用の、SMB遮断ルーターにのみ無線接続)。
・マイクロソフトアカウントの無料サービスの利用厳禁。
この状況ですと、
「パソコンは一般的・定型的な事務にしか使わない」、
「ワークグループLANしか使わない」
そんな事業所には、「WindowsUpdate」は全く意味が無いとまではいえませんが、
「重大なものでないなら、やったところで、意味は、実は、大きくもない」し、
また、
「”80点でいい””『セキュリティ自体』が傍流で”本来経営の邪魔にしかならない経費”」、
「できれば1円だってセキュリティにはお金を使いなくない(昔は無かったのだから)」、
「専門家の対策とやら、実ははあまり効果ないから(侵入口をふさぐ方がよっぽど効果ある)」、
というスタンスの
「Webを遮断した”感染は許すけど漏洩は許さない”というネットワークならなおさら」です。
※補足
「昔は無かった」と書くと、「昔はインターネットも無かった」という反論が当然きます。
が、
インターネットができたから、というのは確かにそうなので認めますが、
でもそれでも、
「昔より余計な経費が増えた」
というのは、まぎれもない事実です。
そして更に、
「一晩で会社がつぶれるほどの脅威にもなってしまっている」、
「なのに専門家の対策は破られる」、
「なら経営者としては、そんなものに1円だって払いたくないとなるのは自然」だし、
「侵入口を守ることに集中して漏洩はゆるさない」としたほうが”100倍”マシ。
というのも、まぎれもない事実です。
========================================================
●以下、LANアダプタ2枚挿しPCの設定
(単純に挿しただけでは通信できません。
少しイレギュラーな感じの設定が要ります。)
何も無し(有線無線切断)
|
|
|
|
ルーター1(社内FTPサーバ×1台のみ)【c】
192.168.187.1----192.168.187.100
|
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)【b】 別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)【a】
192.168.0.1----192.168.0.100
1. イントラネット側LANアダプタ(例: 192.168.55.100)
項目 設定例 説明
IPアドレス 192.168.55.100 固定IPアドレス(例)
サブネットマスク 255.255.255.0 通常のクラスCマスク
デフォルトゲートウェイ 空欄 設定しない(ゲートウェイなし)
優先DNSサーバ 192.168.173.1 または
インターネット側のDNSサーバ イントラ側のアダプタでもDNSはインターネット側のものを指定可
代替DNSサーバ 8.8.8.8 など 代替DNS(Google DNSなど)
2. インターネット側LANアダプタ(例: 192.168.173.100)
項目 設定例 説明
IPアドレス 192.168.173.100 固定IPアドレス(例)
サブネットマスク 255.255.255.0 通常のクラスCマスク
デフォルトゲートウェイ 192.168.173.1 インターネットへのルータIPアドレス
優先DNSサーバ 192.168.173.1 またはISPのDNS インターネット接続に使うDNS
代替DNSサーバ 8.8.8.8など 代替DNS
コマンドプロンプトかPowerShellで以下のコマンドを実行。「-p」は永続的にそうする、ということ。メトリックは優先度高く自動設定される。
route add 192.168.187.0 mask 255.255.255.0 192.168.55.1 -p
ただし、route print を何度もやって、もし、その設定が不要なケーブル構成(素直なストレートなケーブル構成など)なら、不具合回避のために、
『 route delete 192.168.187.0 mask 255.255.255.0 192.168.55.1 』
というコマンドを実行する。
