脆弱なプロキシの穴

セキュリティ意識の低い人、社内にいませんか。

いますよね。セキュリティは利便性とトレードオフだから、どうしても、嫌われがち。

金がかかるくせに、収益が上がるわけでもなく。だからコストカットの標的になりやすい。

そんな会社は、疲れ果てた社内SEが、苦しみながら、各部署からの依頼に応え、セキュリティソフトウェアの

保守運用回収開発を手掛けている。

しかしながら人員不足。導入されがちな、「i-FILTER」などのフィルタリングアプリ。

外部と内部の通信の間に、プロキシとして君臨し、怪しいサイトへのアクセスをブロックする。

しかし、ここには穴がある。カテゴリ上ブロックだが、運用上どうしてもアクセスしたいサイト、というものが出てくる。

その時、プロキシサーバーでは、接続元クライアントではなく、接続先WebサイトのURLを、部分一致でホワイトリストに登録する。

ここでまじめな管理者であれば、細かく定義するが、時間のない社内SEは、この後もどんどん来るやろ・・・という懸念も持ち、広めの穴をあけてしまいがち。

例えば、以下のような形。どうです？以下のようにやってません？

　アクセスしたい先：https://azure.microsoft.com/ja-jp/pricing/calculator/

　穴あけ：部分一致：*azure.microsoft.com*

この状態で、悪意のある社内犯罪者が、個人アカウントで作成しているブログに

「https://riss-life.com/azure.microsoft.com」のようなURLを付与し、アップローダ機能を付ける、

とかすれば、情報の持ち出しは超簡単。

上記例で挙げた通り、Office365・Windows関連の通信が最近増加しているように感じられる

そのため、microsoft.comあての通信はフィルタ制御しない、など、ありうる状況下にある。

さて、これをどうするか。