役所など、情報系システムのセキュリティが弱くても業務システムに問題ないか

脆弱性に関連して質問です。

すごく簡単にいいますと、学校や役所などのIT環境は、校務システムや行政システムの業務システムとそれとは別の情報システムなど、大きく分けて二系統のシステムで成り立っていると思います。セグメント？も別でしょう。
この場合のシステムとは、サーバーやネットワーク、PC、ソフトウェア、業務システムなどを含むんだものとお考えください。
そして、二系統のシステムは、ファイヤウォールなどを介して強固なセキュリティの元、限られた権限でのファイル共有や通信などの用途でなんらかの形で繋がっているのかなと思います。

質問です。
ざっくり言って以下のような環境と使い方の場合、脆弱性が大いにあり、業務システムまで攻撃される可能性もある考えるものでしょうか。
セキュリティは施してあるとお考えください(一部除く)
業務システムと情報システムが繋がっていれば、いくら業務システムが強固なセキュリティといえども、例えば情報システム配下のPCで悪意のあるexeファイルを実行してしまったり、内通者がいれば、業務システムに負荷を与えるなどが簡単にできるのではないでしょうか。

・業務システム
システム配下のサーバーやPCはインターネットのウェブサイトなどを閲覧できないが、サーバーの死活確認などで外部にログを送っているのでその意味ではインターネットにつながっている。

・情報システム
PC使用者がインターネットのウェブサイトを閲覧できる。業務に使用するファイルサーバーがある。
一部のPCは市販のPCをそのまま使っているようなもので、使用者は管理者権限でPCを使用。ソフトウェアのインストールや実行が可能。exeファイルのメール送受信や実行が可能。

No.3 回答者： t_fumiaki 回答日時： 2022/11/02 19:07

外部環境と一切接続していなシステムなら安全なのか？という質問投稿ですか？

ソーですよ。

が実際上はその様なシステムは構築出来ません。
データやプログラムはドーヤッテインストールしたり、入出力するんですか？？

usbメモリなどを介して行なうんでしょ？
その時点でアウトです。

No.2 回答者： ShowMeHow 回答日時： 2022/11/02 17:03

半田病院の例では、基本的にはインターネットから独立したネットワークで、保守用のfortigate のfirewall の脆弱性（とパスワードの漏洩？）などから、外部から侵入され暗号化に至ったと記憶しています。

今回の大阪の例も、（まだ詳しくはわかりませんが）同じような感じと想像します。何らかの形でインターネットにつながっていて、そこを管理している機器のセキュリティが、きっちりと更新されていないと侵入される可能性はありますし、ネットワークに侵入された場合、通信を傍受することによってパスワードは安易にクラックされるリスクはあります。

今年の春に猛威を振るった、emotetなどのウィルスは、メール情報などをそのまま盗み出しますので、半日でもウィルス感染に気付くのが遅い場合は、メールの内容がすべて盗まれた状況になってもおかしくありませんし、もしそこに何らかのパスワード等があった場合は、すぐに、ダークweb上に公開されることも十分考えられます。

もちろん内通に悪意を持っている人がいるなら、何でもありの世界です。

No.1 回答者： angkor_h 回答日時： 2022/11/02 16:51

貴方の言う「情報系システム」と「業務システム」というのは、

貴方の創造物でしかないと思います。
実際のイントラネットの構造とはだいぶ違いますけど。