PC

【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから

投稿日:

引用元:http://egg.5ch.net/test/read.cgi/bizplus/1583911941/
1 :田杉山脈 ★ 2020/03/11(水) 16:32:21.90 CAP_USER.net
新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。

 米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。

 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。

脱VPNの背景に「ゼロトラスト」
 グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。

一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。

 しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。

 ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。

端末やユーザーによってアクセス制御
 社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。

 例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

2 :名刺は切らしておりまして 2020/03/11(水) 16:34:55.74 kS7/JoW3.net
イントラ内はライブハウスみたいなもんでランサムウェア系のウィルス入ると厄介
3 :名刺は切らしておりまして 2020/03/11(水) 16:35:16.18 BCvUg9DJ.net
要はLAN内でもアカウント必須の運用ってことでしょ。
まぁそれで良いと思うが、VPNは手軽だしそこそこのセキュリティなら確保できる。
中小企業とか家庭レベルなら超絶便利。
不正侵入されて著作権侵害が起きたとか知ったことではないし。
6 :名刺は切らしておりまして 2020/03/11(水) 16:41:14.12 WJ0R7Z+b.net
>>3
運用ではない。

開発が奏されているということ。
だから、運用は必然的にそうなる。

セキュリティは守るものとの見合いだから、個人やたいしたことのない企業とGoogleでは守るものが違うし、かけられる金額も違う、

ただ、単にコンテンツへのアクセスコントロールをガタガタ言わずにしっかり作れというだけなんだから、VPNを擁護するのはこの文脈では難しいね。

23 :名刺は切らしておりまして 2020/03/11(水) 16:58:02.74 BCvUg9DJ.net
>>6
>開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため
だよ。
要はLAN内外に全部を公開してるってこと。
別に大げさに言う話ではない。

言うまでもないが、これに加えてVPNを使った方がセキュリティは多少強固になる。

26 :名刺は切らしておりまして 2020/03/11(水) 17:00:43.44 WJ0R7Z+b.net
>>23
多少か?

その言い回しは正しいな。

37 :名刺は切らしておりまして 2020/03/11(水) 17:10:09.17 BCvUg9DJ.net
>>26
VPNでセキュリティ確保ってのは一人でも侵入されたらアウトだから、まぁ大規模な組織なら確実に侵入はあり得る。

でも攻撃機会を持つ人は減る。
偶然ゼロデイを発見した人とかは普通VPN突破できない。
それからうっかり平文で通信可能な設定になってたみたいなのも防げる。

まぁ、多少だな。

38 :名刺は切らしておりまして 2020/03/11(水) 17:11:45.17 WJ0R7Z+b.net
>>37
その通り。

通常企業に対する攻撃はゼロデイではなくとも標的型なので、多くの障壁は突破される。

でも、あるのとないのでは、ある方が多少は良い。
それは認める。

39 :名刺は切らしておりまして 2020/03/11(水) 17:12:50.67 ATxCSIeE.net
>>37
VPNは楽なんだよね、「社内のシステムをすべてインターネットからアクセス可能にしても大丈夫なようにしろ」
なんて普通のシステム管理者、泣きながら辞めちゃうよ
281 :名刺は切らしておりまして 2020/03/13(金) 12:18:48 /c1omzA.net
>>3
VPNを使うというのは接続する先のネットワーク内が安全であることを前提としている
しかしこの時代にインターネットにつながるネットワーク内が安全であると言い切るセキュリティレベルを保つのは不可能に近い
そして、ネットワーク単位で安全性を担保していたらその中のセキュリティはどうしても甘くなる
アカウント管理もなんちゃってレベルが現状
一回突破されたら中は無法地帯になる
それぞれに一定レベルのセキュリティを施してるGoogle方式の方が結果セキュアなんだよ
5 :名刺は切らしておりまして 2020/03/11(水) 16:39:24.86 gvlNe09Z.net
googleに限らず普通じゃないのか
7 :名刺は切らしておりまして 2020/03/11(水) 16:42:45.83 wO53XMPb.net
VPN接続時にチェックするか、入ってからもう一段階噛ませばいいだけで、やってない方が珍しいと思うが?
9 : 2020/03/11(水) 16:43:17.20 4w+lMbto.net
 VPN使わないって事は平文のデータをやりとりしてるのか?
 記事は認証方式に言及してるが、それとVPNは別物だろう?
27 :名刺は切らしておりまして 2020/03/11(水) 17:00:57.69 sKnVhJtw.net
これと似たようなシステムの運用をかなり昔、AppleのLAN運営セミナーで見たな
アマゾンもPC本体から作っちゃえば?その方が簡単よ
29 : 2020/03/11(水) 17:01:48.41 4w+lMbto.net
 
記事を読んでも接続の認証を強化しました程度にしか読めなくて。
 認証の強化とVPNを使ってないが、俺の中で結びつかないんだ。
32 :名刺は切らしておりまして 2020/03/11(水) 17:05:03.32 WJ0R7Z+b.net
>>29
通信の話はしていないんだよ。
だから接続の強化とか思っている時点で大幅にら的を外している。

通信でそのハードに来た全てのパケットは怪しい。
そういう前提でシステムが組まれている。

だから、VPN経由で来ようが、社内の限定領域のIP持ってようが、全ての活動についてアクセスコントロールを行う。
必要なら認証かますし、ファイル全般へのアクセスはそもそも認めないというケースもある。

わかるかな?

188 :名刺は切らしておりまして 2020/03/11(水) 21:13:13.44 n+UnHbD3.net
>>32
つまりスマホの許可するしないボタンをアプリ関係なくやるみたいな感じか?
270 :名刺は切らしておりまして 2020/03/12(木) 21:03:29.07 /lTKiG6s.net
>>29
記事の肝心の部分はID登録をしないと読めない。
英語圏の記事を検索してみると、恐らく元ネタの記事が見つかった。
要点はこう
1) Googleの社内ネットワーク端末は全てPublic IPを割り当てられててイントラネットと
外部ネットの区別はない。
2) 端末がリソースにアクセスする際には、デバイスインベントリーと
アクセスコントロールの2つのチェックを受け、通過できたものだけがリソースにアクセスできる。
3) 実際のログインはアクセスコントロールエンジンによるチェックが通過した後に行う。
4) ログインにはハードウェアのセキュリティーキーが使われ、パスワードは使用しない。
5) ネットワーク自体は普通、ただし、トランスポーテーションレイヤで暗号化される。
6) 新入社員にはChromebookが支給される。社内システム用の特別な構成は必要ないため、
配れたら90秒でネットワークに接続して仕事ができるようになる。
30 :名刺は切らしておりまして 2020/03/11(水) 17:04:43.37 H10/0xN6.net
パブリッククラウドならIAMユーザーを作成し、それに適切なアクセス権限を付与するのが基本だと思うが
31 :名刺は切らしておりまして 2020/03/11(水) 17:05:00.25 uEwZALpx.net
VPNを使ってLANに到達したら、その後は権限のチェックをあまりしない
というのをやめて
VPNだろうがなんだろうが、その後のアクセスすべてを細かく権限チェックする
ということなんだろう
33 :名刺は切らしておりまして 2020/03/11(水) 17:06:45.42 uEwZALpx.net
たしかに
セキュリティが向上するんだろうけど
必要なツールを内製する資金力と技術力がないとできないだろうから
他の会社がおいそれとはマネできないだろうな
35 :名刺は切らしておりまして 2020/03/11(水) 17:09:24.40 LVBLb2XW.net
うちのITは古いから、ロックダウン方式のVPNだ。
ゼロトラストはまだまだ先だ。
42 :名刺は切らしておりまして 2020/03/11(水) 17:18:44 n0njjFiS.net
ネットに一切繋がず、
USBメモリで持ち帰って仕事する日本のリーマン最強って話か?
44 :名刺は切らしておりまして 2020/03/11(水) 17:21:34 txZAwwv1.net
>>42
網棚に置き忘れると言う、致命的なセキュリティホールが
86 :名刺は切らしておりまして 2020/03/11(水) 18:30:33.63 n0njjFiS.net
>>44
>>45
USBメモリ暗号化しときゃいい話。
94 :名刺は切らしておりまして 2020/03/11(水) 18:37:34.62 /zVizAVD.net
>>86
その程度の間抜けが使う暗号化なんて手もなく複合化されてしまうな。
223 :名刺は切らしておりまして 2020/03/12(木) 06:56:04.51 +ojC0cyO.net
>>86
暗号化機能付きUSBメモリは よくあるおまけソフトで暗号化するのは使い物にならない。
ハードウエアで暗号化するタイプ(例えばキングストンのDTLPG3)がお勧め。
226 :名刺は切らしておりまして 2020/03/12(木) 07:50:24.87 xhk8qao6.net
>>223
うちの会社貸与のUSBメモリがそれ。
私物持ち込んでもPCに制限かけられてて認識しない。
45 :名刺は切らしておりまして 2020/03/11(水) 17:22:23 WJ0R7Z+b.net
>>42
いや最弱だ。

USBメモリに他人に見られたらまずいものを入れて、社外に持ち出した瞬間に事実上情報流失がなされたと理解しないといけない。

後はその情報を悪意の人物が手に入れないように神様に祈るしかない。

43 :名刺は切らしておりまして 2020/03/11(水) 17:20:35 cyCixqAQ.net
>>1
いずれはアクセス先のサーバ毎に生体認証するようになるんだろうな
認証サーバがハッキングされたら終わりかもしれんが
48 :名刺は切らしておりまして 2020/03/11(水) 17:23:34 WJ0R7Z+b.net
>>43
サーバじゃなくて、サービス毎な。

サーバの認識を持っているからそいつが権利があるかは調べてみなきゃわからない。

消防の方から来た人が消防士とは限らない。

46 :名刺は切らしておりまして 2020/03/11(水) 17:22:57 tbWpDKtX.net
別にVPNに限らず
それぞれにリスクはあるからな
他のソフト使わずに完結できるならそれに越した事はない
どれを選ぶかは企業が好きに選択するべき
どれが優れているとも思え無いけどな
必要以上にセキュリティー上げても使い難くなるし
投資も必要になるし
50 :名刺は切らしておりまして 2020/03/11(水) 17:27:36 FMrCTLLk.net
自宅でVPNルーター使ってVPN接続試みるも挫折。Wi-fiでネットワーク接続されているはずなのに、インターネット見られないから今は普通のルーターに戻した・・
51 :名刺は切らしておりまして 2020/03/11(水) 17:30:56 dTeWsw4n.net
あっそ
その認証サーバーの信頼性はどうやって担保すんのかね
54 :名刺は切らしておりまして 2020/03/11(水) 17:38:59 VDHUx38X.net
レガシーな資産が多い既存の会社には無理やな。
55 :名刺は切らしておりまして 2020/03/11(水) 17:42:34 ia5Ifxh.net
ネットワークの枠組みにそれぞれランダムワードを各個人に振り分けられていそうだね
56 :名刺は切らしておりまして 2020/03/11(水) 17:43:41 z2BTi7c7.net
レガシーな資産にも認証認可の仕組みを入れてインターネットからアクセスできるようにしよう
そうすればVPNいらないよ、って話よ
そこだけの話じゃないけど
60 :名刺は切らしておりまして 2020/03/11(水) 17:49:44.94 3Rra/FZX.net
要は、
ネットワーク属性のホワイトリスト認証はダメ、他のマルチファクタ認証しろ
機体認証は必須で、ACLも細かくかけ

Googleは認証用のリバプロで実装・運用してるよ ってことか

61 :名刺は切らしておりまして 2020/03/11(水) 17:51:18.15 GKZQSIhn.net
グーグルってchromeリモートデスクトップでやらないの?
62 :名刺は切らしておりまして 2020/03/11(水) 17:55:39.06 ia5Ifxh.net
まさか仕事でも簡単な認証の後に向こうから送られてきたパスで終わりじゃないよね?
64 :名刺は切らしておりまして 2020/03/11(水) 17:59:16.99 2PMtMeDG.net
テレワークってSOHOと同じで単なる流行り言葉に終わりそう
あと昭和生まれのオッサンには古めかしく感じるのは何故だろう。
68 :名刺は切らしておりまして 2020/03/11(水) 18:03:31.89 WgMVhSHy.net
>>64
テレホーダイに似てるからじゃね?
83 :名刺は切らしておりまして 2020/03/11(水) 18:27:02.15 ZOa5l4O/.net
VPNってなーに?
92 :名刺は切らしておりまして 2020/03/11(水) 18:36:58.54 /zVizAVD.net
>>83
Virtual Private Network
元々は直接繋がっていないネットワーク上のマシンやネットワーク自体を直接繋がっているネットワークであるかのように使えるようにする技術だ。

その後ネットワークの仮想化だけではなく、通信の暗号化などもするようになった。

日本の企業では会社のネットワーク上のサーバなどに出先からアクセスする先に、VPNソフトを介して接続をさせることが多い。

106 :名刺は切らしておりまして 2020/03/11(水) 18:46:36.90 /qKXRGQ7.net
>>97
VPNなしでセキュリティ保ってるのは普通ではないと思うけどな
VPNを使わずに外から繋ぐ企業とか聞いたことないし
>>1の趣旨ってそういう話でしょこれ
132 :名刺は切らしておりまして 2020/03/11(水) 19:08:09.03 pPcxUTTl.net
>>1
そのうえでVPNを使えばもっと安全
ひとはミスする生き物、つまり危険と理解すべし
146 :名刺は切らしておりまして 2020/03/11(水) 19:35:37.46 0pLY6Xx9.net
>>132
もっと安全とは絶対言えない。

VPNに頼ること自体がリスクでしかない。

148 :名刺は切らしておりまして 2020/03/11(水) 19:38:33.08 pPcxUTTl.net
>>146
この対策のうえで、さらにVPN導入してリスクが上がるのはどんなとき?
150 :名刺は切らしておりまして 2020/03/11(水) 19:49:23.02 /zVizAVD.net
>>148
色々あるよ。
例えばVPNで接続可能な端末が乗っ取られた時。
160 :名刺は切らしておりまして 2020/03/11(水) 19:59:24.07 X77FRUUY.net
>>1
GSuiteつこうてくれ
189 :名刺は切らしておりまして 2020/03/11(水) 21:16:23.10 HX9mJeBQ.net
>>1
ファーウェイのネットワーク機器が
あぶないよね。
207 :名刺は切らしておりまして 2020/03/11(水) 22:59:57.97 9IQmSlG/.net
>>1
「ゼロトラスト」  グーグルが一番信用できないってことだろw
229 :名刺は切らしておりまして 2020/03/12(木) 07:54:42.62 V7sYghSS.net
>>1
そりゃAWSがあるし
263 :名刺は切らしておりまして 2020/03/12(Thu) 15:28:41 OVx+qYZo.net
>>229
GoogleがAWS使ってるってこと?

-PC

Copyright© クレジットカード速報 , 2020 AllRights Reserved Powered by AFFINGER4.