【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
■ このスレッドは過去ログ倉庫に格納されています
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/ イントラ内はライブハウスみたいなもんでランサムウェア系のウィルス入ると厄介 要はLAN内でもアカウント必須の運用ってことでしょ。
まぁそれで良いと思うが、VPNは手軽だしそこそこのセキュリティなら確保できる。
中小企業とか家庭レベルなら超絶便利。
不正侵入されて著作権侵害が起きたとか知ったことではないし。 >>3
運用ではない。
開発が奏されているということ。
だから、運用は必然的にそうなる。
セキュリティは守るものとの見合いだから、個人やたいしたことのない企業とGoogleでは守るものが違うし、かけられる金額も違う、
ただ、単にコンテンツへのアクセスコントロールをガタガタ言わずにしっかり作れというだけなんだから、VPNを擁護するのはこの文脈では難しいね。 VPN接続時にチェックするか、入ってからもう一段階噛ませばいいだけで、やってない方が珍しいと思うが? >>5
はっきり言うと日本の99.9999999999999%のシステムでコンテンツごとへのアクセスコントロールを徹底的に分析して、必要な権限しか付与しないシステムは動いていない。
つまら、常識ではない、
しっかり権限つけましょうねレベルと区別がつかないなら、そもそもこの記事の意味を理解する経験なり技量なりがないのだから、まずはそっちだな。 VPN使わないって事は平文のデータをやりとりしてるのか?
記事は認証方式に言及してるが、それとVPNは別物だろう? >>7
そんな軽いレベルの話はしていない、
こういう本質的なところを理解できないお馬鹿なエンジニアばかりいるんだよね。 >>9
お前はなんで自分がとんでもなく的外れなことを書いているとわからないんだ? >>11
>>12
すまん、真面目にわかないので説明してくれるとうれしい。 >>14
わからないままでいいと思うぞ?
不相応のことには首突っ込まないこともまた賢い >>15
いや、知りたいね。
是非教えてくだされ。 >>14
例えば、今俺はこれをhttpsで書いていて、平文では送っていない。
でも俺はVPN環境にはないよ。
わかるかな?通信が暗号化されているかということと、CPN使っているかは別の話だ、 >>14
VPNってのは、PN自体は安全、でもインターネットはそうじゃないからインターネット上での通信は暗号化してPN同士を繋げましょう、という発想
ゼロトラストネットワークは、インターネットでもPNでもネットワークは安全ではない、という発想 >>9
イントラのシステムのアクセスコントロールが緩いから、リモートアクセスはVPNに頼らざるを得ないと言う事。
近頃はインタネットでも平文でやり取りするのは稀だし、そこは論点じゃない。 >>17
httpsってSSL-VPNとはちがうのけ? >>6
>開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため
だよ。
要はLAN内外に全部を公開してるってこと。
別に大げさに言う話ではない。
言うまでもないが、これに加えてVPNを使った方がセキュリティは多少強固になる。 >>8
>99.9999999999999%のシステム
書き込みの信頼性は0だな。 >>9
もう少し話をすれば、暗号化は個々のアプリケーションレベルでは、OSI参照モデルではセッション層とかトランスポート層でなされることだし、現実にはOSI参照モデルは使われていないから、多くは四層以上の多様な局面で使われている。
これに対して、VPNというのは、第二層ないし第三層のトンネリング技術であって、VPN自体は暗号化とは独立な概念だ。
そのトンネリング技術の中に暗号化を組み込んだIPSecなどがあって、こちらでも暗号化はできるというだけの話なわけだ。
だから、VPNを使っているというだけでは、厳密には暗号化しているかはわからないし、信頼できるレベルの暗号化であるかは更に不明だ。
そして、VPNを使っていなくても、暗号化された通信は普通になされているし、VPNとは別に通信全般を暗号化することも行われている。
わかるかな? これと似たようなシステムの運用をかなり昔、AppleのLAN運営セミナーで見たな
アマゾンもPC本体から作っちゃえば?その方が簡単よ >>24
この掲示板に信頼性がある書き込みがあると思っているのか?
お前のネットリテラシーは90過ぎのおばあさんより下だな、
記事を読んでも接続の認証を強化しました程度にしか読めなくて。
認証の強化とVPNを使ってないが、俺の中で結びつかないんだ。 パブリッククラウドならIAMユーザーを作成し、それに適切なアクセス権限を付与するのが基本だと思うが VPNを使ってLANに到達したら、その後は権限のチェックをあまりしない
というのをやめて
VPNだろうがなんだろうが、その後のアクセスすべてを細かく権限チェックする
ということなんだろう >>29
通信の話はしていないんだよ。
だから接続の強化とか思っている時点で大幅にら的を外している。
通信でそのハードに来た全てのパケットは怪しい。
そういう前提でシステムが組まれている。
だから、VPN経由で来ようが、社内の限定領域のIP持ってようが、全ての活動についてアクセスコントロールを行う。
必要なら認証かますし、ファイル全般へのアクセスはそもそも認めないというケースもある。
わかるかな? たしかに
セキュリティが向上するんだろうけど
必要なツールを内製する資金力と技術力がないとできないだろうから
他の会社がおいそれとはマネできないだろうな >>22
セッションレベルのVPNと理解したいと?
そうお前さんが思いたいならそれで良いのでは?
普通はhttps通信をしていることをクライアントとサーバのVPN接続した上での通信とは考えない。
Virtualでもprivate でもないからね。 うちのITは古いから、ロックダウン方式のVPNだ。
ゼロトラストはまだまだ先だ。 >>25
OSI第二層、第三層だとHUBやらルータれべる?
この記事のVPNは、企業なんかがWANを構築する際に使っている仮想専用線を指すと言う理解でいいかな?
>>26
VPNでセキュリティ確保ってのは一人でも侵入されたらアウトだから、まぁ大規模な組織なら確実に侵入はあり得る。
でも攻撃機会を持つ人は減る。
偶然ゼロデイを発見した人とかは普通VPN突破できない。
それからうっかり平文で通信可能な設定になってたみたいなのも防げる。
まぁ、多少だな。 >>37
その通り。
通常企業に対する攻撃はゼロデイではなくとも標的型なので、多くの障壁は突破される。
でも、あるのとないのでは、ある方が多少は良い。
それは認める。 >>37
VPNは楽なんだよね、「社内のシステムをすべてインターネットからアクセス可能にしても大丈夫なようにしろ」
なんて普通のシステム管理者、泣きながら辞めちゃうよ >>36
仮想専用線?
それだとNTTとかのの広域イーサーネットも含まれそうだね。
筆者はそこまでを含んでVPNとは呼んでないだろうが、その理解で良いと思うよ。 >>32
>>34
VPNに頼らず、認証やアクセス制御を強化したのはわかる。
SSL-VPNを通常のVPNとは別物と理解しろ、ということなら理屈の上ではわかる。
あとはまあ、おっしゃるとおり「俺の中では納得いかない」かな。
ネットに一切繋がず、
USBメモリで持ち帰って仕事する日本のリーマン最強って話か? >>1
いずれはアクセス先のサーバ毎に生体認証するようになるんだろうな
認証サーバがハッキングされたら終わりかもしれんが >>42
網棚に置き忘れると言う、致命的なセキュリティホールが >>42
いや最弱だ。
USBメモリに他人に見られたらまずいものを入れて、社外に持ち出した瞬間に事実上情報流失がなされたと理解しないといけない。
後はその情報を悪意の人物が手に入れないように神様に祈るしかない。 別にVPNに限らず
それぞれにリスクはあるからな
他のソフト使わずに完結できるならそれに越した事はない
どれを選ぶかは企業が好きに選択するべき
どれが優れているとも思え無いけどな
必要以上にセキュリティー上げても使い難くなるし
投資も必要になるし >>9
おーーい!
静かなオフィスで声出して笑っちゃたじゃないか!!
どうしてくれるんだよ!
※テレワークなんて検討もされてない会社勤め >>43
サーバじゃなくて、サービス毎な。
サーバの認識を持っているからそいつが権利があるかは調べてみなきゃわからない。
消防の方から来た人が消防士とは限らない。 >>47
君が笑顔になってくれて、俺はうれしいよ。 自宅でVPNルーター使ってVPN接続試みるも挫折。Wi-fiでネットワーク接続されているはずなのに、インターネット見られないから今は普通のルーターに戻した・・ あっそ
その認証サーバーの信頼性はどうやって担保すんのかね >>49
日本がイット後進国と言われるわけだ
情けない ネットワークの枠組みにそれぞれランダムワードを各個人に振り分けられていそうだね レガシーな資産にも認証認可の仕組みを入れてインターネットからアクセスできるようにしよう
そうすればVPNいらないよ、って話よ
そこだけの話じゃないけど こういう判断するためにCTOって職があるのかな
日本政府のCTOは誰? >>17
とid出されて言われてもねぇ…┐(´д`)┌ヤレヤレ >>9はガチでやばいやつっていうことはわかる
認証を数回やるとして>>9見たいのがあらわれるように最終的に複数回オリジナルを暗号化なんて馬鹿なことはしないよね 要は、
ネットワーク属性のホワイトリスト認証はダメ、他のマルチファクタ認証しろ
機体認証は必須で、ACLも細かくかけ
Googleは認証用のリバプロで実装・運用してるよ ってことか グーグルってchromeリモートデスクトップでやらないの? まさか仕事でも簡単な認証の後に向こうから送られてきたパスで終わりじゃないよね? ぶっちゃけいくらやっても社内の人間が悪意を持って情報を抜き出そうとしたら防ぐことは現実的に不可能
そんなのIT関連企業に勤めたら一発で分かる事
産業スパイなんかほぼ内部の人間接待漬けにしたり買収したりして行うもんでしょ
ハッカーが〜とか関係ね〜わ テレワークってSOHOと同じで単なる流行り言葉に終わりそう
あと昭和生まれのオッサンには古めかしく感じるのは何故だろう。 >>8
最近どこの大企業もゼロトラスト目指してるけどなかなか進まないね それよりDataSaver復活させろよ
それか画像検索時の画素数減らせよ >>68
それだわw
Cバスに232Cボード挿してデイップSWでボーレートを合わせてみたいな 光回線なのに今日の午後下り速度が0.4M台になっとった
クラウドなんて当分無理無理(´・ω・`)ノ゛ >>64
テレワークやSOHOが流行り言葉ね?
どれだけ子供部屋から出ていないのかな?この間抜けは。 aclのメンテナンスが大変そうだけどそのあたりは大丈夫なのけ? >>66
本気でやるためには仕事のやり方を変更することになる。
日本の企業情報システムが失敗する最大の原因は仕事のやり方を変えないから。
源流が紙ベースだから、上流に意味のない権限が多数つくことになるし、単に中継ぎだけの人にも結構な権限をつけることになる。
そこで、仕事のやり方をこう変えれば、セキュリティも上がって、効率も良くなると言う提案を諸外国ではするんだけど、日本でそれをすると血を見ることになるから、データとか、富士通とか、日電とかはあからさまにそんなことはしない。
更に、例えば今までの権限は部長はオールマイティにしていたけど、それだと危ないから、部長が管理職として権限を使える場合を限定したり、使う場合は部長の仕事用のアカウントとは別のアカウントでとか言うと、管理職から嫌われて嫌がらせが起きる、
こっちも、やばいから大手は絶対にやらない。 端末承認したらその端末とVPNはるんだろ?
じゃなきゃ公共ネットワーク使えないぞ?
それともモバイル専用線の契約するのか?
よくわかってない奴が書いた記事の典型 >>78
お前がよくわかってない。
お前がよくわからないのは最近の技術情報がまるでわかっていないから。
自分の不勉強を記事のせいにするな。間抜け。 >>78
端末承認って奴の詳細がよく分からないけど
認証サーバーで何らかの細かい条件で端末が確認できたら
その後は普通にSSLで繋ぐことを許可するだけなんちゃうかね
VPNじゃなくて >>63
間抜け。
そんな低レベルな議論はしていないんだよ。
間抜けは、AとBは区別できない、だからAはBと同じで、Bをする意味はないと言うあからさまなデタラメを本気で信じてるからたちが悪い。 >>82
そもそも端末の承認で個別のサービスへのアクセス権を認めるとか低レベルなことはしないと言う話だから。 >>44
>>45
USBメモリ暗号化しときゃいい話。 >>85
>端末の情報やユーザーの属性
って書いてあるけど、具体的に何してると予想してるの?
この手のセキュリティに疎いエンジニア的には
端末情報とユーザーIDとかを基にして
認証サーバーがアプリごとに判断してるとしか読めんのだけど
語学のために教えて欲しい なんでもかんでも、インターネットにつながなきゃ、という強迫観念がな。
世界には軍、諜報機関、犯罪国家、世界レベルの悪党が、1年365日、24時間、
スキあらば奪おう、盗もう、壊そう、などと、ツケ狙っているというのに。 >>88
つまり物理的に完全隔離された専用線を用意する訳ですね? ユーザーや端末ごとにアクセス制限を変える話とVPN的に秘匿性を担保する話とは次元が違うのがわかんねー記者 スタッフ・エンジニアを死ぬまで地下牢に幽閉すればセキュリティOKOK。 >>83
Virtual Private Network
元々は直接繋がっていないネットワーク上のマシンやネットワーク自体を直接繋がっているネットワークであるかのように使えるようにする技術だ。
その後ネットワークの仮想化だけではなく、通信の暗号化などもするようになった。
日本の企業では会社のネットワーク上のサーバなどに出先からアクセスする先に、VPNソフトを介して接続をさせることが多い。 アクセス制限(権限)と内容の暗号化(秘匿)がごっちゃになってきたきたぞ。こんがるがる。 >>86
その程度の間抜けが使う暗号化なんて手もなく複合化されてしまうな。 セキュリティ的には理想ではあるが、実運用は難しいんだよね
認証サーバーやアプリケーションサーバーに登録されている機能・アプリだけで業務遂行できるようになっている必要がある >>87
君の言う認識サーバはアプリ毎に何を認識していると言うの?
それが低レベルだと言われているわけだけど、それもわからない? そもそも社内システムに職権や個人単位でのアクセス制限かかってない会社とかその時点で事故物件だろ?
その上でVPNとかで社内外を切り分けるんじゃ無いか?
何そんなドヤ顔してんの? >>97
わからないならいいよ
すべてのニュースを理解できなければならない、という決まりはない >>98
は?本音が出たな。
そのレベルのセキュリティ意識だからバカにされるのさ。
間抜けら 根本的に記者が勘違いしてる
この話はgoogleがビジネスインフラとして採用してるアプリはすべてがアプリ自体で個別にVPN相当の機能を持ってるということで、VPNを使っていないという表現は間違い
複数アプリ含めてセキュリティを確保するVPNの使い方と比較すると
一つのセキュリティ箇所がクラックされたときのセキュリティ被害が小さくなるかもしれない反面
アプリごとにセキュリティがクラックされる可能性があるのでセキュリティ被害の期待値は大して下がらない
さらにアプリが個別にセキュリティを確保する実装を持つぶん、アプリが肥大化しセキュリティ上のバグが入る可能性はむしろ増える >>85
だからアクセス権と秘匿性は違うだろって話。
アクセス制限してるから、サーバー直接インターネットに繋ぐのか?おまえ >>96
普通に聞いただけなのにいきなり煽って来るとかなんなんだよ…
本当に2chってこんな輩ばっかりになっちゃったな
お前じゃなくて詳しい知人にでも聞くよノシ なるほどね
赤の他人は最初から入れんし入れても使えんわけだ
それだと今度は端末の管理が課題になるな >>97
VPNなしでセキュリティ保ってるのは普通ではないと思うけどな
VPNを使わずに外から繋ぐ企業とか聞いたことないし
>>1の趣旨ってそういう話でしょこれ >>97
例えばさ、Googleのメールを使おうとして、
出先の一般に開放されているネットワークを使って、そうだな、念のためにVPN使って、いつも仕事している会社のIPで、いつも仕事で使っているノートパソコンからログオンしようとしたとする。
でも、Googleは通常のログオンではないと判断して2段階認証を要求するだろう。
なぜだと思う?
Googleだけではなく、アップルでもTwitterでもフェースプックでもそうなると思うけど。 >>102
その用語でお前の能力がわかる。
俺のユーザーIDとパスワードが正規なら、そいつには俺の権限があると思って良いの?
お前の考えならそうなるよね。 権限管理がクソ面倒くさそう。アクセスプロキシの負荷が目茶苦茶高そう。 >>107
>出先の一般に開放されているネットワークを使って、そうだな、念のためにVPN使って、いつも仕事している会社のIPで
これを読んで知ったかぶってるだけだとよく分かりました
2chでそれっぽいこと書いてマウント取るの楽しい? >>103
普通じゃないよ。
>>87
>>>85
>>端末の情報やユーザーの属性
>
>って書いてあるけど、具体的に何してると予想してるの?
>この手のセキュリティに疎いエンジニア的には
>端末情報とユーザーIDとかを基にして
>認証サーバーがアプリごとに判断してるとしか読めんのだけど
>語学のために教えて欲しい
俺はユーザーの属性としっかり書いてるのに見てないだろと言いたいのだろ?
でも、ユーザーIDとパスワードが正規だから、そいつが持っている権限は全てその際に認めるべきかどうかはわからない。
ユーザーの属性なんていう、今やっているサービスのコンテクストとは独立したもので全部を判断することは危険なんだよ。
わかるかな?
アップルはiCloud上の写真にアクセスする際に、Apple IDとパスワードでアクセスを認めたりしない。
なぜかわかるかい? VPNはブロードバンドルーターが対応してなかたので
chromeのリモートデスクトップ使ってる 物凄い上から目線の明らかに理解してない奴が連投してるのワロス >>110
ああ、お前が間抜けで、最近の技術がわからないバカなのは先刻承知だ。
だから具体的な技術の話ができない、
具体的技術ごわかつてないのに悔しそうだね。
少しは勉強しろよ。 イランでTwitterを見るためにVPN使ったな
イラン内の通信会社だとTwitterとFBが遮断されてるんだよ 1の内容が分からないから解説してくれ、上から目線の人 >>116
少しは上の書き込みとか読まないのか?
低脳で煽ることしかできない人。 >>118
GoogleはACLを使ってる。
一行でまとめたぞ。
わからないならググれカス。 >>120
1分も待てないのか、流石低脳。
アホ丸出し。 この手のマウント君は本当に何が楽しくて書き込んでるのだろう
いつも不思議だわ >>123
いつもっかかってきて、何も出来ずに引っ込む間抜けがいるが、お前か?
間抜けは学習しないな。 初心者だけど、ネットワーク内の安全性が担保される構築ならインターネットでvpnを使う必要はないと言うこと? >>121
一行でまとめられるのに、だらだらと無駄レスしてたのかよ・・・ ウチのバか社長
「そのお客さん(企業ではなく個人客)の情報、写真に撮ってラインで送って」
「ウチの会社はね、USB(USBメモリーのこと)を管理してて個人情報の持ち出しは制限をかけてるから」
もちろんそのまま差しても認識するしスマホも外付けHDD、カードリーダーも普通に使える。
どや顔で外部の人にも言っちゃうから一緒にいると恥ずかしい。 まあVPN接続に使う社員のPCが安全じゃなければ侵入し放題だしな
ただ単にVPNを使いさえすれば安全だと思ってる頭の弱い技術者が結構いる VPNじゃない場合、内から外へのデータ漏洩にはどう対応してるの?
敵は内部にあり。 >>1
そのうえでVPNを使えばもっと安全
ひとはミスする生き物、つまり危険と理解すべし >>129
それ言ったらアプリごとにセキュリティ確保していたとしても
その端末自体にキーロガーとか仕込まれてたら全アプリが危険に晒される
結局googleのポリシーにしてもユーザー端末自体が腐ってたらってところは軽減されない Googleは、社内専用のネットワークだろうが、インターネットというネットワークだろうが、ネットワークというものはセキュリティは担保されないから全部同じとして扱っている。
ネットワーク上に置く業務用のサーバはセキュリティ担保が無い場所に置かれるものとして全て構築してあり、インターネットからアクセスしようが関係なく全部同じ。
だから、わざわざ社内専用ネットワークに繋ぐ為のVPNというものは使う必要がない。
という事かな? ActiveDirectory使ったことないから
ユーザー制御というのがイマイチ、よくわからん、
兼務の「ぱそこん係」だし、入社から退社まで2週間、という
のが頻繁にあって真面目にユーザー管理するのが
アホらしくなる。 特定の通信より不特定多数の通信に紛れ込ませる戦略か・・・
”木を隠すなら森の中”だな 運用の継続がね
ACLを 間違いなくミス無くメンテ するのも決して楽ではない
特に「Gmailがつながらねぇと騒いでいる」みたいな緊急時
監視も大変
アクセスポイントが制限してあれば、そこ経由を見張るだけでカバレッジがあがる
全マシンに、任意の経路から来られたら、不正接続の段階で遮断できない
つまり、なにか悪さをするまで押さえられない
それで良いのだといえばその通りだけど 結局どこかのレベルでアクセスレベルの管理をしなくちゃいけないんでしょ。
アプリ毎にするとか、ACL管理が・・・
何百人も何千人もいる会社・部署じゃなくて良かったw ITの基本レベルの話なのに、わかってないやつだらけで笑える
日本でITがコケたのも当然か・・・ >>136
このレベルの話をしようとすると、ADレベルの話じゃ不足なんだよね。
何かにアクセスしたら、それにアクセスする権利があるかIDとパスワードで確認するというだけではなくて、ユーザーのコンテキストとサービスのコンテキストが合致しているかというのを確認するから。 >>133
ところが軽減されるんだよ。
そういうところがわかっていないから、お前は低レベルの間抜けなんだよ。 >>138
それで良いとは言えないから、そういう状況で良いか悪いかを判定するわけだ。 拠点間を自社で設置したIPsec-VPNでつなぐのと、
テレワークとかで自宅や出張先ホテルからのVPN接続を許すのは
まったく違う
後者は基本アウトだろう
モバイルWANでAPNから囲い込んだ上でVPNも通すならいいけどさ >>132
もっと安全とは絶対言えない。
VPNに頼ること自体がリスクでしかない。 >>145
悪いがどちらもダメだ。
理由はどちらも怪しいから。 >>146
この対策のうえで、さらにVPN導入してリスクが上がるのはどんなとき? ネットワークを信頼しないってのはいい考えだと思うが大抵のものを内製できるだけの開発力あるとこでしか出来ない気がする >>148
色々あるよ。
例えばVPNで接続可能な端末が乗っ取られた時。 >>149
そんなことはない。
むしろ一番問題なのは、開発側ではなくユーザー側の問題なんだな。 遊び半分で社内用にHTMLのキオスクボード作ったんだけど、
最近だと「てめーhttpでリクエストするんじゃねーよ」と
ブラウザに怒られるし、オレオレ署名作れば「公証できない証明だぞ、
詐欺だぞ」と怒られるし、「閉じた社内サーバー」という選択肢は
今後、徐々に不便になるかも。
AWSだのAzureだの知らんから、IDとパスワードだけで本当に
いいのかとか、アドレスは関係者以外知らない状態を維持できるのか
とか、疑問が尽きないけど。 >>152
それ手作りすぎなんだよ。
ネットワークとかサーバというのは多かれ少なかれパプリックなもので、それ故にポリティカルな対応が必要になる。
そこら辺はクレバーにやらないといけない。 VPNはネットワークの管理として雑ではあるよな
管理されてない外部の環境を内部に引き込んでしまうわけで プロキシかまして認証されればフリーなんだろ
大して変わらん 元記事のGoogleはテレワークでのVPNか
FW機能だけで安価にできたりするけど、
広く一般職員に使わせるにはリスクとリターンが見合わないから、
普通はあまりやらないよね
本当に社外からLANにアクセスさせたいなら、
最初からモバイル閉域網組んだほうがいい 自前サーバー構築してるからの話だなぁ…うらやましい >>151
多分titanチップ入れた多要素認証だろ
ユーザー側の問題が何を言ってるのかわからんが、端末持ってる本人を銃で脅さない限りは上手く機能すると思う >>152
イントラのwebサーバだろ?
ブラウザが何言おうと別に気にすることはないと思うが、
一般ユーザにブラウザの警告を無視して使う癖をつけてしまうのは問題かな 多要素認証って突破されない前提で考えていいもんなの? >>154
間抜けはお前。
お前ACLでコントロールされてるシステムのことしか考えてないだろう。
標的型攻撃のことを少しは勉強しろ。 >>161
そういうワンイシューに頼ったセキュリティ確保はしないの。
ユーザーの問題がわからないのは幸せだな。 なんかこのスレ、基地外が何人かいるね(´・ω・`) アプリとかツールでアクセス制御と権限付与してるやり方のことか?
めっちゃ面倒くさいんだけど バカみたいなセキュリティで仕事の能率を落としまくりながら、データが入ったHDDを
業者に販売しているバカな行政には見習って欲しいな グーグルが長年温めてきたんだろうが、今ユーザー企業がゼロトラスト構築する近道になってるのがMSのM365E5ってのは皮肉だね >>164
例えばアカウントパクられて急に海外からアクセスされた時に、それを検知して処理するような仕組みもあるよ 用語が専門的で説明になってない
要はGoogle独自の文書管理システムやら人事院勧告システムやら経理システムをさらに自前のネットワークで走らせているって話だろ?
誰にでも分かるように言え無能ども cloudflare accessでrdp over https試したいんだけど無料でかつ独自ドメイン使って実現する方法なんかないか? >>147
ただし疑問なのはアウターヘイブンを作らされたときそれの排除って探知含めて完全にシステムの
一部といえるほど担ってしまっていたとき排除までできるのが疑義があって誰かその場合の方法どうするのか聞いてみたい >>22
httpsはhttpプロトコルに暗号化に使うSSLのプロトコルを加えたもん。
仮想ネットワークを作るvpnとは別もん。ssl vpnはvpnを暗号化するための1つの手段 >>1
誰も信用しない
移民が作った企業だけあってもっともな考え方だ
でもインフラにただ乗りの発想なので好きじゃない >>14
昭和の50年代ごろまでだと
どんな難しい事でも漢字化したから、
初めての素人でも、わかると言えなくともなんとなく大雑把に感じるようなところまで行けたんだよなあ。
最近はカタカナ語どころが、欧米で使ってる略語もそのまま輸入してるから
初めての人は一見では絶対わからないな。 >>175
見事に要点を何一つ含められないまとめだな。
何で無能なバカは自分が何も知らないところでドヤろうとするの? 言ってることはわかるけどこれ運用できる企業少ないよ。 >>32
つまりスマホの許可するしないボタンをアプリ関係なくやるみたいな感じか? >>1
ファーウェイのネットワーク機器が
あぶないよね。
VPNは破る対象が一元化されていて危険で
Googleはそれを分散しているということね 携帯はVPNなんだが、どうしろと言うのか素人にもわかりやすく教えてくれ。 設定項目増えまくって、ミスって穴だらけになったりしないの? VPN利用者急に増えたから
インターネット経由でアクセスしてるわw
どこかで認証かませばいい話であって
Googleの言ってること正解 >>186
ほんとなw
その辺触れずにGoogleは先進的と言っているだけのアホ記事だわ あんま分かってない人が多いけどクライアント証明書をインストールしろってだけの話だぞ。
Googleに限らず、Githubなどインターネット上に公開されているようなサービスは
クライアント証明書で接続元の信頼性を担保している。 つまり、ネットワークを信頼しない代わりに
接続元の端末と本人認証(ID、パスワード認証など)を信頼するのが
ゼロトラストネットワークというわけ。
その程度の話を説明するのに小難しい論文を書けちゃうのがグーグルの優秀なところw > 例えばアプリケーション開発に使用する「ハゲ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない
?? >>192
VPNならどんな端末でもアクセスOKにしちゃアカンというのがGoogleのポリシー
各端末のMACや位置情報などを細かに収集して本人か特定して業務アプリへのアクセスを許可する >>196
違うw
クライアント証明書は端末に対する認証だけだ
「経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできない」
ということからも、クライアント証明書などの端末認証、人・役職・所属組織などのユーザー認証、
さらにワンタイムパスワードやリスクベース認証などを複雑に組み合わせるアクセスコントロールをやっているんだろう 盗まれるだけの価値のあるものを所有している企業だけが心配すること。
踏み台にされるのはやはりこまるか。 つまり、勝手に自宅の端末からアクセスせずに
会社のLANにVPN接続して自席のPCから
リモートデスクトップでGsuite使えって話か
簡単だな よく分からんが、管理をしっかりやれないとグダグダになりそう。 cpuから独立してるセキュリティチップがあって、特定端末で特定の人でないとつかえなくなってるはず
なので端末のrootを取られても認証に必要な情報を盗めないのでその端末でしか繋げられない
鯖にセッションが既に張られてるなら侵入できるかもしれないが、外部からの操作で新しくセッション貼るのは無理(なはず)
流石にMACアドレスで弾くとか偽装がいくらでもできる事はやってないと思う VPN使わないことが特別なことのように書かれるのは信じられん
テレワークにVPN使うのは無謀だと思ってるが結構多いのかな?
初期導入コストは安いけどリスク管理に必要な措置が多いので結果的に高コストだろう
どうしてもLAN内の情報が必要なら法人向け画面転送ツールの方が安全だし、
トラフィックも安定する
あるいは多要素認証かけた上でsharepointみたいなクラウドで情報管理するかだ >>1
「ゼロトラスト」 グーグルが一番信用できないってことだろw >>175
君が図らずも証明したように、誰にでも理解できるように説明するなんてのは無理なのよ 仮に一人でも問題発生のときの人員があったとしてもセキュリティにコストは倍々になる気がする >>181
漢字も初めての人にはわからない
同じこと
知識ベースがあっての話 日本でこれをやろうとしてもACLを厳格に設定せずに適当に済ますような奴らがシステム管理してるから無理 開発者がセキュリティーガバガバのゴミアプリしか作れないからVPNは永遠に必須だろうよ ゼロトラストで重要なのは、ネットワークがプライベートかどうかで、
信用したり/しないということは無意味ということじゃないの?。
(ハムタマゴサンドが美味しいという前では議論は無意味)
また、、信用するかしないかはユーザの属性による。
よって、信用するユーザを認証する。
そして、認証されたユーザとリソースをエンドツーエンドで通信を守る。
こういうことじゃないの?
運用の手間がね。
そもそも完全に閉じた組織ならいいが、
関係各人各所と情報をやり取りする部門は多い。
そうするとあいつに見せてやれ、こいつに見せてくれ、って話になる。
っで、見えればそれがどんなに危険でも誰も文句を言わない。
そこの部門長からペーペーまで。
誰にどう見えているのかなんて、気にする人間はほとんど居なかったりする。
ところが見えないとなるとブーブー豚の様に文句を垂れるw
設定により期限付きで見せるようにしてやり、
期限や期限後の継続申請を、誰を経由して手続きしろと伝えてあっても、
「急に繋がらなくなった」といきり立って怒鳴って来たりするww
グーグルがどんなに凝ったシステムを構築しようと、
セキュリティレベルなんて結局は、組織全体のセキュリティ認識の程度が支配的なのさwww
そもそも記事がおかしい。
回線の秘匿性を信用できないという話と、
誰にアクセスさせるかコントロールすることが重要って話がごっちゃになってる。
それぞれ大事な話だ。
グーグルは回線の秘匿性は気にしないと言っているように見えるが。
記者が曲解したんじゃないかな。
BEYONDCORP
エンタープライズ セキュリティに対する新しいアプローチ
https://cloud.google.com/beyondcorp?hl=ja
これがキモなのかな
> アクセス制御地点をネットワークの境界から個々のユーザーやデバイスに移す つかGCP と G Suite の宣伝じゃねえかww 社内ネットワークに入ればセキュリティガバガバでやりたい放題
というありがちな運用はしてない、ってことよ
このスレみてもわかるように、日本人はITリテラシーが低いのでこんな単純な話も理解できない
ポンコツ国家です いいんだよどうせ理解できないから日本人は
安全でなかろうが使い辛かろうが
上の「やってる感」さえ演出できれば満足なのさ >>86
暗号化機能付きUSBメモリは よくあるおまけソフトで暗号化するのは使い物にならない。
ハードウエアで暗号化するタイプ(例えばキングストンのDTLPG3)がお勧め。 一般向けグーグルのログインの強化版、プロ版なんだろ
ログインのIPと端末が記録されてて不正がないかでてくるだろ
おそらく認証されたパソコン、IPからでないとログインできないってことだろ
それは内部、外部も一緒で
グーグル以外でも機密情報は内部アクセスからも保護してるだろうが
徹底度がちがうんだろ >>223
うちの会社貸与のUSBメモリがそれ。
私物持ち込んでもPCに制限かけられてて認識しない。 システムの問題もさることながら、内通され放題の"悪い会社"と、そうでない
"良い会社"の問題でもあるなww Googleアカウントに不正アクセスされていないか確認する
重要かつプライベートな情報が保存されるGoogleアカウント。何者かがこっそり不正にアクセスしていないか、確認する方法をいくつか紹介する。
すると、過去28日間にGoogleへログインした端末(PCやスマートフォンなどのデバイス)や、ログイン中の端末がリストアップされる。
https://image.itmedia.co.jp/ait/articles/1502/04/wi-1596scr11.png
https://www.atmarkit.co.jp/ait/articles/1502/04/news136.html Googleアカウントに不正アクセスされていないか確認する
Windows PCやMacからのアクセスの場合、アクセス日時の他、ブラウザとそのバージョンが確認できる。
端末の存在位置も表示されるものの、精度はそれほど高くない(市や区が間違っていることがよくある)。
スマートフォンやタブレットといったモバイル端末だと、詳細情報は以下のように表示される。
モバイル端末の場合、iPhoneなのかそれともAndroid OS搭載機なのか、というレベルまでは分かるものの、機種名は不明なことが多い。
そのため、もし使用中の「正しい」端末と同じ機種で不正アクセスが行われると、上記画面に記載の情報のうち正規のアクセスと区別するための材料は残念ながらアクセス時刻ぐらいしかない。
そこで、[この端末を紛失した場合]をタップまたはクリックして、Google Mapで現在の端末の在りかを探すことで判別する、という方法も。その他、対象の端末に電話をかけたりログアウトさせたりすることも可能だ。
[削除]ボタンが表示された場合、タップまたはクリックすると端末からGoogleアカウントなどへのアクセス権を削除して、強制的にログアウトできる。ただし、このボタンは表示されないこともある。
もし身に覚えのない端末やWebブラウザ、場所からのアクセスが見つかったら、以後の不正アクセスを防ぐために、Googleアカウントのパスワードを変更する。モバイル端末であれば、前述の[削除]ボタンを押す。
https://image.itmedia.co.jp/ait/articles/1502/04/wi-1596scr13.png
https://www.atmarkit.co.jp/ait/articles/1502/04/news136.html テレワークはあまり現実的ではないな。
いくら回線を秘匿化しても、自宅での管理がおろそかになるから、
そこから漏れる恐れがある。
機密性の高い仕事をしている企業ほどテレワークはできない。 >>1
これ、記者の解説が酷すぎだよ。
アクセスコントロールだけのこというなら、企業じゃ当たり前レベルなんだが・・・
「安全な」ネットワークじゃ、アクセス権フルにしてると思ってるのかな? VPNが悪いような書き方だけど
普通の企業は、VPN +アクセス制御じゃねーの
プライベートiP降ったら全てのシステム使えるとかフツーにねーから VPN自体じゃなくて、繋ぐ先の企業ネットワークというものがFWで守られてる程度じゃもう安全じゃないよねって話
だからいっそ社内ネットワークをやめてシステムはインターネット経由で利用可、それを実現する為に他のセキュリティ対策を超頑張ってるよって事
結果システムはインターネットで繋ぎに行けるからVPNは要らなくなった スレタイトルを勝手に創造するなよ
文の意味は、「なぜなら「あれ」が安全だから」だろ。 >>231
KDDIのやつがテレワークになって何も仕事しない
もともと仕事しないやつだったがさらに本格的にしない
マジで担当変えてほしいわ 物理的に一通にしてる回線とかドライブってあんま流行らんのが不思議 社内、社外関係なくおなじアクセス管理で徹底してるところがポイントなんだろ
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。
このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、
経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。 グーグルが自分で使う分には安全だけど、他者がグーグル使ったら危険だろw >>238
それ普通っていうか、普通は社外からの場合は社内より更に厳しくする。
って思ってたけど、違う企業多いの? 要するにもはやhttpは使わないようにしてhttpsのみでしか通信は認めないってのと同じ流れ
アカウントの厳格な確認と通信の暗号化必須って事だ フリーwifiでどうしてもつながなくちゃいけないときがあるんだけど、
精神衛生的にあまり使いたくありません。
VPNっていうのを導入すれば家の回線でネットができるらしいんだけど、
古いバッファローのルーターにDD-WRTいれてVPNサーバーたてるのと、
シノロジーのDS218のVPN機能を使うのとではどっちがいいのかな?
トーシロだからDS218のほうがええのかな? あぁ解った、書いてる記者が、シッタカしてるだけの、マカ-かLinux信者だわ。
ADによる環境の面の制御を理解してない。 >>242
たぶん、書いてる人がADを理解してないんだよ。
マカーやLinux信者だと、家庭用無線LanルーターとMacやLinuxだけの構成で安全だと思ってる。 >>240
Internetを使う以上、その気になれば、経由したルーターで全ての情報を吸い出せるよ。 標的型攻撃で乗っ取られたら、って話するならそれは接続形態関係ねーから
googleが何を自慢してるのかわかんね
人(ID)や端末のIPアドレスによって触れる場所を制限するのは当たり前の話 >>233
まあそうだけど、ローカルネットワーク無意識に信頼してるとルーズな設定で穴が空いてたりするし
googleは慢性的に身内に産業スパイ居たりするだろうからそういうものからも守らないといけないんじゃないの? よくわからないけど
シンクライアントじゃだめなの? >>251
そういうの管理する部署がある企業じゃないとなぁ >>233
今時はそうだろうけど
結局アクセス制御があるならVPNを通す意味もないのだろ
世界中から攻撃を受ける企業としては、要となる認証基盤をしっかり守ることに注力した方が効率がいいんじゃ? >>212
漢字は表意文字で規則性があるので、慣れると知らない文字でもなんとなく読めるってメリットがある。 >>254
アクセス制御なんて企業じゃ常識以前なんですが・・・ >>255
稟議(ひんぎ)
独壇場(どくせんじょう)
あたりが被害者だな GAFAかぶれの素人記者の記事かよ
真面目にスレ読んで損した アドガードとかのアプリってローカルVPNで通信させるって聞いたんだけど怖くね?
有料サービスですら怪しそうなとこあるのに。。 自分のところがやってるから他もやってるという認識以外考えられないわ笑 >>9
vpnはトンネルと考えた方がいいよ。あたかもイントラに繋いでるかのように振る舞える。
暗号化はまた別の話 >>229
GoogleがAWS使ってるってこと? せやからなぁ〜
世界のナベアツ(桂 三度)似のひょうきんな顔をしている平塚正幸(不細工)がどないしたんや?
知恵遅れの子供ように「ぽか〜ん」と口を半開き(蓄膿症か鼻詰まりで口をきちんと閉じられないのか?)の
トンマなボケ面でドヤ顔のさゆふらっとがどないしたんや?
https://i.imgur.com/lZ4HjRp.jpg コロナでねっとに切り替わったら
コンピューターウィルスの法をバラまくまでが
計画の内なんだな
手口が分かれば対策は決まって
日本方式で、時間を掛けて対応して
徐々に開催を開始していくのが最善だな SNSやネット通販は必ずログアウトしてクレカでは買わない。 人・デバイス毎に認証して、アプリ毎に認可
条件付きアクセス
暗号化通信
httpsならインターネットに剥き出し
SMBなどのレガシープロトコルは個別にトンネル張るしかない? >>267
そう思いたい記者が無知を晒しただけだよw >>29
記事の肝心の部分はID登録をしないと読めない。
英語圏の記事を検索してみると、恐らく元ネタの記事が見つかった。
要点はこう
1) Googleの社内ネットワーク端末は全てPublic IPを割り当てられててイントラネットと
外部ネットの区別はない。
2) 端末がリソースにアクセスする際には、デバイスインベントリーと
アクセスコントロールの2つのチェックを受け、通過できたものだけがリソースにアクセスできる。
3) 実際のログインはアクセスコントロールエンジンによるチェックが通過した後に行う。
4) ログインにはハードウェアのセキュリティーキーが使われ、パスワードは使用しない。
5) ネットワーク自体は普通、ただし、トランスポーテーションレイヤで暗号化される。
6) 新入社員にはChromebookが支給される。社内システム用の特別な構成は必要ないため、
配れたら90秒でネットワークに接続して仕事ができるようになる。 9は別にSEではないと思えば別にこれくらいのユーザーはいるんだししょうがない。
多少考えるくらいなんだから、よくやってる。 お前らオライリーのゼロトラストネットワーク読めよ
日本語版も出たぞ >>245
は?ADによる制御は境界型だろ?思想が違う >>181
漢字化の文化は世界恐慌辺りの頃から廃れ始めてる
敗戦後の高度経済成長期にはほぼ完全に滅びた文化だぞ よく24でアクセス権が...とか言うセリフ見るけどそんの感じ? Googleの考え方は素晴らしいな、イントラ環境だから通信の暗号化が不要
内部犯も起きえない前提でいてはならない(´・ω・`) >>277
海外ドラマ見ると必ずマネージャークラスがアカウント権限与える描写あるよね。
ジャップは部長が派遣にやっといてみたいな感じ >>278
んなこたない。
マネージャークラスが社員の管理者指名して、管理者の権限で行う。
そもそも、派遣労働者の人に社員が直接命令するのは違法。
社員 → 派遣管理責任者 → 派遣労働者 の流れ。
派遣管理責任者が派遣労働者を兼ねて一人って事もあるけど、この場合は
派遣管理責任者自身が業務の責任を負うので、社員に対しての交渉権を持ちます。 >>277
実際にはそうは言っておきながら
ファイアウォールなどはしっかり使ってるので記事の内容は記者が無知な素人なせいもあって誇大広告丸出しの詐欺記事にしかなってないんだけどね >>3
VPNを使うというのは接続する先のネットワーク内が安全であることを前提としている
しかしこの時代にインターネットにつながるネットワーク内が安全であると言い切るセキュリティレベルを保つのは不可能に近い
そして、ネットワーク単位で安全性を担保していたらその中のセキュリティはどうしても甘くなる
アカウント管理もなんちゃってレベルが現状
一回突破されたら中は無法地帯になる
それぞれに一定レベルのセキュリティを施してるGoogle方式の方が結果セキュアなんだよ >>274
ネットワーク内からの攻撃には滅法弱いってことじゃない?
自分でも中からなら余裕で乗っ取れる
もちろんやらないけど 社内ネットワーク型って日本の大学みたいだよな
入るのは大変だけどあとは楽
入るのは日本より楽だけど海外の大学みたいにひとつひとつの単位取るのが大変な大学と違って >>283
その説明っぽくするために>>1はアクセスコントロールのこと書いてるけど
企業じゃアクセスコントロールなんて当たり前なのです・・・
社内に入ったところで、権限無いと何も出来ません。 >>284
コストがかけられて可用性を保てるならそれでもいいんじゃない?
運用コストからして大変なことになりそうだけど >>285
ここのアクセスコントロールは権限をコントロールすることじゃなくて、AWSの機能だからな
システムによって権限設定してますとはレベルが違う 社内ネットはVPN、社外ネットは他ルート
これじゃあんまりセキュアじゃないよねぇ
かと言ってVPN経由の社外ネットじゃ遅くなりそうだし >>1
その会社のルール次第だけど、基本的にずっとPCの前に座ってる必要なんかないからな
席外したりTV見たりしながら働けば出勤扱いしてくれるんだから、そりゃお前らも色めき立つよな (・∀・) テレワークなんて無理だよ、体調悪くて仕事休んでいるのに「少しは手伝え」「買い物にいけ」なんて言われるのに
健康な状態で家にいたらたまにしか仕事出来ないよ >>293
それはそういう相手を選んだお前の自己責任
嫌なら別れればいいだけの話 アメリカーは完全分業だからなぁ
開発する人は開発しかしない、させない
書類作る人はそれしかしない
だからゼロトラストでシステム構築できる
客先に出向く営業マンが資料も作る、経理書類もだす、
ってあれこれやらされる構造の日本の会社では
ゼロトラストの考え方じゃ厳しいよ >>298
内勤営業で書類ばっかしてた国内資本のオリックスの俺とか無視されてんの言ってんのか (1)現在の日本
日本人のジジババ:4000万人
日本人の若いの:8000万人
(2)安楽死法案を通すと、
日本人の若いの:8000万人
で、”経済学的には”www、状況は改善するwww
(3)移民や外国人労働者さんを受け入れると、
日本人の若いの:8000万人
ベトナム・タイ・フィリピン・ロシア・インドネシア・マレーシア人の労働可能年齢の移民の方:7999万人
でも可能。で、”経済学的には”www、状況は”大幅に”改善するwww
(4)ところで、そんなに心配ならwww、
日本人の若いの:3000万人
ベトナム・タイ・フィリピン・ロシア・インドネシア・マレーシア人の労働可能年齢の移民の方:2999万人
でも可能。で、”経済学的には”www、状況は、”(1)からは大幅に”改善するwww (5)さらに本来は。「ヨーロッパでは小党連立内閣」って習うだろwww
日本人の若いの:1000万人
ベトナム・タイ・フィリピン・ロシア・インドネシア・マレーシア人の労働可能年齢の移民の方:5000万人
でも可能。で、”経済学的には”www、状況は、”(1)からは大幅に”改善するwww
つまり、君の言う状況を実現するに当たっても「1億1千万人の日本人は不要」なんだけどwww
何が問題なのかな?www経済学の話をしているんだよねwww
日本ってネトウヨしかいないんだなwww オマエラ日本人がクズなことを証明した。
あ、それから、俺は説教をしているわけではない。オマエラ日本人に説教はしない。
「説教してくれるなんて、まじめで嫌な奴で親やセンコーと同じで、僕たちのことを考えてくれているんだ〜」とかオマエラ日本人に甘えられるのがキモイ
そんなことはしない。だからかなり前からなんども、
「オマエら日本人に必要なのは新興宗教に麻薬だ」と答えを示している。www
「オマエラ日本人が新興宗教にはまり、オマエラ日本人が薬物中毒になってくれれば、厄介払いできて面倒なことしなくてすんで、ゴミを処分できて楽でいいのになあ」、と何度も言っている。
日本にもっと移民を受け入れよう!日本にもっと外国人労働者さんを受け入れよう!
日本で日本人に対してのみ安楽死法案を通そう!
日本は日本でもっと公共事業を増やし日本の金融を緩和し日本の内需を拡大し日本をバブル経済にしよう! >>298
いくつもの部署に関わるシステムに
日常的にアクセスしなきゃいけない業務体系、
だから端末単位でアクセス制限するのは現実的じゃなく
システムまとめて外部から守る方法になるってこと 仕事を失うか病気になるか…グーグルは従業員に在宅勤務を指示したが、
請負業者にはリモートアクセスを認めず
https://www.businessinsider.jp/post-209347
だそうだ >>303
営業マンが経理処理するのと経理マンが経理処理するので何がどう違うんだよ
社内と社外の区別は無いんだからアカウントに応じたアクセス制限と認証をやったら良いだけだろ >>304
いや、お前がゼロトラストをわかってないんだよ >>306
> 社内と社外の区別は無いんだからアカウントに応じたアクセス制限と認証をやったら良いだけだろ
それができてる企業は>>1のグーグルと同じことができる >>309
スキームの問題で実現出来てるかどうかはどうでもいい >>310
きみ、コミュニケーション能力ないね
典型的な日本人とも言える、つまりITリテラシーが致命的に低い >>311
ピントのずれたレスばかりするなよ間抜け >>305
これが適切なアクセス制限の結果なんだよなぁ… >>313
またバカが出てきたぞ
ただの過渡期上の処置か必要性が低いから経費節減してるだけだろ
どっちにしろ派遣や請負が区別されるのは仕方ない 利用者の各種情報(利用端末、利用ユーザー、過去の操作履歴、位置、接続元IP etc.)を取得、
それらをトラストエンジンに入れスコアを算出してアクセス毎に可否を判断って本で読んだな
システムの認可にトラストエンジンを必ず経由させるよう
全業務システムに変更を加えたってのが凄いなーと思うわ >>314
ピントずれてるよ
社員によってリモートアクセス許可禁止するのはアクセス制限以外の何者でもないし、スレの趣旨主題に沿ってる
経費節減とか何言ってんの うちみたいな糞会社はそんな高度なデータ扱ってないからモーマンタイ まあなんだw
メインフレームとダム端末を専用回線でシリアル接続するのが最強という、
100年前に戻りましょうってこったな。 ギャンブル必勝法の最上はギャンブルをやらないこと、
というわらいばなしの世界にどんどん近づいてるな。 >>317
>>1を読んでも理解できない人がいるんですよ どうでも良いけど、ソフトがわかる=システム、ネットワークもわかるという考え方はやめて欲しいな。 >>134
ファイアウォールとVPNを「安全」と信用してしまうと、破られたときの被害が大きすぎるから
すべて丸裸を前提に組み立てるってことだな。 「創価学会」は、フランス、ドイツ、チリ、ベルギー、オーストリア、アメリカ(議会下院)といった国々でセクト指定されています。
(出典: Wikipedia、古川利明『カルトとしての創価学会=池田大作』) 長文バカと連投バカが雑音でスレ汚しているが>>134が簡潔でよい google ではシンクライアントはどういう評価なんだろ >>330
Chromebookもシンクライアント端末そのものだ まあ、社内ネットに繋ぐには
物理的にも社内に入らないと
難しいようにしておけば、
安全性は高まるとは思う。 >>334
テレワーク需要の高まりで社内社外関係なく業務に従事できるって
システムのスレでそれって時代遅れで時代錯誤すぎるだろ >>334
それじゃ日本のSIerと変わらんぞw
サーバー群はさすがに社内ネットだろうけど、いわゆる業務用端末は
社内ネット経由じゃないような気がする。 昔サイゼリアが店舗の端末をPOSとハンディターミナルから
汎用PCサーバーとiPodtouchに変えてコストダウンしたとか言ってたな >>335
時代錯誤というかテレワークという前提条件を無視しているから単純にスレ違い まぁつまり、各部屋に強力な鍵つけておけば、家の入り口はオープンでも構わない、って事をネットでやってるって事でしょ?
家っていうか、アパートに例えるべきか。
アパートの入り口は開いてるけど、 各部屋には鍵ついてるよって。 3/9
【IT】グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
https://egg.5ch.net/test/read.cgi/bizplus/1583728374/ >>63
>>84
そうかなぁ
重工がシナ人スパイが内部で設定して防衛秘密筒抜けになったでしょ?
中にいれちゃったらいまの日本の企業だとかなり難しいんじゃないかなぁ
それこそ三菱クラスなら防衛省のゴニョゴニョな人たちを出向させて社内をぶらぶらフリーな権限与えて監視とか これ会社の人に言われた
事業所同士はVPNで繋がってるけど、社員個人個人がテレワークでVPN使うのはインフラ無理だって
一台のサーバーで6箇所なんだって >>342
それVPN関係ない外部接続数だろ
じゃなかったらルータの制限とか >>64
昭和も30年代だが90年代からテレワークしてるぞ
いまごろテレワークなんてやっとかよ あぁ
やっと理系セキュリティ屋の時代が来たと思うと嬉しい
氷河期時代を何とか底辺で食いつなぎ、アホほど勉強して通信キャリアに入りアホほど働き、セキュリティに目を付けてようやく時代が来たって感じだ
ただ失ったものも多過ぎる >>345
俺も20世紀からテレワーク(SOHO)す。
当時はセキュリティは問題になってなかったすけどね。
むしろ通信費が問題だった。 安く提供してくれ。
高くつくねん。セキュリティは。いや、漏洩したらもっと高くつくのは分かってるよ。 利用技術のコスパの問題だわ。
完璧なセキュリティー技術は無い。
完璧に近づければ、高コストになる。
破られた場合の損額額や重要度との
トレードオフで方法を選ぶのが
「設計」であり、エンジニアリングと
いうもんだよ。 某コロナどさくさに東証一部復帰申請企業だが、テレワークのvpnサーバーが非力過ぎてProxy経由の外部サイトは当然としてイントラネットのサービスもろくに使えない状態だ テレワーク全盛で月焼刃な職場をクラッキング祭りみたいになってないのはなんで? >>354
近年は、下記のどちらか。
1.このご時世にソレやったらどなるかってのはハッカーもクラッカーも解ってる。
2.最近の”攻略”手段は”気付かれない進入”か”中の人に出てきてもらう”戦略
で、2の方に関しては、そもそも仕込み側が動けなくなってる。
最近、迷惑メール少ないでしょw
自分もちょっとまえに、海外から休業補償的な内容の迷惑メールきてたw
こんなご時世だが、悪さする奴が動けなかったり、このご時世を利用して詐欺ろうとする連中の挙動が解って、少しは悪くない点も出てきたよw
というか、休業補償とか給付金って、卑しい連中が騒いでる訳じゃなくて、詐欺労とする連中も暴れてるって解ってきたよw >>344
4/6
ビッグローブ、個人向け不正アクセス対策アプリ
https:
//www.nikkei.com/article/DGXMZO57749060X00C20A4000000
ビッグローブ、パソコンスマホ向け「トータルネットセキュリティ」を提供開始
https:
//www.nikkei.com/article/DGXLRSP532457_W0A400C2000000/
4/15
ビッグローブ、職場外でも通信暗号化
https://www.nikkei.com/article/DGKKZO58059700U0A410C2TJ1000/ そもそも多人数が同時に接続する事を目的としてVPNを使う事が間違っている 日本の企業でこれやったらアクセス申請だけで長編小説くらいの量の申請書が必要w >>358
いや、システム単位のアクセス制御なんて基礎レベルですが・・・ 何の事はない
認証サーバー経由でACL制御っつだけの話だな
一般企業でもActive Directlyくらい運用してねえのか? >>42
USBメモリで持ち帰って私物のPCで使うの?最弱じゃね?
PCごと持ち帰って完全オフラインならまだわかるけど >>360
やりたいけど、ただログインユーザーの管理のためだけに
年百万円とかポンと払えるほどうちの会社は儲かってはいない。 ITはもう複雑になり過ぎて逆に足枷になってる。
もうちょっとアナログで良いんだよ。 TVゲームくらいで良いよ
金融とかITにしないで欲しいわ
SETI@HOMEだって結局見つけれてないまま終わったでしょ
AIとかやり過ぎだって >>152
オレオレ証明書をインストールすればいいだけ
うちの会社でもイントラ用の証明書作ってやってるよ 真っ当な司令官役がいない日本企業には無理そう。世襲経営者は守護大名のノリだから「良きに計らえ」と云うだけでカネも権限も譲らないし。 >>303
営業なら端末の場所、時間の要素はぶれるよね。 狙われたVPN、三菱電機ハッキングの背後にちらつく影
三菱電機に対する大規模なサイバー攻撃で、社内ネットワークへの「侵入口」となったとみられるのは、仮想プライベートネットワーク(VPN)装置だったことが朝日新聞の取材で明らかになった。
https://www.asahi.com/articles/ASN517HTKN4XULZU013.html?iref=comtop_8_06 >グーグルもゼロトラスト・ネットワークを構築するのに8年の時間を要したと述べている。
グーグルでも8年 >ファイアウオールなどによるネットワークの「境界防御」が破られ
VPNにフィルタ貼らねー素人だからだろがw 2019/11/01
【IT】「VPN」がいまだに使われる理由、今後も残る理由
https:
//egg.5ch.net/test/read.cgi/bizplus/1572606105/
2020/04/21
【IT】Google、VPNに代わる企業向け「BeyondCorp Remote Access」公開
https:
//egg.5ch.net/test/read.cgi/bizplus/1587463614/
4/27
【IT】情報漏洩防ぐ「VPN」逼迫 在宅勤務の拡大阻む [エリオット★]
https://egg.5ch.net/test/read.cgi/bizplus/1587965987/
28
【IT】テレワークでVPN需要が急増、IIJでは申込デバイス数が月平均の9倍に [しじみ★]
https://egg.5ch.net/test/read.cgi/scienceplus/1588049337/ >>226
や、ちがうだろ。認識しないのはUSBメモリのデバイスIDを管理してるからだろ。開始が登録したUSBメモリしか使えないようにできる。それかUSBポートを潰してるか。 >>42
ネットにつながなくても持って帰って私物PCにコピーする時点でセキュリティ事故になるわ テレワークのVPNに潜む恐怖 製品に致命的な脆弱性
至る所で「VPNにつながらない」「遅すぎる」といった悲鳴が上がっている。
https://www.nikkei.com/article/DGXMZO58385090T20C20A4000000/ 繋がらないとか遅いとか、日経社内では脆弱性というのか? そんな事よりgoogle開発者サービスを何とかしてほしい 組織って、組織ツリーそのままでデータアクセス権
が決定すること多いけど、
役員会レベルこそが転職市場の花形で、1か所辞めても
すぐに高額オファーが来る、しかも人脈と前任の情報資産の
手土産を期待して、という危険ゾーンな気もする。
秘密保持契約があろうとなかろうと。
それとも、グーグルのことだから、全従業員の
とっても特殊な「性癖」をネット上から集めて、
着任時に見せつけておくとか? つまりその経理部員とかエンジニアとかを個人的にターゲットにすればなんでもできてしまうわけだな・・・
それはそれで怖いが、ゼロトラストの考え方はすばらしい。 この論文によれば、2016年の肺炎死者は12万人だ。
http://www.tokyo-eiken.go.jp/files/archive/issue/kenkyunenpo/nenpou69/69-33.pdf
今年増えている、人によっては3倍というコメントがある。
おさえて考えたとしても、2倍。
12万人で、本当は冬の方が多いがが、等分して、1ヶ月1万人。
そうすると3−4月で、2万人で、これが2倍なので、4万人。
日本の本当のコロナ死者は4万人だよ。
というのはでたらめであるが、
万単位で、計算からはずれている可能性がある。
常識で考えて、死者500とか有りえんのだよ。
たとえていうなら、うんこを0.5秒でできるとか言っているレベル。 >>395
なんかやばいことぐらいの認識しかないんだろ
日経だし ■ このスレッドは過去ログ倉庫に格納されています