1田杉山脈 ★2020/03/11(水) 16:32:21.90ID:CAP_USER
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/
2名刺は切らしておりまして2020/03/11(水) 16:34:55.74ID:kS7/JoW3
イントラ内はライブハウスみたいなもんでランサムウェア系のウィルス入ると厄介
3名刺は切らしておりまして2020/03/11(水) 16:35:16.18ID:BCvUg9DJ
要はLAN内でもアカウント必須の運用ってことでしょ。
まぁそれで良いと思うが、VPNは手軽だしそこそこのセキュリティなら確保できる。
中小企業とか家庭レベルなら超絶便利。
不正侵入されて著作権侵害が起きたとか知ったことではないし。
6名刺は切らしておりまして2020/03/11(水) 16:41:14.12ID:WJ0R7Z+b
>>3
運用ではない。
開発が奏されているということ。
だから、運用は必然的にそうなる。
セキュリティは守るものとの見合いだから、個人やたいしたことのない企業とGoogleでは守るものが違うし、かけられる金額も違う、
ただ、単にコンテンツへのアクセスコントロールをガタガタ言わずにしっかり作れというだけなんだから、VPNを擁護するのはこの文脈では難しいね。
23名刺は切らしておりまして2020/03/11(水) 16:58:02.74ID:BCvUg9DJ
>>6
>開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため
だよ。
要はLAN内外に全部を公開してるってこと。
別に大げさに言う話ではない。
言うまでもないが、これに加えてVPNを使った方がセキュリティは多少強固になる。
4名刺は切らしておりまして2020/03/11(水) 16:35:49.55ID:OToSpRG2
5名刺は切らしておりまして2020/03/11(水) 16:39:24.86ID:gvlNe09Z
googleに限らず普通じゃないのか
8名刺は切らしておりまして2020/03/11(水) 16:43:07.13ID:WJ0R7Z+b
>>5
はっきり言うと日本の99.9999999999999%のシステムでコンテンツごとへのアクセスコントロールを徹底的に分析して、必要な権限しか付与しないシステムは動いていない。
つまら、常識ではない、
しっかり権限つけましょうねレベルと区別がつかないなら、そもそもこの記事の意味を理解する経験なり技量なりがないのだから、まずはそっちだな。
7名刺は切らしておりまして2020/03/11(水) 16:42:45.83ID:wO53XMPb
VPN接続時にチェックするか、入ってからもう一段階噛ませばいいだけで、やってない方が珍しいと思うが?
10名刺は切らしておりまして2020/03/11(水) 16:43:48.76ID:WJ0R7Z+b
>>7
そんな軽いレベルの話はしていない、
こういう本質的なところを理解できないお馬鹿なエンジニアばかりいるんだよね。
9○2020/03/11(水) 16:43:17.20ID:4w+lMbto
VPN使わないって事は平文のデータをやりとりしてるのか?
記事は認証方式に言及してるが、それとVPNは別物だろう?
11名刺は切らしておりまして2020/03/11(水) 16:44:33.52ID:WJ0R7Z+b
>>9
お前はなんで自分がとんでもなく的外れなことを書いているとわからないんだ?
12名刺は切らしておりまして2020/03/11(水) 16:46:00.86ID:ATxCSIeE
>>9
違うだろw
21名刺は切らしておりまして2020/03/11(水) 16:55:46.49ID:txZAwwv1
>>9
イントラのシステムのアクセスコントロールが緩いから、リモートアクセスはVPNに頼らざるを得ないと言う事。
近頃はインタネットでも平文でやり取りするのは稀だし、そこは論点じゃない。
13名刺は切らしておりまして2020/03/11(水) 16:47:25.15ID:vQO8bBLF
「安全な」コロナウイルス
27名刺は切らしておりまして2020/03/11(水) 17:00:57.69ID:sKnVhJtw
これと似たようなシステムの運用をかなり昔、AppleのLAN運営セミナーで見たな
アマゾンもPC本体から作っちゃえば?その方が簡単よ
30名刺は切らしておりまして2020/03/11(水) 17:04:43.37ID:H10/0xN6
パブリッククラウドならIAMユーザーを作成し、それに適切なアクセス権限を付与するのが基本だと思うが
31名刺は切らしておりまして2020/03/11(水) 17:05:00.25ID:uEwZALpx
VPNを使ってLANに到達したら、その後は権限のチェックをあまりしない
というのをやめて
VPNだろうがなんだろうが、その後のアクセスすべてを細かく権限チェックする
ということなんだろう
33名刺は切らしておりまして2020/03/11(水) 17:06:45.42ID:uEwZALpx
たしかに
セキュリティが向上するんだろうけど
必要なツールを内製する資金力と技術力がないとできないだろうから
他の会社がおいそれとはマネできないだろうな
35名刺は切らしておりまして2020/03/11(水) 17:09:24.40ID:LVBLb2XW
うちのITは古いから、ロックダウン方式のVPNだ。
ゼロトラストはまだまだ先だ。
42名刺は切らしておりまして2020/03/11(水) 17:18:44.20ID:n0njjFiS
ネットに一切繋がず、
USBメモリで持ち帰って仕事する日本のリーマン最強って話か?
44名刺は切らしておりまして2020/03/11(水) 17:21:34.10ID:txZAwwv1
>>42
網棚に置き忘れると言う、致命的なセキュリティホールが
45名刺は切らしておりまして2020/03/11(水) 17:22:23.68ID:WJ0R7Z+b
>>42
いや最弱だ。
USBメモリに他人に見られたらまずいものを入れて、社外に持ち出した瞬間に事実上情報流失がなされたと理解しないといけない。
後はその情報を悪意の人物が手に入れないように神様に祈るしかない。
46名刺は切らしておりまして2020/03/11(水) 17:22:57.72ID:tbWpDKtX
別にVPNに限らず
それぞれにリスクはあるからな
他のソフト使わずに完結できるならそれに越した事はない
どれを選ぶかは企業が好きに選択するべき
どれが優れているとも思え無いけどな
必要以上にセキュリティー上げても使い難くなるし
投資も必要になるし
50名刺は切らしておりまして2020/03/11(水) 17:27:36.44ID:FMrCTLLk
自宅でVPNルーター使ってVPN接続試みるも挫折。Wi-fiでネットワーク接続されているはずなのに、インターネット見られないから今は普通のルーターに戻した・・
51名刺は切らしておりまして2020/03/11(水) 17:30:56.79ID:dTeWsw4n
あっそ
その認証サーバーの信頼性はどうやって担保すんのかね
53名刺は切らしておりまして2020/03/11(水) 17:37:53.39ID:uPyRbUN5
オナニーかな?
54名刺は切らしておりまして2020/03/11(水) 17:38:59.84ID:VDHUx38X
レガシーな資産が多い既存の会社には無理やな。
55名刺は切らしておりまして2020/03/11(水) 17:42:34.05ID:Iia5Ifxh
ネットワークの枠組みにそれぞれランダムワードを各個人に振り分けられていそうだね
56名刺は切らしておりまして2020/03/11(水) 17:43:41.56ID:z2BTi7c7
レガシーな資産にも認証認可の仕組みを入れてインターネットからアクセスできるようにしよう
そうすればVPNいらないよ、って話よ
そこだけの話じゃないけど
57名刺は切らしておりまして2020/03/11(水) 17:44:03.69ID:PYsNNEVG
こういう判断するためにCTOって職があるのかな
日本政府のCTOは誰?
60名刺は切らしておりまして2020/03/11(水) 17:49:44.94ID:3Rra/FZX
要は、
ネットワーク属性のホワイトリスト認証はダメ、他のマルチファクタ認証しろ
機体認証は必須で、ACLも細かくかけ
Googleは認証用のリバプロで実装・運用してるよ ってことか
61名刺は切らしておりまして2020/03/11(水) 17:51:18.15ID:GKZQSIhn
グーグルってchromeリモートデスクトップでやらないの?
62名刺は切らしておりまして2020/03/11(水) 17:55:39.06ID:Iia5Ifxh
まさか仕事でも簡単な認証の後に向こうから送られてきたパスで終わりじゃないよね?
63名刺は切らしておりまして2020/03/11(水) 17:58:06.74ID:B3iGg6F4
ぶっちゃけいくらやっても社内の人間が悪意を持って情報を抜き出そうとしたら防ぐことは現実的に不可能
そんなのIT関連企業に勤めたら一発で分かる事
産業スパイなんかほぼ内部の人間接待漬けにしたり買収したりして行うもんでしょ
ハッカーが〜とか関係ね〜わ
64名刺は切らしておりまして2020/03/11(水) 17:59:16.99ID:2PMtMeDG
テレワークってSOHOと同じで単なる流行り言葉に終わりそう
あと昭和生まれのオッサンには古めかしく感じるのは何故だろう。
引用元:http://egg.5ch.net/test/read.cgi/bizplus/1583911941/