【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
■ このスレッドは過去ログ倉庫に格納されています
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/ イントラ内はライブハウスみたいなもんでランサムウェア系のウィルス入ると厄介 要はLAN内でもアカウント必須の運用ってことでしょ。
まぁそれで良いと思うが、VPNは手軽だしそこそこのセキュリティなら確保できる。
中小企業とか家庭レベルなら超絶便利。
不正侵入されて著作権侵害が起きたとか知ったことではないし。 >>3
運用ではない。
開発が奏されているということ。
だから、運用は必然的にそうなる。
セキュリティは守るものとの見合いだから、個人やたいしたことのない企業とGoogleでは守るものが違うし、かけられる金額も違う、
ただ、単にコンテンツへのアクセスコントロールをガタガタ言わずにしっかり作れというだけなんだから、VPNを擁護するのはこの文脈では難しいね。 VPN接続時にチェックするか、入ってからもう一段階噛ませばいいだけで、やってない方が珍しいと思うが? >>5
はっきり言うと日本の99.9999999999999%のシステムでコンテンツごとへのアクセスコントロールを徹底的に分析して、必要な権限しか付与しないシステムは動いていない。
つまら、常識ではない、
しっかり権限つけましょうねレベルと区別がつかないなら、そもそもこの記事の意味を理解する経験なり技量なりがないのだから、まずはそっちだな。 VPN使わないって事は平文のデータをやりとりしてるのか?
記事は認証方式に言及してるが、それとVPNは別物だろう? >>7
そんな軽いレベルの話はしていない、
こういう本質的なところを理解できないお馬鹿なエンジニアばかりいるんだよね。 >>9
お前はなんで自分がとんでもなく的外れなことを書いているとわからないんだ? >>11
>>12
すまん、真面目にわかないので説明してくれるとうれしい。 >>14
わからないままでいいと思うぞ?
不相応のことには首突っ込まないこともまた賢い >>15
いや、知りたいね。
是非教えてくだされ。 >>14
例えば、今俺はこれをhttpsで書いていて、平文では送っていない。
でも俺はVPN環境にはないよ。
わかるかな?通信が暗号化されているかということと、CPN使っているかは別の話だ、 >>14
VPNってのは、PN自体は安全、でもインターネットはそうじゃないからインターネット上での通信は暗号化してPN同士を繋げましょう、という発想
ゼロトラストネットワークは、インターネットでもPNでもネットワークは安全ではない、という発想 >>9
イントラのシステムのアクセスコントロールが緩いから、リモートアクセスはVPNに頼らざるを得ないと言う事。
近頃はインタネットでも平文でやり取りするのは稀だし、そこは論点じゃない。 >>17
httpsってSSL-VPNとはちがうのけ? >>6
>開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため
だよ。
要はLAN内外に全部を公開してるってこと。
別に大げさに言う話ではない。
言うまでもないが、これに加えてVPNを使った方がセキュリティは多少強固になる。 >>8
>99.9999999999999%のシステム
書き込みの信頼性は0だな。 >>9
もう少し話をすれば、暗号化は個々のアプリケーションレベルでは、OSI参照モデルではセッション層とかトランスポート層でなされることだし、現実にはOSI参照モデルは使われていないから、多くは四層以上の多様な局面で使われている。
これに対して、VPNというのは、第二層ないし第三層のトンネリング技術であって、VPN自体は暗号化とは独立な概念だ。
そのトンネリング技術の中に暗号化を組み込んだIPSecなどがあって、こちらでも暗号化はできるというだけの話なわけだ。
だから、VPNを使っているというだけでは、厳密には暗号化しているかはわからないし、信頼できるレベルの暗号化であるかは更に不明だ。
そして、VPNを使っていなくても、暗号化された通信は普通になされているし、VPNとは別に通信全般を暗号化することも行われている。
わかるかな? これと似たようなシステムの運用をかなり昔、AppleのLAN運営セミナーで見たな
アマゾンもPC本体から作っちゃえば?その方が簡単よ >>24
この掲示板に信頼性がある書き込みがあると思っているのか?
お前のネットリテラシーは90過ぎのおばあさんより下だな、
記事を読んでも接続の認証を強化しました程度にしか読めなくて。
認証の強化とVPNを使ってないが、俺の中で結びつかないんだ。 パブリッククラウドならIAMユーザーを作成し、それに適切なアクセス権限を付与するのが基本だと思うが VPNを使ってLANに到達したら、その後は権限のチェックをあまりしない
というのをやめて
VPNだろうがなんだろうが、その後のアクセスすべてを細かく権限チェックする
ということなんだろう >>29
通信の話はしていないんだよ。
だから接続の強化とか思っている時点で大幅にら的を外している。
通信でそのハードに来た全てのパケットは怪しい。
そういう前提でシステムが組まれている。
だから、VPN経由で来ようが、社内の限定領域のIP持ってようが、全ての活動についてアクセスコントロールを行う。
必要なら認証かますし、ファイル全般へのアクセスはそもそも認めないというケースもある。
わかるかな? たしかに
セキュリティが向上するんだろうけど
必要なツールを内製する資金力と技術力がないとできないだろうから
他の会社がおいそれとはマネできないだろうな >>22
セッションレベルのVPNと理解したいと?
そうお前さんが思いたいならそれで良いのでは?
普通はhttps通信をしていることをクライアントとサーバのVPN接続した上での通信とは考えない。
Virtualでもprivate でもないからね。 うちのITは古いから、ロックダウン方式のVPNだ。
ゼロトラストはまだまだ先だ。 >>25
OSI第二層、第三層だとHUBやらルータれべる?
この記事のVPNは、企業なんかがWANを構築する際に使っている仮想専用線を指すと言う理解でいいかな?
>>26
VPNでセキュリティ確保ってのは一人でも侵入されたらアウトだから、まぁ大規模な組織なら確実に侵入はあり得る。
でも攻撃機会を持つ人は減る。
偶然ゼロデイを発見した人とかは普通VPN突破できない。
それからうっかり平文で通信可能な設定になってたみたいなのも防げる。
まぁ、多少だな。 >>37
その通り。
通常企業に対する攻撃はゼロデイではなくとも標的型なので、多くの障壁は突破される。
でも、あるのとないのでは、ある方が多少は良い。
それは認める。 >>37
VPNは楽なんだよね、「社内のシステムをすべてインターネットからアクセス可能にしても大丈夫なようにしろ」
なんて普通のシステム管理者、泣きながら辞めちゃうよ >>36
仮想専用線?
それだとNTTとかのの広域イーサーネットも含まれそうだね。
筆者はそこまでを含んでVPNとは呼んでないだろうが、その理解で良いと思うよ。 >>32
>>34
VPNに頼らず、認証やアクセス制御を強化したのはわかる。
SSL-VPNを通常のVPNとは別物と理解しろ、ということなら理屈の上ではわかる。
あとはまあ、おっしゃるとおり「俺の中では納得いかない」かな。
ネットに一切繋がず、
USBメモリで持ち帰って仕事する日本のリーマン最強って話か? >>1
いずれはアクセス先のサーバ毎に生体認証するようになるんだろうな
認証サーバがハッキングされたら終わりかもしれんが >>42
網棚に置き忘れると言う、致命的なセキュリティホールが >>42
いや最弱だ。
USBメモリに他人に見られたらまずいものを入れて、社外に持ち出した瞬間に事実上情報流失がなされたと理解しないといけない。
後はその情報を悪意の人物が手に入れないように神様に祈るしかない。 別にVPNに限らず
それぞれにリスクはあるからな
他のソフト使わずに完結できるならそれに越した事はない
どれを選ぶかは企業が好きに選択するべき
どれが優れているとも思え無いけどな
必要以上にセキュリティー上げても使い難くなるし
投資も必要になるし >>9
おーーい!
静かなオフィスで声出して笑っちゃたじゃないか!!
どうしてくれるんだよ!
※テレワークなんて検討もされてない会社勤め >>43
サーバじゃなくて、サービス毎な。
サーバの認識を持っているからそいつが権利があるかは調べてみなきゃわからない。
消防の方から来た人が消防士とは限らない。 >>47
君が笑顔になってくれて、俺はうれしいよ。 自宅でVPNルーター使ってVPN接続試みるも挫折。Wi-fiでネットワーク接続されているはずなのに、インターネット見られないから今は普通のルーターに戻した・・ あっそ
その認証サーバーの信頼性はどうやって担保すんのかね >>49
日本がイット後進国と言われるわけだ
情けない ネットワークの枠組みにそれぞれランダムワードを各個人に振り分けられていそうだね レガシーな資産にも認証認可の仕組みを入れてインターネットからアクセスできるようにしよう
そうすればVPNいらないよ、って話よ
そこだけの話じゃないけど こういう判断するためにCTOって職があるのかな
日本政府のCTOは誰? >>17
とid出されて言われてもねぇ…┐(´д`)┌ヤレヤレ >>9はガチでやばいやつっていうことはわかる
認証を数回やるとして>>9見たいのがあらわれるように最終的に複数回オリジナルを暗号化なんて馬鹿なことはしないよね 要は、
ネットワーク属性のホワイトリスト認証はダメ、他のマルチファクタ認証しろ
機体認証は必須で、ACLも細かくかけ
Googleは認証用のリバプロで実装・運用してるよ ってことか グーグルってchromeリモートデスクトップでやらないの? まさか仕事でも簡単な認証の後に向こうから送られてきたパスで終わりじゃないよね? ぶっちゃけいくらやっても社内の人間が悪意を持って情報を抜き出そうとしたら防ぐことは現実的に不可能
そんなのIT関連企業に勤めたら一発で分かる事
産業スパイなんかほぼ内部の人間接待漬けにしたり買収したりして行うもんでしょ
ハッカーが〜とか関係ね〜わ テレワークってSOHOと同じで単なる流行り言葉に終わりそう
あと昭和生まれのオッサンには古めかしく感じるのは何故だろう。 >>8
最近どこの大企業もゼロトラスト目指してるけどなかなか進まないね それよりDataSaver復活させろよ
それか画像検索時の画素数減らせよ >>68
それだわw
Cバスに232Cボード挿してデイップSWでボーレートを合わせてみたいな 光回線なのに今日の午後下り速度が0.4M台になっとった
クラウドなんて当分無理無理(´・ω・`)ノ゛ >>64
テレワークやSOHOが流行り言葉ね?
どれだけ子供部屋から出ていないのかな?この間抜けは。 aclのメンテナンスが大変そうだけどそのあたりは大丈夫なのけ? >>66
本気でやるためには仕事のやり方を変更することになる。
日本の企業情報システムが失敗する最大の原因は仕事のやり方を変えないから。
源流が紙ベースだから、上流に意味のない権限が多数つくことになるし、単に中継ぎだけの人にも結構な権限をつけることになる。
そこで、仕事のやり方をこう変えれば、セキュリティも上がって、効率も良くなると言う提案を諸外国ではするんだけど、日本でそれをすると血を見ることになるから、データとか、富士通とか、日電とかはあからさまにそんなことはしない。
更に、例えば今までの権限は部長はオールマイティにしていたけど、それだと危ないから、部長が管理職として権限を使える場合を限定したり、使う場合は部長の仕事用のアカウントとは別のアカウントでとか言うと、管理職から嫌われて嫌がらせが起きる、
こっちも、やばいから大手は絶対にやらない。 端末承認したらその端末とVPNはるんだろ?
じゃなきゃ公共ネットワーク使えないぞ?
それともモバイル専用線の契約するのか?
よくわかってない奴が書いた記事の典型 >>78
お前がよくわかってない。
お前がよくわからないのは最近の技術情報がまるでわかっていないから。
自分の不勉強を記事のせいにするな。間抜け。 >>78
端末承認って奴の詳細がよく分からないけど
認証サーバーで何らかの細かい条件で端末が確認できたら
その後は普通にSSLで繋ぐことを許可するだけなんちゃうかね
VPNじゃなくて >>63
間抜け。
そんな低レベルな議論はしていないんだよ。
間抜けは、AとBは区別できない、だからAはBと同じで、Bをする意味はないと言うあからさまなデタラメを本気で信じてるからたちが悪い。 >>82
そもそも端末の承認で個別のサービスへのアクセス権を認めるとか低レベルなことはしないと言う話だから。 >>44
>>45
USBメモリ暗号化しときゃいい話。 >>85
>端末の情報やユーザーの属性
って書いてあるけど、具体的に何してると予想してるの?
この手のセキュリティに疎いエンジニア的には
端末情報とユーザーIDとかを基にして
認証サーバーがアプリごとに判断してるとしか読めんのだけど
語学のために教えて欲しい なんでもかんでも、インターネットにつながなきゃ、という強迫観念がな。
世界には軍、諜報機関、犯罪国家、世界レベルの悪党が、1年365日、24時間、
スキあらば奪おう、盗もう、壊そう、などと、ツケ狙っているというのに。 >>88
つまり物理的に完全隔離された専用線を用意する訳ですね? ユーザーや端末ごとにアクセス制限を変える話とVPN的に秘匿性を担保する話とは次元が違うのがわかんねー記者 スタッフ・エンジニアを死ぬまで地下牢に幽閉すればセキュリティOKOK。 >>83
Virtual Private Network
元々は直接繋がっていないネットワーク上のマシンやネットワーク自体を直接繋がっているネットワークであるかのように使えるようにする技術だ。
その後ネットワークの仮想化だけではなく、通信の暗号化などもするようになった。
日本の企業では会社のネットワーク上のサーバなどに出先からアクセスする先に、VPNソフトを介して接続をさせることが多い。 アクセス制限(権限)と内容の暗号化(秘匿)がごっちゃになってきたきたぞ。こんがるがる。 >>86
その程度の間抜けが使う暗号化なんて手もなく複合化されてしまうな。 セキュリティ的には理想ではあるが、実運用は難しいんだよね
認証サーバーやアプリケーションサーバーに登録されている機能・アプリだけで業務遂行できるようになっている必要がある >>87
君の言う認識サーバはアプリ毎に何を認識していると言うの?
それが低レベルだと言われているわけだけど、それもわからない? そもそも社内システムに職権や個人単位でのアクセス制限かかってない会社とかその時点で事故物件だろ?
その上でVPNとかで社内外を切り分けるんじゃ無いか?
何そんなドヤ顔してんの? >>97
わからないならいいよ
すべてのニュースを理解できなければならない、という決まりはない >>98
は?本音が出たな。
そのレベルのセキュリティ意識だからバカにされるのさ。
間抜けら ■ このスレッドは過去ログ倉庫に格納されています