【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから

1 ：田杉山脈 ★：2020/03/11(水) 16:32:21.90 ID:CAP_USER.net

新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。

　米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS（ソフトウエア・アズ・ア・サービス）の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。

　同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。

脱VPNの背景に「ゼロトラスト」
　グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。

一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。

　しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。

　ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。

端末やユーザーによってアクセス制御
　社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー（認証サーバー）」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。

　例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL（アクセス・コントロール・リスト）を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

2 ：名刺は切らしておりまして：2020/03/11(水) 16:34:55.74 ID:kS7/JoW3.net

イントラ内はライブハウスみたいなもんでランサムウェア系のウィルス入ると厄介

3 ：名刺は切らしておりまして：2020/03/11(水) 16:35:16.18 ID:BCvUg9DJ.net

要はLAN内でもアカウント必須の運用ってことでしょ。
まぁそれで良いと思うが、VPNは手軽だしそこそこのセキュリティなら確保できる。
中小企業とか家庭レベルなら超絶便利。
不正侵入されて著作権侵害が起きたとか知ったことではないし。

4 ：名刺は切らしておりまして：2020/03/11(水) 16:35:49.55 ID:OToSpRG2.net

>開発用端末

Winnyできないな

5 ：名刺は切らしておりまして：2020/03/11(水) 16:39:24.86 ID:gvlNe09Z.net

googleに限らず普通じゃないのか

6 ：名刺は切らしておりまして：2020/03/11(水) 16:41:14.12 ID:WJ0R7Z+b.net

>>3
運用ではない。

開発が奏されているということ。
だから、運用は必然的にそうなる。

セキュリティは守るものとの見合いだから、個人やたいしたことのない企業とGoogleでは守るものが違うし、かけられる金額も違う、

ただ、単にコンテンツへのアクセスコントロールをガタガタ言わずにしっかり作れというだけなんだから、VPNを擁護するのはこの文脈では難しいね。

7 ：名刺は切らしておりまして：2020/03/11(水) 16:42:45.83 ID:wO53XMPb.net

VPN接続時にチェックするか、入ってからもう一段階噛ませばいいだけで、やってない方が珍しいと思うが？

8 ：名刺は切らしておりまして：2020/03/11(水) 16:43:07.13 ID:WJ0R7Z+b.net

>>5
はっきり言うと日本の99.9999999999999%のシステムでコンテンツごとへのアクセスコントロールを徹底的に分析して、必要な権限しか付与しないシステムは動いていない。

つまら、常識ではない、
しっかり権限つけましょうねレベルと区別がつかないなら、そもそもこの記事の意味を理解する経験なり技量なりがないのだから、まずはそっちだな。

9 ：○：2020/03/11(水) 16:43:17.20 ID:4w+lMbto.net

　VPN使わないって事は平文のデータをやりとりしてるのか？
　記事は認証方式に言及してるが、それとVPNは別物だろう？

10 ：名刺は切らしておりまして：2020/03/11(水) 16:43:48.76 ID:WJ0R7Z+b.net

>>7
そんな軽いレベルの話はしていない、

こういう本質的なところを理解できないお馬鹿なエンジニアばかりいるんだよね。

11 ：名刺は切らしておりまして：2020/03/11(水) 16:44:33.52 ID:WJ0R7Z+b.net

>>9
お前はなんで自分がとんでもなく的外れなことを書いているとわからないんだ？

12 ：名刺は切らしておりまして：2020/03/11(水) 16:46:00.86 ID:ATxCSIeE.net

>>9
違うだろw

13 ：名刺は切らしておりまして：2020/03/11(水) 16:47:25.15 ID:vQO8bBLF.net

「安全な」コロナウイルス

14 ：○：2020/03/11(水) 16:47:29.32 ID:4w+lMbto.net

>>11
>>12

　すまん、真面目にわかないので説明してくれるとうれしい。

15 ：名刺は切らしておりまして：2020/03/11(水) 16:48:15.67 ID:btZs/a8o.net

>>14
わからないままでいいと思うぞ？
不相応のことには首突っ込まないこともまた賢い

16 ：○：2020/03/11(水) 16:49:31.94 ID:4w+lMbto.net

>>15

　いや、知りたいね。
　是非教えてくだされ。

17 ：名刺は切らしておりまして：2020/03/11(水) 16:49:53.25 ID:WJ0R7Z+b.net

>>14
例えば、今俺はこれをhttpsで書いていて、平文では送っていない。

でも俺はVPN環境にはないよ。

わかるかな？通信が暗号化されているかということと、CPN使っているかは別の話だ、

18 ：名刺は切らしておりまして：2020/03/11(水) 16:50:22.42 ID:WJ0R7Z+b.net

>>17
Cvn→VPN

19 ：名刺は切らしておりまして：2020/03/11(水) 16:53:11.30 ID:ATxCSIeE.net

>>14
VPNってのは、PN自体は安全、でもインターネットはそうじゃないからインターネット上での通信は暗号化してPN同士を繋げましょう、という発想
ゼロトラストネットワークは、インターネットでもPNでもネットワークは安全ではない、という発想

20 ：名刺は切らしておりまして：2020/03/11(水) 16:54:47.66 ID:FE7ExZb3.net

>>14
本文に書いてあるじゃん

21 ：名刺は切らしておりまして：2020/03/11(水) 16:55:46.49 ID:txZAwwv1.net

>>9
イントラのシステムのアクセスコントロールが緩いから、リモートアクセスはVPNに頼らざるを得ないと言う事。
近頃はインタネットでも平文でやり取りするのは稀だし、そこは論点じゃない。

22 ：○：2020/03/11(水) 16:56:19.60 ID:4w+lMbto.net

>>17

　httpsってSSL-VPNとはちがうのけ？

23 ：名刺は切らしておりまして：2020/03/11(水) 16:58:02.74 ID:BCvUg9DJ.net

>>6
＞開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため
だよ。
要はLAN内外に全部を公開してるってこと。
別に大げさに言う話ではない。

言うまでもないが、これに加えてVPNを使った方がセキュリティは多少強固になる。

24 ：名刺は切らしておりまして：2020/03/11(水) 16:59:25.09 ID:py366X1B.net

>>8
>99.9999999999999%のシステム
書き込みの信頼性は０だな。

25 ：名刺は切らしておりまして：2020/03/11(水) 17:00:14.29 ID:WJ0R7Z+b.net

>>9
もう少し話をすれば、暗号化は個々のアプリケーションレベルでは、OSI参照モデルではセッション層とかトランスポート層でなされることだし、現実にはOSI参照モデルは使われていないから、多くは四層以上の多様な局面で使われている。

これに対して、VPNというのは、第二層ないし第三層のトンネリング技術であって、VPN自体は暗号化とは独立な概念だ。
そのトンネリング技術の中に暗号化を組み込んだIPSecなどがあって、こちらでも暗号化はできるというだけの話なわけだ。

だから、VPNを使っているというだけでは、厳密には暗号化しているかはわからないし、信頼できるレベルの暗号化であるかは更に不明だ。
そして、VPNを使っていなくても、暗号化された通信は普通になされているし、VPNとは別に通信全般を暗号化することも行われている。

わかるかな？

26 ：名刺は切らしておりまして：2020/03/11(水) 17:00:43.44 ID:WJ0R7Z+b.net

>>23
多少か？

その言い回しは正しいな。

27 ：名刺は切らしておりまして：2020/03/11(水) 17:00:57.69 ID:sKnVhJtw.net

これと似たようなシステムの運用をかなり昔、AppleのLAN運営セミナーで見たな
アマゾンもPC本体から作っちゃえば？その方が簡単よ

28 ：名刺は切らしておりまして：2020/03/11(水) 17:01:32.61 ID:WJ0R7Z+b.net

>>24
この掲示板に信頼性がある書き込みがあると思っているのか？

お前のネットリテラシーは90過ぎのおばあさんより下だな、

29 ：○：2020/03/11(水) 17:01:48.41 ID:4w+lMbto.net

　
記事を読んでも接続の認証を強化しました程度にしか読めなくて。
　認証の強化とVPNを使ってないが、俺の中で結びつかないんだ。

30 ：名刺は切らしておりまして：2020/03/11(水) 17:04:43.37 ID:H10/0xN6.net

パブリッククラウドならIAMユーザーを作成し、それに適切なアクセス権限を付与するのが基本だと思うが

31 ：名刺は切らしておりまして：2020/03/11(水) 17:05:00.25 ID:uEwZALpx.net

VPNを使ってLANに到達したら、その後は権限のチェックをあまりしない
というのをやめて
VPNだろうがなんだろうが、その後のアクセスすべてを細かく権限チェックする
ということなんだろう

32 ：名刺は切らしておりまして：2020/03/11(水) 17:05:03.32 ID:WJ0R7Z+b.net

>>29
通信の話はしていないんだよ。
だから接続の強化とか思っている時点で大幅にら的を外している。

通信でそのハードに来た全てのパケットは怪しい。
そういう前提でシステムが組まれている。

だから、VPN経由で来ようが、社内の限定領域のIP持ってようが、全ての活動についてアクセスコントロールを行う。
必要なら認証かますし、ファイル全般へのアクセスはそもそも認めないというケースもある。

わかるかな？

33 ：名刺は切らしておりまして：2020/03/11(水) 17:06:45.42 ID:uEwZALpx.net

たしかに
セキュリティが向上するんだろうけど
必要なツールを内製する資金力と技術力がないとできないだろうから
他の会社がおいそれとはマネできないだろうな