私が「エアギャップ」を
薦めない理由は

(3)インターネットにつながなければ安心!?

「エアギャップ」という言葉をご存じでしょうか。

 これほどまでにサイバー犯罪の被害が深刻で、対策も後手後手になってしまうと、いっそ「ネットにつながない」ことが最も優れたセキュリティ対策に思えてきますよね。エアギャップとは、そうした考えに基づいた、外部から隔離されたネットワークのことです。限られた空間、例えば1つの部屋の中だけで運用されるため、サイバー攻撃から企業の重要な情報を守ることが期待できるというわけです。エアギャップからデータを持ち出すためには、UBSメモリやDVDといった外部メディアや、場合によってはプリントした紙が使われます。時代を逆戻りしたようなやり方ですが、致し方ありません。

 ですが私は、国家機密や防衛関連情報などの保守以外は基本的にエアギャップをお薦めしません。それにはいくつか理由があります。まず1つは、そのエアギャップ(閉域・閉じた部屋)が、「ここに最重要データがある」という看板になってしまうこと。わざわざ重要データの在りかを教えているようなものです。どんなに強固なセキュリティでも、ターゲットがはっきりすれば攻撃もやりやすい。確実に儲かる情報なら、あらゆる手を尽くして攻撃してくるでしょう。例えば、お金に困っている社員を買収し、情報を外部に持ち出すといったことも不可能とはいえません。

 もう1つは、外部に持ち出すデータを完璧に管理するには相当のコストがかかるということです。年金情報漏えいの時も、一部のデータをエアギャップから勝手に持ち出した作業者のPCが標的にされました。悪意があったわけではなく、自分のデスクで作業がしたかったようです。こうしたことができないように厳重に管理する必要がありますが、このルールづくりから日々の運用まで、手作業で行なうとなれば、非常に費用がかかります。エアギャップは隔離されているから、セキュリティが甘くてもいいというわけではありません。セキュリティソフトのアップデートや、ログの追跡により誰が、いつ、どの情報にアクセスし、どこに持ち出したかを管理者が記録できる仕組みをつくることも必要です。

 正直な話、これは二度手間。それだけのコストをかけてエアギャップにするぐらいなら、もっと安いコストで最新のネットワークセキュリティを運用したほうが便利だし、よっぽど合理的です。そう思いませんか。