日経Networkさんの7月号、あまり訳に立たない対策ではないかと考えてしまいました。
tech.nikkeibp.co.jp
LANスイッチの空いているポートは、パソコンを勝手に接続され、LANを流れる情報を盗まれる恐れがある。また会議室などにある使われていないLANケーブルなども、情報を盗み見るために使われてしまうかもしれない。そうした事態を防ぐには、LANケーブルに関するセキュリティー対策が効果的だ。
(中略)
ポートに鍵をかける
セキュリティー強化を目的としてポートを塞ぐ製品もある。蓋に鍵が付いており、勝手に取り外すことができない。LANケーブルを挿し込めないようにして、不正アクセスやLANスイッチなどの不正増設、情報コンセントのポートの不正利用などを防ぐことができる。もちろん誤接続やほこりの侵入などの対策としても有効だ。
(日経XTECH記事より引用)
◆キタきつねの所感
埃対策や誤ってLANケーブルを差し込んで無限ループ・・・といった事を避けるだめに、ポートを塞ぐべきだ、という事(非セキュリティ要件)は十分に理解ができます。
しかし、セキュリティ上の理由で『物理的』にポートを塞ぐ必要があるか?と聞かれると、私は必ずしも塞がなくても良いのではないかと思います。
その理由として挙げたいのが、多くのLANポート閉鎖製品は解除キーが「共通鍵」であるからです。LANポート1つ1つに解除鍵が違う製品もあるかも知れませんが、国内で入手する製品の多くは、共通鍵であるとの認識です。例えばAmazonの製品だと・・・こんな感じです。
鍵のところが複雑な形状となってなさそうなのがご理解いただけるのではないでしょうか。
これらの製品で、仮に鍵が個別鍵だった場合、空いているポート分だけ「物理鍵を管理しなければならない」事を意味します。システム故障、システム変更やシステムリプレイスの際に・・・いちいち、鍵を探して対応しなければならないとなるのであれば、メンテナンス要員の方が発狂する事は間違いありません。
また、仮に鍵をなくしてしまった場合はどうなるでしょうか?
メーカーに個別鍵を発注するか?それとも永遠に閉鎖されているか、何とか壊すかしかありません。と考えると現実的ではなくなってきますので、これらの鍵は「共通鍵」である事を運用上の理由で求められている事が理解できるかと思います。
では共通鍵であった場合・・・どんなリスクがあるのでしょうか?
Amazonで同じタイプのLANポート閉鎖製品を買えば「鍵の入手が可能」です。
この事を知らないユーザに対しては、鍵の入手ができないと思っているので「セキュリティ対策」であるかも知れませんが、知っている人から見ると「けん制」(面倒)な対策でしかありません。
なので、鍵つきラックの中にLAN対応機器が入っていればそのセキュリティ対策(施錠)で十分だと思いますし、外にむき出しのLAN対応機器のポートが怖いのであれば、何十台ものLAN対応機器(ポート)を論理的に管理できるソフトを買えば、結局はそちらの方がトータルコストは安くすむのではないか・・・そんな風に考えます。
こうした、物理的なLANポート閉鎖がセキュリティ対策として(他の対策に比べて)有効である・・・そう判断できる根拠って、何か他にもあるのでしょうか?
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴
