【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
■ このスレッドは過去ログ倉庫に格納されています
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/ 根本的に記者が勘違いしてる
この話はgoogleがビジネスインフラとして採用してるアプリはすべてがアプリ自体で個別にVPN相当の機能を持ってるということで、VPNを使っていないという表現は間違い
複数アプリ含めてセキュリティを確保するVPNの使い方と比較すると
一つのセキュリティ箇所がクラックされたときのセキュリティ被害が小さくなるかもしれない反面
アプリごとにセキュリティがクラックされる可能性があるのでセキュリティ被害の期待値は大して下がらない
さらにアプリが個別にセキュリティを確保する実装を持つぶん、アプリが肥大化しセキュリティ上のバグが入る可能性はむしろ増える >>85
だからアクセス権と秘匿性は違うだろって話。
アクセス制限してるから、サーバー直接インターネットに繋ぐのか?おまえ >>96
普通に聞いただけなのにいきなり煽って来るとかなんなんだよ…
本当に2chってこんな輩ばっかりになっちゃったな
お前じゃなくて詳しい知人にでも聞くよノシ なるほどね
赤の他人は最初から入れんし入れても使えんわけだ
それだと今度は端末の管理が課題になるな >>97
VPNなしでセキュリティ保ってるのは普通ではないと思うけどな
VPNを使わずに外から繋ぐ企業とか聞いたことないし
>>1の趣旨ってそういう話でしょこれ >>97
例えばさ、Googleのメールを使おうとして、
出先の一般に開放されているネットワークを使って、そうだな、念のためにVPN使って、いつも仕事している会社のIPで、いつも仕事で使っているノートパソコンからログオンしようとしたとする。
でも、Googleは通常のログオンではないと判断して2段階認証を要求するだろう。
なぜだと思う?
Googleだけではなく、アップルでもTwitterでもフェースプックでもそうなると思うけど。 >>102
その用語でお前の能力がわかる。
俺のユーザーIDとパスワードが正規なら、そいつには俺の権限があると思って良いの?
お前の考えならそうなるよね。 権限管理がクソ面倒くさそう。アクセスプロキシの負荷が目茶苦茶高そう。 >>107
>出先の一般に開放されているネットワークを使って、そうだな、念のためにVPN使って、いつも仕事している会社のIPで
これを読んで知ったかぶってるだけだとよく分かりました
2chでそれっぽいこと書いてマウント取るの楽しい? >>103
普通じゃないよ。
>>87
>>>85
>>端末の情報やユーザーの属性
>
>って書いてあるけど、具体的に何してると予想してるの?
>この手のセキュリティに疎いエンジニア的には
>端末情報とユーザーIDとかを基にして
>認証サーバーがアプリごとに判断してるとしか読めんのだけど
>語学のために教えて欲しい
俺はユーザーの属性としっかり書いてるのに見てないだろと言いたいのだろ?
でも、ユーザーIDとパスワードが正規だから、そいつが持っている権限は全てその際に認めるべきかどうかはわからない。
ユーザーの属性なんていう、今やっているサービスのコンテクストとは独立したもので全部を判断することは危険なんだよ。
わかるかな?
アップルはiCloud上の写真にアクセスする際に、Apple IDとパスワードでアクセスを認めたりしない。
なぜかわかるかい? VPNはブロードバンドルーターが対応してなかたので
chromeのリモートデスクトップ使ってる 物凄い上から目線の明らかに理解してない奴が連投してるのワロス >>110
ああ、お前が間抜けで、最近の技術がわからないバカなのは先刻承知だ。
だから具体的な技術の話ができない、
具体的技術ごわかつてないのに悔しそうだね。
少しは勉強しろよ。 イランでTwitterを見るためにVPN使ったな
イラン内の通信会社だとTwitterとFBが遮断されてるんだよ 1の内容が分からないから解説してくれ、上から目線の人 >>116
少しは上の書き込みとか読まないのか?
低脳で煽ることしかできない人。 >>118
GoogleはACLを使ってる。
一行でまとめたぞ。
わからないならググれカス。 >>120
1分も待てないのか、流石低脳。
アホ丸出し。 この手のマウント君は本当に何が楽しくて書き込んでるのだろう
いつも不思議だわ >>123
いつもっかかってきて、何も出来ずに引っ込む間抜けがいるが、お前か?
間抜けは学習しないな。 初心者だけど、ネットワーク内の安全性が担保される構築ならインターネットでvpnを使う必要はないと言うこと? >>121
一行でまとめられるのに、だらだらと無駄レスしてたのかよ・・・ ウチのバか社長
「そのお客さん(企業ではなく個人客)の情報、写真に撮ってラインで送って」
「ウチの会社はね、USB(USBメモリーのこと)を管理してて個人情報の持ち出しは制限をかけてるから」
もちろんそのまま差しても認識するしスマホも外付けHDD、カードリーダーも普通に使える。
どや顔で外部の人にも言っちゃうから一緒にいると恥ずかしい。 まあVPN接続に使う社員のPCが安全じゃなければ侵入し放題だしな
ただ単にVPNを使いさえすれば安全だと思ってる頭の弱い技術者が結構いる VPNじゃない場合、内から外へのデータ漏洩にはどう対応してるの?
敵は内部にあり。 >>1
そのうえでVPNを使えばもっと安全
ひとはミスする生き物、つまり危険と理解すべし >>129
それ言ったらアプリごとにセキュリティ確保していたとしても
その端末自体にキーロガーとか仕込まれてたら全アプリが危険に晒される
結局googleのポリシーにしてもユーザー端末自体が腐ってたらってところは軽減されない Googleは、社内専用のネットワークだろうが、インターネットというネットワークだろうが、ネットワークというものはセキュリティは担保されないから全部同じとして扱っている。
ネットワーク上に置く業務用のサーバはセキュリティ担保が無い場所に置かれるものとして全て構築してあり、インターネットからアクセスしようが関係なく全部同じ。
だから、わざわざ社内専用ネットワークに繋ぐ為のVPNというものは使う必要がない。
という事かな? ActiveDirectory使ったことないから
ユーザー制御というのがイマイチ、よくわからん、
兼務の「ぱそこん係」だし、入社から退社まで2週間、という
のが頻繁にあって真面目にユーザー管理するのが
アホらしくなる。 特定の通信より不特定多数の通信に紛れ込ませる戦略か・・・
”木を隠すなら森の中”だな 運用の継続がね
ACLを 間違いなくミス無くメンテ するのも決して楽ではない
特に「Gmailがつながらねぇと騒いでいる」みたいな緊急時
監視も大変
アクセスポイントが制限してあれば、そこ経由を見張るだけでカバレッジがあがる
全マシンに、任意の経路から来られたら、不正接続の段階で遮断できない
つまり、なにか悪さをするまで押さえられない
それで良いのだといえばその通りだけど 結局どこかのレベルでアクセスレベルの管理をしなくちゃいけないんでしょ。
アプリ毎にするとか、ACL管理が・・・
何百人も何千人もいる会社・部署じゃなくて良かったw ITの基本レベルの話なのに、わかってないやつだらけで笑える
日本でITがコケたのも当然か・・・ >>136
このレベルの話をしようとすると、ADレベルの話じゃ不足なんだよね。
何かにアクセスしたら、それにアクセスする権利があるかIDとパスワードで確認するというだけではなくて、ユーザーのコンテキストとサービスのコンテキストが合致しているかというのを確認するから。 >>133
ところが軽減されるんだよ。
そういうところがわかっていないから、お前は低レベルの間抜けなんだよ。 >>138
それで良いとは言えないから、そういう状況で良いか悪いかを判定するわけだ。 拠点間を自社で設置したIPsec-VPNでつなぐのと、
テレワークとかで自宅や出張先ホテルからのVPN接続を許すのは
まったく違う
後者は基本アウトだろう
モバイルWANでAPNから囲い込んだ上でVPNも通すならいいけどさ >>132
もっと安全とは絶対言えない。
VPNに頼ること自体がリスクでしかない。 >>145
悪いがどちらもダメだ。
理由はどちらも怪しいから。 >>146
この対策のうえで、さらにVPN導入してリスクが上がるのはどんなとき? ネットワークを信頼しないってのはいい考えだと思うが大抵のものを内製できるだけの開発力あるとこでしか出来ない気がする >>148
色々あるよ。
例えばVPNで接続可能な端末が乗っ取られた時。 >>149
そんなことはない。
むしろ一番問題なのは、開発側ではなくユーザー側の問題なんだな。 遊び半分で社内用にHTMLのキオスクボード作ったんだけど、
最近だと「てめーhttpでリクエストするんじゃねーよ」と
ブラウザに怒られるし、オレオレ署名作れば「公証できない証明だぞ、
詐欺だぞ」と怒られるし、「閉じた社内サーバー」という選択肢は
今後、徐々に不便になるかも。
AWSだのAzureだの知らんから、IDとパスワードだけで本当に
いいのかとか、アドレスは関係者以外知らない状態を維持できるのか
とか、疑問が尽きないけど。 >>152
それ手作りすぎなんだよ。
ネットワークとかサーバというのは多かれ少なかれパプリックなもので、それ故にポリティカルな対応が必要になる。
そこら辺はクレバーにやらないといけない。 VPNはネットワークの管理として雑ではあるよな
管理されてない外部の環境を内部に引き込んでしまうわけで プロキシかまして認証されればフリーなんだろ
大して変わらん 元記事のGoogleはテレワークでのVPNか
FW機能だけで安価にできたりするけど、
広く一般職員に使わせるにはリスクとリターンが見合わないから、
普通はあまりやらないよね
本当に社外からLANにアクセスさせたいなら、
最初からモバイル閉域網組んだほうがいい 自前サーバー構築してるからの話だなぁ…うらやましい >>151
多分titanチップ入れた多要素認証だろ
ユーザー側の問題が何を言ってるのかわからんが、端末持ってる本人を銃で脅さない限りは上手く機能すると思う >>152
イントラのwebサーバだろ?
ブラウザが何言おうと別に気にすることはないと思うが、
一般ユーザにブラウザの警告を無視して使う癖をつけてしまうのは問題かな 多要素認証って突破されない前提で考えていいもんなの? >>154
間抜けはお前。
お前ACLでコントロールされてるシステムのことしか考えてないだろう。
標的型攻撃のことを少しは勉強しろ。 >>161
そういうワンイシューに頼ったセキュリティ確保はしないの。
ユーザーの問題がわからないのは幸せだな。 なんかこのスレ、基地外が何人かいるね(´・ω・`) アプリとかツールでアクセス制御と権限付与してるやり方のことか?
めっちゃ面倒くさいんだけど バカみたいなセキュリティで仕事の能率を落としまくりながら、データが入ったHDDを
業者に販売しているバカな行政には見習って欲しいな グーグルが長年温めてきたんだろうが、今ユーザー企業がゼロトラスト構築する近道になってるのがMSのM365E5ってのは皮肉だね >>164
例えばアカウントパクられて急に海外からアクセスされた時に、それを検知して処理するような仕組みもあるよ 用語が専門的で説明になってない
要はGoogle独自の文書管理システムやら人事院勧告システムやら経理システムをさらに自前のネットワークで走らせているって話だろ?
誰にでも分かるように言え無能ども cloudflare accessでrdp over https試したいんだけど無料でかつ独自ドメイン使って実現する方法なんかないか? >>147
ただし疑問なのはアウターヘイブンを作らされたときそれの排除って探知含めて完全にシステムの
一部といえるほど担ってしまっていたとき排除までできるのが疑義があって誰かその場合の方法どうするのか聞いてみたい >>22
httpsはhttpプロトコルに暗号化に使うSSLのプロトコルを加えたもん。
仮想ネットワークを作るvpnとは別もん。ssl vpnはvpnを暗号化するための1つの手段 >>1
誰も信用しない
移民が作った企業だけあってもっともな考え方だ
でもインフラにただ乗りの発想なので好きじゃない >>14
昭和の50年代ごろまでだと
どんな難しい事でも漢字化したから、
初めての素人でも、わかると言えなくともなんとなく大雑把に感じるようなところまで行けたんだよなあ。
最近はカタカナ語どころが、欧米で使ってる略語もそのまま輸入してるから
初めての人は一見では絶対わからないな。 >>175
見事に要点を何一つ含められないまとめだな。
何で無能なバカは自分が何も知らないところでドヤろうとするの? 言ってることはわかるけどこれ運用できる企業少ないよ。 >>32
つまりスマホの許可するしないボタンをアプリ関係なくやるみたいな感じか? >>1
ファーウェイのネットワーク機器が
あぶないよね。
VPNは破る対象が一元化されていて危険で
Googleはそれを分散しているということね 携帯はVPNなんだが、どうしろと言うのか素人にもわかりやすく教えてくれ。 設定項目増えまくって、ミスって穴だらけになったりしないの? VPN利用者急に増えたから
インターネット経由でアクセスしてるわw
どこかで認証かませばいい話であって
Googleの言ってること正解 >>186
ほんとなw
その辺触れずにGoogleは先進的と言っているだけのアホ記事だわ あんま分かってない人が多いけどクライアント証明書をインストールしろってだけの話だぞ。
Googleに限らず、Githubなどインターネット上に公開されているようなサービスは
クライアント証明書で接続元の信頼性を担保している。 つまり、ネットワークを信頼しない代わりに
接続元の端末と本人認証(ID、パスワード認証など)を信頼するのが
ゼロトラストネットワークというわけ。
その程度の話を説明するのに小難しい論文を書けちゃうのがグーグルの優秀なところw > 例えばアプリケーション開発に使用する「ハゲ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない
?? >>192
VPNならどんな端末でもアクセスOKにしちゃアカンというのがGoogleのポリシー
各端末のMACや位置情報などを細かに収集して本人か特定して業務アプリへのアクセスを許可する >>196
違うw
クライアント証明書は端末に対する認証だけだ
「経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできない」
ということからも、クライアント証明書などの端末認証、人・役職・所属組織などのユーザー認証、
さらにワンタイムパスワードやリスクベース認証などを複雑に組み合わせるアクセスコントロールをやっているんだろう ■ このスレッドは過去ログ倉庫に格納されています