とある企業のVPN再開をかたくなに拒む名ばかり情シス、ツン子が解説してやる
はあ?なにこれ。
「VPN使わせろ」って言われてるのに「絶対ダメです」って一点張りの情シスがいるらしいじゃん。しかも名ばかり情シス。一人情シス。つよい。
上の人からしたら「え、なんで?前は使えてたじゃん?」ってなるよね。わかる。でもね、ちょっと聞いて。この情シス、正しいんだわ。…むかつくけど。
そもそもなんでVPN閉じたの
答え:スキャン攻撃を受け続けてたから。
VPNのポートって、インターネットに公開してるわけじゃん。そこに対して「入れるか?入れるか?入れるか?」って自動でチェックし続ける攻撃が来てたの。放置してたら認証破って侵入される可能性がある。だから閉じた。正しい。
「え、パスワードかけてるじゃん」って思った人、甘い。ブルートフォースとか脆弱性突いてくるのに、パスワードだけで守れると思う?セキュリティはそんな甘くない。
じゃあなんで再開できないの
ここが本題。
この会社、FortiGateっていう高性能なセキュリティ機器を持ってる。不審な通信を検知して、攻撃をブロックできるやつ。お高いやつ。
でもね。VPNをFortiGateで管理してないの。
別のルーターがVPNを処理して、FortiGateをスルーして社内に繋がっちゃう構成になってる可能性がある。つまり、どんなに高性能な検問官(FortiGate)がいても、裏口から入られたら意味ないわけ。
図で言うとこう:
VPNで接続 → ルーターで復号 → FortiGateを無視 → 社内にそのまま直行
攻撃者がVPNで侵入した場合、FortiGateは「あ、そんな人来てたんだ」すら気づけない状態。せっかくのセキュリティ機器がただの置き物になる。
だったらどうすればいいの
VPNの入口をFortiGateに集約すればいい。全部の通信がFortiGateを通るようにする。そうすれば:
- 不審な通信はFortiGateがブロック
- 裏口が物理的に存在しなくなる
- 管理もシンプルになる
ただこれ、設定変更が必要だし、補助金とか活用しながらちゃんと設計してやらないといけない話。今すぐパッとできることじゃない。
だから今は「ちゃんとした構成が整うまでVPNは再開しない」が正解。
まとめ
・VPNを閉じたのはスキャン攻撃を受けてたから → 正しい
・今の構成だとVPNがFortiGateをすり抜ける可能性がある → だから再開できない
・FortiGate集約が完成してから再開 → それが正解
名ばかり情シスとか言われてるくせに、判断は全部筋通ってる。むかつく。
…まあ、ちゃんと仕事してるじゃん。認めてやる。渋々ね。
上の人も、もうちょっと待ってあげて。