● PC30台以下の事業所が、未知のウィルスにも対応できて、ランサムウェア漏洩や脅迫をつぶす、WindowsUpdate(基本、事務用途にはほぼムダな修正)を多少怠けても大丈夫な、ネットワーク構築やPCの使い方
※まだ書きかけです。すみません。
※間違ってたらすみません。
※メモ書きなので、自分でも意味不明な箇所も多いです。ごめんなさい。
ChatGPTに聞きながら、実際に色々と実験してみましたら、
「ランサムウェア+キーロガーやトロイ+その他からの被害の対策」に使える、
社内LAN接続構成が4パターンができました。
機器の販売状況に合わせて変えていけばいいと考えました。
以下のようなことをクリアできるようにしました。
●「感染はするけど、漏洩や脅迫は無い」
●「感染しても感染したその1台のみしか被害なし。
「被害を出来る限り1台だけに食い止める」
●「未知のウィルスにも強い」
●「復旧ができる限り楽になるように」
●「よって、古いOSも使える」
●「プリンタ複合機」がどのネットワークからも使える
(印刷のみ。スキャナPDFは同一セグメントのみ)
●ランサムウェアや拡散系のウィルスはネットワーク内の自動拡散は
できるだけ防ぎます。ルーター間では実質ゼロに近づけます。
●犯罪者が社内で人的に手作業でデータを漏洩したり盗んだり、とか、
ウィルスを仕込みまくったり、は考えていません。
それは別の課題になってしまうので。
あくまでも自動拡散と漏洩と脅迫を防ぐだけ。
正直それは警察案件なので、我々ができるのは監視カメラか、
従業員の皆さんの目と声かけ、くらいでしかできない。
(セキュリティ業者の中には、「それができてないから甘い」とかの
気違いじみたことを言う人やWeb記事がいますが、
それを防ぐにはスパイ防止法や警察や軍が必要です。
誰がそんなもの雇えますか?制定できますか?
なのでここでは考えません。)
●「無駄なWindowsUpdate」不要
●「脅し的な」「WindowsUpdate」も不要
●「高額なセキュリティ業者」不要
●「社員だけで対応できる。
●「高額なセキュリティ装置」も不要
●「メール+WebのPC」はMacでもLinuxでも可。
「Windowsである必要はない」
(MicrosoftOfficeが不要なときだけだど。)
●「大手企業のように、セキュリティの専門家が勢揃いのくせいに軒並み安易にやられてしまう」とか
「セキュリティの専門家とやらの言う通り、WindowsUpdateを毎回確実にやってたのに安易にやられてしまう」などの
「あきらかに」「理屈上」「論理上」「コスパ上」「おかしな点」をできるだけ排除する。
●各ルーター間はSMB、RPC/DCOM、RDP、遮断。(RPC/DCOMはできる範囲で)
●ルーター2のPC間は、SMB遮断。あえてファイル共有できなくします。
●ルーター2のPCをマイクロPCの消費電力の少ないものでまかない、
ルーター3のPCを通常PCかマイクロOCを使って、できるだけ消費電力を
落して電気代を安くします。
3時間以上PCにさわらないことが分かっているPCなら、
外出時に使用者がスリープや休止状態にするか、
気付いた他の社員がスリープや休止状態にする。
●基本、固定IPアドレス設定。
●クラウドの顧客DB利用に移行する場合は、そのネットワーク内のPCは、
Web検索厳禁+メーラーインストール厳禁、にします。
●以下の基本も守ります。
・メールのURLクリックしない。
・HTML形式で開かない
・メールの添付ファイルを安易に開かない
・ブラウザの広告を絶対にクリックしない。
・フォーム(Webページ)とパスワードの保存設定厳禁
・uBlock OriginやLiteは必須アドインとする
・同期という同期は全部OFF(漏洩防止のため)
・フリーウェアインストール厳禁
・SNS厳禁(社用公式のみ)
・Windowsアプリ、アップルのストア、使用厳禁
・OneDrive、365、GoogleDrive、Dropbox、厳禁
・個人のPCのDBネットワーク参加の禁止(専用の、SMB遮断ルーターにのみ無線接続)
・マイクロソフトアカウントの無料サービスの利用厳禁
●ただし、PC20台以下の零細と個人事業主のみしか使えない。
(100台くらいいけるかもだけど。)
※以上の対策のセキュリティ業者・マイクロソフト視点での評価
この構成を見せると、たぶんこう言われます。
「それは理想論」
「運用が大変」
「現実的ではない」
でも本音は別。
「装置やサービス、機能、を売る余地がない」
だから否定されるだけ・・・、
という形にしたい。
(01)クリップボード共有可能なリンクケーブルが売り切れで無く、UltraVNCも無い場合。
KVM(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
FTPサーバかUSBメモリでファイルをやりとりするしかない。
ただ、FTPソフトの転送専用フォルダのオープンと接続をUWSCで自動化できるので、
思ったよりは使い勝手は悪くない。
何も無し(有線無線切断)
|
|
|
|
ルーター1(FTPサーバ×1台のみ)
192.168.187.1----192.168.187.100
|
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) 別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)
192.168.0.1----192.168.0.100
(02)「クリップボード共有可能なリンクケーブル」が在り、UltraVNCを使う場合。
KVM(モニタ+入力装置切り替え機)もVNCがトラブったときに使う場合。
(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
「クリップボード共有可能なリンクケーブル」でファイルを「コピペ」でやりとりできる。
UltraVNCを併用すると、KVMのモニタ切り替えの頻度をだいぶ減らせるので使い勝手・効率が良くなる。
UltraVNCの中でも、「クリップボード共有可能なリンクケーブル」でのファイルを「コピペ」は有効。
この場合は、FTPサーバ不要なので、(01)からルーター1とFTPあーばを消せる。
ファイルのやりとりは、最悪、USBメモリ。
何も無し(有線無線切断)
|
|
|
ルーター2(メール+Web専用PC郡:最新OS) 別フロア無線ルーター4
192.168.55.1----192.168.55.100----------外部 無線 LAN(カスケードも何も無し)----→192.168.173.1(インターネットへ)
| (LANアダプタ2個挿し。
| 両方無線でも可。)
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)
192.168.0.1----192.168.0.100
(03)クリップボード共有可能なリンクケーブルだけが在り、UltraVNCも無い場合。
KVM(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
ファイルのやりとりは、基本、クリップボード共有可能なリンクケーブルとKVMで。
最悪、USBメモリを使う。
何も無し(有線無線切断)
インターネットへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)
192.168.55.1----192.168.55.10
(04)顧客DBを刷新して、クラウドに移行した場合や、Win10+仮想マシン(Win2000など)で
動かさないといけなくなったとき。
クリップボード共有可能なリンクケーブルだけが在り、UltraVNCも無い場合。
KVM(モニタ+入力装置切り替え機)のみ使う場合。(ルーター2 と3のPC間で)
顧客DBはフォルダ共有はできるけど、Webには漏洩防止したいためつながない。
↓
ファイルのやりとりは、基本、クリップボード共有可能なリンクケーブルとKVMで。
最悪、USBメモリを使う。
インターネットへ
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)
192.168.55.1----192.168.55.10
↑
LANケーブルやWi-Fiなどではつながない。完全独立。
↓
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)
192.168.0.1----192.168.0.100
|
|
|
別回線でインターネットへ(OSをWin10にしたいだけなら不要)
あるいは、
インターネットへ
|
|
|
ルーター1(FTPサーバ×1台のみ)←---リンクケーブル使うなどなら不要。
192.168.187.1----192.168.187.100
|
|
|
ルーター2(メール+Web専用PC郡:最新OS)
192.168.55.1----192.168.55.10
|
|
|
ルーター3(顧客DBその他ほとんどの作業のPC郡:旧OS可)
192.168.0.1----192.168.0.100
など。
●「Windows Update」という、下手すると効果の薄い??、ある意味「恫喝???同調圧力???」について。
(「Windows Update地獄」は誰のためか?「更新しない=危険」という思考停止について。)
WindowsUpdateは、特にセキュリティ補強に関しては、
『ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携などのための「セキュリティの穴」』、
言わば、大企業や「中小のうち大きな規模の会社のみ」、IT企業、セキュリティ企業、デザイン企業、広告企業、などの「セキュリティの穴」を埋める更新プログラム内容が多く、
反面、以下の(a)~(g)のような、
『「事務中心」かつ、「ワークグループLANネットワーク」での使い方をする、しかも、「そもそももとから外部からの攻撃の入口が限られている零細企業」や中小の「小」の多く 』
には、無関係なことが多いセキュリティ修正内容です。
(a)オンプレミスの顧客DB・売上DBで、特に、AccessやSQLServer+ブラウザ、MySQL+ブラウザ、などのDBを使い、社外からのDBアクセスは無し。
(b)あとはファイルサーバのみでほぼ日常業務が完結する。
(c)OneDriveやGoogleドライブ、などは漏洩やデータ破壊トラブルがあとを絶たないので、よほどの機能が無い限り使用禁止。DropBoxなども設定に無知だと漏洩するので禁止。
(d)ほとんど事務しかやらない。
(e)動画配信やSNSも会社公式で少しだけ。
(f)ワークグループでのファイル共有のみ。
(g)サーバーなんて社外公開しない。
※上記のような企業は、日本全体で150万社は下らないと思われます。
(中小零細企業全体・336.5万社のうち、その84.5%くらい=285万社が従業員20名以下の零細企業なので。中小零細全体で日本の企業の99.7%を占めます。社数ではなく、事業所数でいったら、その数倍はあるかも?)
正直、
「ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携」などのための不都合なんて、
我々、「PCを事務だけに使っている人間・事業所」にはまったくの無関係なのです。
(そういうところは、メールURLなどのフィッシングやブラウザに保存したパスワードからの被害のほうが圧倒的に多いですし、事実、今、急増しています。でもそれは「★WindowsUpdateでは何1つ直りません★」。)
つまり、WindowsUpdate自体が150万社以上に対して、「ある意味」ですが、でも、現実に「相当の」「無駄作業」です。
でも、穴があるからやらないといけない、と「恫喝される」からしかたなくやる。
(皆さん「穴があるからやらないといけない」とそう騙されるので同調圧力も強いです。
同調圧力はいろんなところから来ます。
セキュリティ企業、セキュリティ記事、マイクロソフト、銀行、広告企業、
市販ビジネスソフト企業、会計士、PCショップ店員、Q&Aサイト回答者、
パワーユーザー、などなど。)
でも、ここまで述べてきた構成なら、そんな「ムダなWindows Update」を小々怠けても、「もともと外部からの攻撃の入り口の少ない零細企業」では、多くはセキュリティリスクになりません。
(スパイや犯罪者が物理的にウィルスを仕込みに来たり、直接盗んでいくのは、警察や軍の適用範囲なのでここでは論じません。)
WindowsUpdateなんかやるより、メールやSNSやブラウザのパスワード保存設定に気を付ける、自分たちのうっかりミスに注意、「ちょっとだけラクしたいから」のルール破りの禁止、のほうが「少なくとも20倍以上は」「効果があります」。(でもそれはアナウンスされず、TVCMでもChromeなどが安全とうそぶかれています。パスワード保存は危険なのに推奨されています)
また、「古いOSのまま行ける確率が跳ね上がる」ので、「無駄な」「各種の」「バージョンアップ地獄」からも解放されます。
小々不便になると言っても、IT企業ではない、もともと外に出てお客様に接する時間のほうが多い業界なら、そこまで不便にはなりません。
「ゲーム用途、Active Directory 環境、VPN 利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携」、
おまけに「サーバー公開している企業」の尻拭い、とばっちり、は我々(いわば150万社の側)はもうごめんです。
そんなバカバカしいWindowsUpdate地獄から、脱却するのにも、充分なヒントになる構成だと思います。
※補足:「Windows Update の内容についてもう少し具体的に」
Windows Update の脆弱性修正の多くは、
Active Directory や、Kerberos 認証・NTLM 認証といった企業向け認証基盤、
Hyper-V などの仮想化基盤、
VPN や IPsec といった拠点間・社外接続のための通信機能、
GPU・DirectX・各種メディア処理基盤、
Azure や Microsoft 365 などのクラウドサービスとの連携機能
といった、企業環境や高度な利用形態で主に使われる機能に関連しています。
これをもう少しわかりやすく現実にあてはめたものが、冒頭でも書いた以下の文のようなかたちになります。
===
『ゲーム用途、Active Directory 環境、VPN利用、仮想化基盤、高度な動画・画像処理、各種クラウド連携などのための「セキュリティの穴」』、
言わば、大企業や「中小のうち大きな規模の会社のみ」、IT企業、セキュリティ企業、デザイン企業、広告企業、などの「セキュリティの穴」、
を埋める更新プログラム内容
(※つまり、事務系や小規模な事業所はほぼ無関係。そういうところは、メールURLなどのフィッシングやブラウザに保存したパスワードからの被害のほうが圧倒的に多いですし、今、急増しています。でもそれは「WindowsUpdateでは何1つ直りません」。)
===
