■ このスレッドは過去ログ倉庫に格納されています
【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
- 1 :田杉山脈 ★:2020/03/11(水) 16:32:21.90 ID:CAP_USER.net
- 新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/
- 141 :名刺は切らしておりまして:2020/03/11(水) 19:32:26.33 ID:0pLY6Xx9.net
- >>136
このレベルの話をしようとすると、ADレベルの話じゃ不足なんだよね。
何かにアクセスしたら、それにアクセスする権利があるかIDとパスワードで確認するというだけではなくて、ユーザーのコンテキストとサービスのコンテキストが合致しているかというのを確認するから。
- 142 :名刺は切らしておりまして:2020/03/11(水) 19:33:18.53 ID:0pLY6Xx9.net
- >>134
その理解で正しい。
- 143 :名刺は切らしておりまして:2020/03/11(水) 19:34:15.35 ID:0pLY6Xx9.net
- >>133
ところが軽減されるんだよ。
そういうところがわかっていないから、お前は低レベルの間抜けなんだよ。
- 144 :名刺は切らしておりまして:2020/03/11(水) 19:35:07.66 ID:0pLY6Xx9.net
- >>138
それで良いとは言えないから、そういう状況で良いか悪いかを判定するわけだ。
- 145 :名刺は切らしておりまして:2020/03/11(水) 19:35:36.16 ID:puvw4vuX.net
- 拠点間を自社で設置したIPsec-VPNでつなぐのと、
テレワークとかで自宅や出張先ホテルからのVPN接続を許すのは
まったく違う
後者は基本アウトだろう
モバイルWANでAPNから囲い込んだ上でVPNも通すならいいけどさ
- 146 :名刺は切らしておりまして:2020/03/11(水) 19:35:37.46 ID:0pLY6Xx9.net
- >>132
もっと安全とは絶対言えない。
VPNに頼ること自体がリスクでしかない。
- 147 :名刺は切らしておりまして:2020/03/11(水) 19:36:12.01 ID:0pLY6Xx9.net
- >>145
悪いがどちらもダメだ。
理由はどちらも怪しいから。
- 148 :名刺は切らしておりまして:2020/03/11(水) 19:38:33.08 ID:pPcxUTTl.net
- >>146
この対策のうえで、さらにVPN導入してリスクが上がるのはどんなとき?
- 149 :名刺は切らしておりまして:2020/03/11(水) 19:40:04.43 ID:c+dRbHn6.net
- ネットワークを信頼しないってのはいい考えだと思うが大抵のものを内製できるだけの開発力あるとこでしか出来ない気がする
- 150 :名刺は切らしておりまして:2020/03/11(水) 19:49:23.02 ID:/zVizAVD.net
- >>148
色々あるよ。
例えばVPNで接続可能な端末が乗っ取られた時。
- 151 :名刺は切らしておりまして:2020/03/11(水) 19:50:03.10 ID:/zVizAVD.net
- >>149
そんなことはない。
むしろ一番問題なのは、開発側ではなくユーザー側の問題なんだな。
- 152 :名刺は切らしておりまして:2020/03/11(水) 19:50:25.35 ID:4BeUrdEG.net
- 遊び半分で社内用にHTMLのキオスクボード作ったんだけど、
最近だと「てめーhttpでリクエストするんじゃねーよ」と
ブラウザに怒られるし、オレオレ署名作れば「公証できない証明だぞ、
詐欺だぞ」と怒られるし、「閉じた社内サーバー」という選択肢は
今後、徐々に不便になるかも。
AWSだのAzureだの知らんから、IDとパスワードだけで本当に
いいのかとか、アドレスは関係者以外知らない状態を維持できるのか
とか、疑問が尽きないけど。
- 153 :名刺は切らしておりまして:2020/03/11(水) 19:51:42.45 ID:/zVizAVD.net
- >>152
それ手作りすぎなんだよ。
ネットワークとかサーバというのは多かれ少なかれパプリックなもので、それ故にポリティカルな対応が必要になる。
そこら辺はクレバーにやらないといけない。
- 154 :名刺は切らしておりまして:2020/03/11(水) 19:52:50.67 ID:pPcxUTTl.net
- >>150
ふ〜ん。へ〜え。ほほう。まぬけだ
- 155 :名刺は切らしておりまして:2020/03/11(水) 19:53:11.86 ID:zu5dZSt+.net
- VPNはネットワークの管理として雑ではあるよな
管理されてない外部の環境を内部に引き込んでしまうわけで
- 156 :名刺は切らしておりまして:2020/03/11(水) 19:55:55.52 ID:y3Mf/O6c.net
- しったかゆういちくん
- 157 :名刺は切らしておりまして:2020/03/11(水) 19:56:58.83 ID:LMUHIQae.net
- プロキシかまして認証されればフリーなんだろ
大して変わらん
- 158 :名刺は切らしておりまして:2020/03/11(水) 19:58:28.31 ID:puvw4vuX.net
- 元記事のGoogleはテレワークでのVPNか
FW機能だけで安価にできたりするけど、
広く一般職員に使わせるにはリスクとリターンが見合わないから、
普通はあまりやらないよね
本当に社外からLANにアクセスさせたいなら、
最初からモバイル閉域網組んだほうがいい
- 159 :名刺は切らしておりまして:2020/03/11(水) 19:58:29.98 ID:2i3qUrgC.net
- 自前サーバー構築してるからの話だなぁ…うらやましい
- 160 :名刺は切らしておりまして:2020/03/11(水) 19:59:24.07 ID:X77FRUUY.net
- >>1
GSuiteつこうてくれ
- 161 :名刺は切らしておりまして:2020/03/11(水) 19:59:42.33 ID:c+dRbHn6.net
- >>151
多分titanチップ入れた多要素認証だろ
ユーザー側の問題が何を言ってるのかわからんが、端末持ってる本人を銃で脅さない限りは上手く機能すると思う
- 162 :名刺は切らしておりまして:2020/03/11(水) 20:06:33.43 ID:puvw4vuX.net
- >>152
イントラのwebサーバだろ?
ブラウザが何言おうと別に気にすることはないと思うが、
一般ユーザにブラウザの警告を無視して使う癖をつけてしまうのは問題かな
- 163 :名刺は切らしておりまして:2020/03/11(水) 20:11:59.95 ID:1O5WDs+b.net
- 多要素認証って突破されない前提で考えていいもんなの?
- 164 :名刺は切らしておりまして:2020/03/11(水) 20:13:36.03 ID:puvw4vuX.net
- >>163
フィッシングには無力
- 165 :名刺は切らしておりまして:2020/03/11(水) 20:15:34.67 ID:tOQojcIp.net
- >>1
いかがわしい画像へのアクセス権は?
- 166 :名刺は切らしておりまして:2020/03/11(水) 20:17:04.29 ID:/zVizAVD.net
- >>154
間抜けはお前。
お前ACLでコントロールされてるシステムのことしか考えてないだろう。
標的型攻撃のことを少しは勉強しろ。
- 167 :名刺は切らしておりまして:2020/03/11(水) 20:18:20.68 ID:/zVizAVD.net
- >>161
そういうワンイシューに頼ったセキュリティ確保はしないの。
ユーザーの問題がわからないのは幸せだな。
- 168 :名刺は切らしておりまして:2020/03/11(水) 20:20:42.83 ID:c+dRbHn6.net
- >>167
ダメな方でドヤられても困るんだがw
- 169 :名刺は切らしておりまして:2020/03/11(水) 20:20:50.34 ID:JBlOza2H.net
- なんかこのスレ、基地外が何人かいるね(´・ω・`)
- 170 :名刺は切らしておりまして:2020/03/11(水) 20:22:22.06 ID:PrM0BPAH.net
- アプリとかツールでアクセス制御と権限付与してるやり方のことか?
めっちゃ面倒くさいんだけど
- 171 :名刺は切らしておりまして:2020/03/11(水) 20:23:34.38 ID:h8F0S2up.net
- バカみたいなセキュリティで仕事の能率を落としまくりながら、データが入ったHDDを
業者に販売しているバカな行政には見習って欲しいな
- 172 :名刺は切らしておりまして:2020/03/11(水) 20:23:36.69 ID:gXFVp3TB.net
- グーグルが長年温めてきたんだろうが、今ユーザー企業がゼロトラスト構築する近道になってるのがMSのM365E5ってのは皮肉だね
- 173 :名刺は切らしておりまして:2020/03/11(水) 20:25:20.08 ID:gXFVp3TB.net
- >>164
例えばアカウントパクられて急に海外からアクセスされた時に、それを検知して処理するような仕組みもあるよ
- 174 :名刺は切らしておりまして:2020/03/11(水) 20:31:03.40 ID:R/GCFG3s.net
- あれと言えば生理が思い付く昭和脳
- 175 :名刺は切らしておりまして:2020/03/11(水) 20:31:52.39 ID:PrM0BPAH.net
- 用語が専門的で説明になってない
要はGoogle独自の文書管理システムやら人事院勧告システムやら経理システムをさらに自前のネットワークで走らせているって話だろ?
誰にでも分かるように言え無能ども
- 176 :名刺は切らしておりまして:2020/03/11(水) 20:35:53.08 ID:c+dRbHn6.net
- >>163
多要素認証もいろいろ
- 177 :名刺は切らしておりまして:2020/03/11(水) 20:36:42.18 ID:G2GbmuzK.net
- cloudflare accessでrdp over https試したいんだけど無料でかつ独自ドメイン使って実現する方法なんかないか?
- 178 :名刺は切らしておりまして:2020/03/11(水) 20:37:12.10 ID:Iia5Ifxh.net
- >>147
ただし疑問なのはアウターヘイブンを作らされたときそれの排除って探知含めて完全にシステムの
一部といえるほど担ってしまっていたとき排除までできるのが疑義があって誰かその場合の方法どうするのか聞いてみたい
- 179 :名刺は切らしておりまして:2020/03/11(水) 20:39:47.60 ID:zv0ITnUG.net
- >>22
httpsはhttpプロトコルに暗号化に使うSSLのプロトコルを加えたもん。
仮想ネットワークを作るvpnとは別もん。ssl vpnはvpnを暗号化するための1つの手段
- 180 :名刺は切らしておりまして:2020/03/11(水) 20:41:20.59 ID:61K60DvB.net
- >>1
誰も信用しない
移民が作った企業だけあってもっともな考え方だ
でもインフラにただ乗りの発想なので好きじゃない
- 181 :名刺は切らしておりまして:2020/03/11(水) 20:44:58.27 ID:XUuyi3WF.net
- >>14
昭和の50年代ごろまでだと
どんな難しい事でも漢字化したから、
初めての素人でも、わかると言えなくともなんとなく大雑把に感じるようなところまで行けたんだよなあ。
最近はカタカナ語どころが、欧米で使ってる略語もそのまま輸入してるから
初めての人は一見では絶対わからないな。
- 182 :名刺は切らしておりまして:2020/03/11(水) 20:46:29.19 ID:XUuyi3WF.net
- >>175
そういう説明が分かりやすいな
- 183 :名刺は切らしておりまして:2020/03/11(水) 20:53:38.22 ID:RmEhJ0zK.net
- うちの会社はVPN+全サーバで二要素認証だなあ
- 184 :名刺は切らしておりまして:2020/03/11(水) 20:55:02.59 ID:/zVizAVD.net
- >>175
見事に要点を何一つ含められないまとめだな。
何で無能なバカは自分が何も知らないところでドヤろうとするの?
- 185 :名刺は切らしておりまして:2020/03/11(水) 20:56:45.30 ID:meziLGje.net
- 無機質に感染するウイルスが理由よな
- 186 :名刺は切らしておりまして:2020/03/11(水) 20:57:38.34 ID:E2U0KTd2.net
- 言ってることはわかるけどこれ運用できる企業少ないよ。
- 187 :名刺は切らしておりまして:2020/03/11(水) 21:04:11.39 ID:DTxgCZjX.net
- >>25
わかるわけねえだろ
ガンダムで例えろや
- 188 :名刺は切らしておりまして:2020/03/11(水) 21:13:13.44 ID:n+UnHbD3.net
- >>32
つまりスマホの許可するしないボタンをアプリ関係なくやるみたいな感じか?
- 189 :名刺は切らしておりまして:2020/03/11(水) 21:16:23.10 ID:HX9mJeBQ.net
- >>1
ファーウェイのネットワーク機器が
あぶないよね。
- 190 :名刺は切らしておりまして:2020/03/11(水) 21:35:28.33 ID:UsNZCxb6.net
-
VPNは破る対象が一元化されていて危険で
Googleはそれを分散しているということね
- 191 :名刺は切らしておりまして:2020/03/11(水) 21:36:24.15 ID:RcMyidE7.net
- 多要素認証ってなんですか
by Oブンペイ
- 192 :名刺は切らしておりまして:2020/03/11(水) 21:54:59.25 ID:XjOiH+Ka.net
- 携帯はVPNなんだが、どうしろと言うのか素人にもわかりやすく教えてくれ。
- 193 :名刺は切らしておりまして:2020/03/11(水) 22:00:23.22 ID:HGRQ8YqN.net
- 設定項目増えまくって、ミスって穴だらけになったりしないの?
- 194 :名刺は切らしておりまして:2020/03/11(水) 22:04:34.38 ID:K+IFKPic.net
- VPN利用者急に増えたから
インターネット経由でアクセスしてるわw
どこかで認証かませばいい話であって
Googleの言ってること正解
- 195 :名刺は切らしておりまして:2020/03/11(水) 22:05:02.96 ID:HDtUK9ej.net
- >>186
ほんとなw
その辺触れずにGoogleは先進的と言っているだけのアホ記事だわ
- 196 :名刺は切らしておりまして:2020/03/11(水) 22:07:35.08 ID:1RQwr+Zu.net
- あんま分かってない人が多いけどクライアント証明書をインストールしろってだけの話だぞ。
Googleに限らず、Githubなどインターネット上に公開されているようなサービスは
クライアント証明書で接続元の信頼性を担保している。
- 197 :名刺は切らしておりまして:2020/03/11(水) 22:13:03.22 ID:1RQwr+Zu.net
- つまり、ネットワークを信頼しない代わりに
接続元の端末と本人認証(ID、パスワード認証など)を信頼するのが
ゼロトラストネットワークというわけ。
その程度の話を説明するのに小難しい論文を書けちゃうのがグーグルの優秀なところw
- 198 :名刺は切らしておりまして:2020/03/11(水) 22:16:45.67 ID:duo6ZY5H.net
- > 例えばアプリケーション開発に使用する「ハゲ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない
??
- 199 :名刺は切らしておりまして:2020/03/11(水) 22:38:34.83 ID:6+vkQC3t.net
- >>192
VPNならどんな端末でもアクセスOKにしちゃアカンというのがGoogleのポリシー
各端末のMACや位置情報などを細かに収集して本人か特定して業務アプリへのアクセスを許可する
- 200 :名刺は切らしておりまして:2020/03/11(水) 22:40:02.86 ID:DEN8MgtY.net
- >>196
違うw
クライアント証明書は端末に対する認証だけだ
「経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできない」
ということからも、クライアント証明書などの端末認証、人・役職・所属組織などのユーザー認証、
さらにワンタイムパスワードやリスクベース認証などを複雑に組み合わせるアクセスコントロールをやっているんだろう
- 201 :名刺は切らしておりまして:2020/03/11(水) 22:43:50.27 ID:M4KNDyEe.net
- 盗まれるだけの価値のあるものを所有している企業だけが心配すること。
踏み台にされるのはやはりこまるか。
- 202 :名刺は切らしておりまして:2020/03/11(水) 22:45:56.89 ID:PPGXrxD0.net
- つまり、勝手に自宅の端末からアクセスせずに
会社のLANにVPN接続して自席のPCから
リモートデスクトップでGsuite使えって話か
簡単だな
- 203 :名刺は切らしておりまして:2020/03/11(水) 22:52:56.56 ID:DIOOrrVN.net
- 理系はコミュ力がないと理解できるスレ
- 204 :名刺は切らしておりまして:2020/03/11(水) 22:53:48.87 ID:ioAwNn9w.net
- よく分からんが、管理をしっかりやれないとグダグダになりそう。
- 205 :名刺は切らしておりまして:2020/03/11(水) 22:54:54.12 ID:c+dRbHn6.net
- cpuから独立してるセキュリティチップがあって、特定端末で特定の人でないとつかえなくなってるはず
なので端末のrootを取られても認証に必要な情報を盗めないのでその端末でしか繋げられない
鯖にセッションが既に張られてるなら侵入できるかもしれないが、外部からの操作で新しくセッション貼るのは無理(なはず)
流石にMACアドレスで弾くとか偽装がいくらでもできる事はやってないと思う
- 206 :名刺は切らしておりまして:2020/03/11(水) 22:56:42.23 ID:+Psyjajq.net
- VPN使わないことが特別なことのように書かれるのは信じられん
テレワークにVPN使うのは無謀だと思ってるが結構多いのかな?
初期導入コストは安いけどリスク管理に必要な措置が多いので結果的に高コストだろう
どうしてもLAN内の情報が必要なら法人向け画面転送ツールの方が安全だし、
トラフィックも安定する
あるいは多要素認証かけた上でsharepointみたいなクラウドで情報管理するかだ
- 207 :名刺は切らしておりまして:2020/03/11(水) 22:59:57.97 ID:9IQmSlG/.net
- >>1
「ゼロトラスト」 グーグルが一番信用できないってことだろw
- 208 :名刺は切らしておりまして:2020/03/11(水) 23:01:19.16 ID:+Psyjajq.net
- >>175
君が図らずも証明したように、誰にでも理解できるように説明するなんてのは無理なのよ
- 209 :名刺は切らしておりまして:2020/03/11(水) 23:09:40.34 ID:Iia5Ifxh.net
- 仮に一人でも問題発生のときの人員があったとしてもセキュリティにコストは倍々になる気がする
- 210 :名刺は切らしておりまして:2020/03/11(水) 23:13:26.21 ID:yWv62lbJ.net
- 社内ネットワークを信用しない
に尽きるかと
- 211 :名刺は切らしておりまして:2020/03/11(水) 23:33:39.53 ID:9MPMVn6m.net
- sshですむわけ?
- 212 :名刺は切らしておりまして:2020/03/11(水) 23:36:51.66 ID:9MPMVn6m.net
- >>181
漢字も初めての人にはわからない
同じこと
知識ベースがあっての話
- 213 :名刺は切らしておりまして:2020/03/11(水) 23:39:18.40 ID:7f29hnqe.net
- 日本でこれをやろうとしてもACLを厳格に設定せずに適当に済ますような奴らがシステム管理してるから無理
- 214 :名刺は切らしておりまして:2020/03/12(木) 00:40:22.24 ID:44EXacaO.net
- 開発者がセキュリティーガバガバのゴミアプリしか作れないからVPNは永遠に必須だろうよ
- 215 :名刺は切らしておりまして:2020/03/12(木) 02:28:58.86 ID:HgLZbjlt.net
- モメンタム、YouTubeの『ネトウヨ』「炎上」「アダルト」「グロテスク」「著作権侵害」を除外
https://hayabusa9.5ch.net/test/read.cgi/news/1583944383/
- 216 :名刺は切らしておりまして:2020/03/12(木) 03:58:59.65 ID:RNLUqz4O.net
- ゼロトラストで重要なのは、ネットワークがプライベートかどうかで、
信用したり/しないということは無意味ということじゃないの?。
(ハムタマゴサンドが美味しいという前では議論は無意味)
また、、信用するかしないかはユーザの属性による。
よって、信用するユーザを認証する。
そして、認証されたユーザとリソースをエンドツーエンドで通信を守る。
こういうことじゃないの?
- 217 :名刺は切らしておりまして:2020/03/12(木) 04:35:54.44 ID:W+KC9Yvh.net
-
運用の手間がね。
そもそも完全に閉じた組織ならいいが、
関係各人各所と情報をやり取りする部門は多い。
そうするとあいつに見せてやれ、こいつに見せてくれ、って話になる。
っで、見えればそれがどんなに危険でも誰も文句を言わない。
そこの部門長からペーペーまで。
誰にどう見えているのかなんて、気にする人間はほとんど居なかったりする。
ところが見えないとなるとブーブー豚の様に文句を垂れるw
設定により期限付きで見せるようにしてやり、
期限や期限後の継続申請を、誰を経由して手続きしろと伝えてあっても、
「急に繋がらなくなった」といきり立って怒鳴って来たりするww
グーグルがどんなに凝ったシステムを構築しようと、
セキュリティレベルなんて結局は、組織全体のセキュリティ認識の程度が支配的なのさwww
- 218 :名刺は切らしておりまして:2020/03/12(木) 04:44:39 ID:W+KC9Yvh.net
-
そもそも記事がおかしい。
回線の秘匿性を信用できないという話と、
誰にアクセスさせるかコントロールすることが重要って話がごっちゃになってる。
それぞれ大事な話だ。
グーグルは回線の秘匿性は気にしないと言っているように見えるが。
記者が曲解したんじゃないかな。
- 219 :名刺は切らしておりまして:2020/03/12(木) 06:15:53.12 ID:at5ncxPW.net
- BEYONDCORP
エンタープライズ セキュリティに対する新しいアプローチ
https://cloud.google.com/beyondcorp?hl=ja
これがキモなのかな
> アクセス制御地点をネットワークの境界から個々のユーザーやデバイスに移す
- 220 :名刺は切らしておりまして:2020/03/12(木) 06:19:05.22 ID:at5ncxPW.net
- つかGCP と G Suite の宣伝じゃねえかww
- 221 :名刺は切らしておりまして:2020/03/12(木) 06:40:02.92 ID:U4e5aUCI.net
- 社内ネットワークに入ればセキュリティガバガバでやりたい放題
というありがちな運用はしてない、ってことよ
このスレみてもわかるように、日本人はITリテラシーが低いのでこんな単純な話も理解できない
ポンコツ国家です
- 222 :名刺は切らしておりまして:2020/03/12(木) 06:55:11.61 ID:ojcrejO6.net
- いいんだよどうせ理解できないから日本人は
安全でなかろうが使い辛かろうが
上の「やってる感」さえ演出できれば満足なのさ
- 223 :名刺は切らしておりまして:2020/03/12(木) 06:56:04.51 ID:+ojC0cyO.net
- >>86
暗号化機能付きUSBメモリは よくあるおまけソフトで暗号化するのは使い物にならない。
ハードウエアで暗号化するタイプ(例えばキングストンのDTLPG3)がお勧め。
- 224 :名刺は切らしておりまして:2020/03/12(木) 07:14:57.30 ID:RAGhx5jj.net
- 自分達のが一番ww
- 225 :名刺は切らしておりまして:2020/03/12(木) 07:48:42.41 ID:aP8pMvry.net
- 一般向けグーグルのログインの強化版、プロ版なんだろ
ログインのIPと端末が記録されてて不正がないかでてくるだろ
おそらく認証されたパソコン、IPからでないとログインできないってことだろ
それは内部、外部も一緒で
グーグル以外でも機密情報は内部アクセスからも保護してるだろうが
徹底度がちがうんだろ
- 226 :名刺は切らしておりまして:2020/03/12(木) 07:50:24.87 ID:xhk8qao6.net
- >>223
うちの会社貸与のUSBメモリがそれ。
私物持ち込んでもPCに制限かけられてて認識しない。
- 227 :名刺は切らしておりまして:2020/03/12(木) 07:52:44.96 ID:cEylRHwx.net
- システムの問題もさることながら、内通され放題の"悪い会社"と、そうでない
"良い会社"の問題でもあるなww
- 228 :名刺は切らしておりまして:2020/03/12(木) 07:53:37.73 ID:aP8pMvry.net
- Googleアカウントに不正アクセスされていないか確認する
重要かつプライベートな情報が保存されるGoogleアカウント。何者かがこっそり不正にアクセスしていないか、確認する方法をいくつか紹介する。
すると、過去28日間にGoogleへログインした端末(PCやスマートフォンなどのデバイス)や、ログイン中の端末がリストアップされる。
https://image.itmedia.co.jp/ait/articles/1502/04/wi-1596scr11.png
https://www.atmarkit.co.jp/ait/articles/1502/04/news136.html
- 229 :名刺は切らしておりまして:2020/03/12(木) 07:54:42.62 ID:V7sYghSS.net
- >>1
そりゃAWSがあるし
- 230 :名刺は切らしておりまして:2020/03/12(木) 07:58:11.98 ID:aP8pMvry.net
- Googleアカウントに不正アクセスされていないか確認する
Windows PCやMacからのアクセスの場合、アクセス日時の他、ブラウザとそのバージョンが確認できる。
端末の存在位置も表示されるものの、精度はそれほど高くない(市や区が間違っていることがよくある)。
スマートフォンやタブレットといったモバイル端末だと、詳細情報は以下のように表示される。
モバイル端末の場合、iPhoneなのかそれともAndroid OS搭載機なのか、というレベルまでは分かるものの、機種名は不明なことが多い。
そのため、もし使用中の「正しい」端末と同じ機種で不正アクセスが行われると、上記画面に記載の情報のうち正規のアクセスと区別するための材料は残念ながらアクセス時刻ぐらいしかない。
そこで、[この端末を紛失した場合]をタップまたはクリックして、Google Mapで現在の端末の在りかを探すことで判別する、という方法も。その他、対象の端末に電話をかけたりログアウトさせたりすることも可能だ。
[削除]ボタンが表示された場合、タップまたはクリックすると端末からGoogleアカウントなどへのアクセス権を削除して、強制的にログアウトできる。ただし、このボタンは表示されないこともある。
もし身に覚えのない端末やWebブラウザ、場所からのアクセスが見つかったら、以後の不正アクセスを防ぐために、Googleアカウントのパスワードを変更する。モバイル端末であれば、前述の[削除]ボタンを押す。
https://image.itmedia.co.jp/ait/articles/1502/04/wi-1596scr13.png
https://www.atmarkit.co.jp/ait/articles/1502/04/news136.html
- 231 :名刺は切らしておりまして:2020/03/12(木) 08:18:14 ID:F8dNOfXD.net
- テレワークはあまり現実的ではないな。
いくら回線を秘匿化しても、自宅での管理がおろそかになるから、
そこから漏れる恐れがある。
機密性の高い仕事をしている企業ほどテレワークはできない。
- 232 :名刺は切らしておりまして:2020/03/12(木) 08:23:29 ID:cNBHKHg5.net
- >>1
これ、記者の解説が酷すぎだよ。
アクセスコントロールだけのこというなら、企業じゃ当たり前レベルなんだが・・・
「安全な」ネットワークじゃ、アクセス権フルにしてると思ってるのかな?
- 233 :名刺は切らしておりまして:2020/03/12(木) 08:33:03 ID:15P1wkgQ.net
- VPNが悪いような書き方だけど
普通の企業は、VPN +アクセス制御じゃねーの
プライベートiP降ったら全てのシステム使えるとかフツーにねーから
- 234 :名刺は切らしておりまして:2020/03/12(木) 09:07:15 ID:KsQ0QZFc.net
- VPN自体じゃなくて、繋ぐ先の企業ネットワークというものがFWで守られてる程度じゃもう安全じゃないよねって話
だからいっそ社内ネットワークをやめてシステムはインターネット経由で利用可、それを実現する為に他のセキュリティ対策を超頑張ってるよって事
結果システムはインターネットで繋ぎに行けるからVPNは要らなくなった
- 235 :名刺は切らしておりまして:2020/03/12(木) 09:37:58 ID:AI2B2t4k.net
- スレタイトルを勝手に創造するなよ
文の意味は、「なぜなら「あれ」が安全だから」だろ。
- 236 :名刺は切らしておりまして:2020/03/12(木) 10:03:59 ID:oiDQhjmR.net
- >>231
KDDIのやつがテレワークになって何も仕事しない
もともと仕事しないやつだったがさらに本格的にしない
マジで担当変えてほしいわ
- 237 :名刺は切らしておりまして:2020/03/12(木) 10:06:49 ID:YTsPz4Uh.net
- 物理的に一通にしてる回線とかドライブってあんま流行らんのが不思議
- 238 :名刺は切らしておりまして:2020/03/12(木) 10:07:43 ID:aP8pMvry.net
- 社内、社外関係なくおなじアクセス管理で徹底してるところがポイントなんだろ
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。
このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、
経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。
- 239 :名刺は切らしておりまして:2020/03/12(木) 10:22:32 ID:bBQ/asoz.net
- グーグルが自分で使う分には安全だけど、他者がグーグル使ったら危険だろw
- 240 :名刺は切らしておりまして:2020/03/12(木) 10:22:51 ID:v1fLIlYG.net
- これって通信を盗聴されたら
丸見えじゃないの
- 241 :名刺は切らしておりまして:2020/03/12(木) 10:35:51.58 ID:x+0HxRyX.net
- 専用線引いてるんだろ
総レス数 405
114 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200