■ このスレッドは過去ログ倉庫に格納されています
【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
- 1 :田杉山脈 ★:2020/03/11(水) 16:32:21.90 ID:CAP_USER.net
- 新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/
- 173 :名刺は切らしておりまして:2020/03/11(水) 20:25:20.08 ID:gXFVp3TB.net
- >>164
例えばアカウントパクられて急に海外からアクセスされた時に、それを検知して処理するような仕組みもあるよ
- 174 :名刺は切らしておりまして:2020/03/11(水) 20:31:03.40 ID:R/GCFG3s.net
- あれと言えば生理が思い付く昭和脳
- 175 :名刺は切らしておりまして:2020/03/11(水) 20:31:52.39 ID:PrM0BPAH.net
- 用語が専門的で説明になってない
要はGoogle独自の文書管理システムやら人事院勧告システムやら経理システムをさらに自前のネットワークで走らせているって話だろ?
誰にでも分かるように言え無能ども
- 176 :名刺は切らしておりまして:2020/03/11(水) 20:35:53.08 ID:c+dRbHn6.net
- >>163
多要素認証もいろいろ
- 177 :名刺は切らしておりまして:2020/03/11(水) 20:36:42.18 ID:G2GbmuzK.net
- cloudflare accessでrdp over https試したいんだけど無料でかつ独自ドメイン使って実現する方法なんかないか?
- 178 :名刺は切らしておりまして:2020/03/11(水) 20:37:12.10 ID:Iia5Ifxh.net
- >>147
ただし疑問なのはアウターヘイブンを作らされたときそれの排除って探知含めて完全にシステムの
一部といえるほど担ってしまっていたとき排除までできるのが疑義があって誰かその場合の方法どうするのか聞いてみたい
- 179 :名刺は切らしておりまして:2020/03/11(水) 20:39:47.60 ID:zv0ITnUG.net
- >>22
httpsはhttpプロトコルに暗号化に使うSSLのプロトコルを加えたもん。
仮想ネットワークを作るvpnとは別もん。ssl vpnはvpnを暗号化するための1つの手段
- 180 :名刺は切らしておりまして:2020/03/11(水) 20:41:20.59 ID:61K60DvB.net
- >>1
誰も信用しない
移民が作った企業だけあってもっともな考え方だ
でもインフラにただ乗りの発想なので好きじゃない
- 181 :名刺は切らしておりまして:2020/03/11(水) 20:44:58.27 ID:XUuyi3WF.net
- >>14
昭和の50年代ごろまでだと
どんな難しい事でも漢字化したから、
初めての素人でも、わかると言えなくともなんとなく大雑把に感じるようなところまで行けたんだよなあ。
最近はカタカナ語どころが、欧米で使ってる略語もそのまま輸入してるから
初めての人は一見では絶対わからないな。
- 182 :名刺は切らしておりまして:2020/03/11(水) 20:46:29.19 ID:XUuyi3WF.net
- >>175
そういう説明が分かりやすいな
- 183 :名刺は切らしておりまして:2020/03/11(水) 20:53:38.22 ID:RmEhJ0zK.net
- うちの会社はVPN+全サーバで二要素認証だなあ
- 184 :名刺は切らしておりまして:2020/03/11(水) 20:55:02.59 ID:/zVizAVD.net
- >>175
見事に要点を何一つ含められないまとめだな。
何で無能なバカは自分が何も知らないところでドヤろうとするの?
- 185 :名刺は切らしておりまして:2020/03/11(水) 20:56:45.30 ID:meziLGje.net
- 無機質に感染するウイルスが理由よな
- 186 :名刺は切らしておりまして:2020/03/11(水) 20:57:38.34 ID:E2U0KTd2.net
- 言ってることはわかるけどこれ運用できる企業少ないよ。
- 187 :名刺は切らしておりまして:2020/03/11(水) 21:04:11.39 ID:DTxgCZjX.net
- >>25
わかるわけねえだろ
ガンダムで例えろや
- 188 :名刺は切らしておりまして:2020/03/11(水) 21:13:13.44 ID:n+UnHbD3.net
- >>32
つまりスマホの許可するしないボタンをアプリ関係なくやるみたいな感じか?
- 189 :名刺は切らしておりまして:2020/03/11(水) 21:16:23.10 ID:HX9mJeBQ.net
- >>1
ファーウェイのネットワーク機器が
あぶないよね。
- 190 :名刺は切らしておりまして:2020/03/11(水) 21:35:28.33 ID:UsNZCxb6.net
-
VPNは破る対象が一元化されていて危険で
Googleはそれを分散しているということね
- 191 :名刺は切らしておりまして:2020/03/11(水) 21:36:24.15 ID:RcMyidE7.net
- 多要素認証ってなんですか
by Oブンペイ
- 192 :名刺は切らしておりまして:2020/03/11(水) 21:54:59.25 ID:XjOiH+Ka.net
- 携帯はVPNなんだが、どうしろと言うのか素人にもわかりやすく教えてくれ。
- 193 :名刺は切らしておりまして:2020/03/11(水) 22:00:23.22 ID:HGRQ8YqN.net
- 設定項目増えまくって、ミスって穴だらけになったりしないの?
- 194 :名刺は切らしておりまして:2020/03/11(水) 22:04:34.38 ID:K+IFKPic.net
- VPN利用者急に増えたから
インターネット経由でアクセスしてるわw
どこかで認証かませばいい話であって
Googleの言ってること正解
- 195 :名刺は切らしておりまして:2020/03/11(水) 22:05:02.96 ID:HDtUK9ej.net
- >>186
ほんとなw
その辺触れずにGoogleは先進的と言っているだけのアホ記事だわ
- 196 :名刺は切らしておりまして:2020/03/11(水) 22:07:35.08 ID:1RQwr+Zu.net
- あんま分かってない人が多いけどクライアント証明書をインストールしろってだけの話だぞ。
Googleに限らず、Githubなどインターネット上に公開されているようなサービスは
クライアント証明書で接続元の信頼性を担保している。
- 197 :名刺は切らしておりまして:2020/03/11(水) 22:13:03.22 ID:1RQwr+Zu.net
- つまり、ネットワークを信頼しない代わりに
接続元の端末と本人認証(ID、パスワード認証など)を信頼するのが
ゼロトラストネットワークというわけ。
その程度の話を説明するのに小難しい論文を書けちゃうのがグーグルの優秀なところw
- 198 :名刺は切らしておりまして:2020/03/11(水) 22:16:45.67 ID:duo6ZY5H.net
- > 例えばアプリケーション開発に使用する「ハゲ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない
??
- 199 :名刺は切らしておりまして:2020/03/11(水) 22:38:34.83 ID:6+vkQC3t.net
- >>192
VPNならどんな端末でもアクセスOKにしちゃアカンというのがGoogleのポリシー
各端末のMACや位置情報などを細かに収集して本人か特定して業務アプリへのアクセスを許可する
- 200 :名刺は切らしておりまして:2020/03/11(水) 22:40:02.86 ID:DEN8MgtY.net
- >>196
違うw
クライアント証明書は端末に対する認証だけだ
「経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできない」
ということからも、クライアント証明書などの端末認証、人・役職・所属組織などのユーザー認証、
さらにワンタイムパスワードやリスクベース認証などを複雑に組み合わせるアクセスコントロールをやっているんだろう
- 201 :名刺は切らしておりまして:2020/03/11(水) 22:43:50.27 ID:M4KNDyEe.net
- 盗まれるだけの価値のあるものを所有している企業だけが心配すること。
踏み台にされるのはやはりこまるか。
- 202 :名刺は切らしておりまして:2020/03/11(水) 22:45:56.89 ID:PPGXrxD0.net
- つまり、勝手に自宅の端末からアクセスせずに
会社のLANにVPN接続して自席のPCから
リモートデスクトップでGsuite使えって話か
簡単だな
- 203 :名刺は切らしておりまして:2020/03/11(水) 22:52:56.56 ID:DIOOrrVN.net
- 理系はコミュ力がないと理解できるスレ
- 204 :名刺は切らしておりまして:2020/03/11(水) 22:53:48.87 ID:ioAwNn9w.net
- よく分からんが、管理をしっかりやれないとグダグダになりそう。
- 205 :名刺は切らしておりまして:2020/03/11(水) 22:54:54.12 ID:c+dRbHn6.net
- cpuから独立してるセキュリティチップがあって、特定端末で特定の人でないとつかえなくなってるはず
なので端末のrootを取られても認証に必要な情報を盗めないのでその端末でしか繋げられない
鯖にセッションが既に張られてるなら侵入できるかもしれないが、外部からの操作で新しくセッション貼るのは無理(なはず)
流石にMACアドレスで弾くとか偽装がいくらでもできる事はやってないと思う
- 206 :名刺は切らしておりまして:2020/03/11(水) 22:56:42.23 ID:+Psyjajq.net
- VPN使わないことが特別なことのように書かれるのは信じられん
テレワークにVPN使うのは無謀だと思ってるが結構多いのかな?
初期導入コストは安いけどリスク管理に必要な措置が多いので結果的に高コストだろう
どうしてもLAN内の情報が必要なら法人向け画面転送ツールの方が安全だし、
トラフィックも安定する
あるいは多要素認証かけた上でsharepointみたいなクラウドで情報管理するかだ
- 207 :名刺は切らしておりまして:2020/03/11(水) 22:59:57.97 ID:9IQmSlG/.net
- >>1
「ゼロトラスト」 グーグルが一番信用できないってことだろw
- 208 :名刺は切らしておりまして:2020/03/11(水) 23:01:19.16 ID:+Psyjajq.net
- >>175
君が図らずも証明したように、誰にでも理解できるように説明するなんてのは無理なのよ
- 209 :名刺は切らしておりまして:2020/03/11(水) 23:09:40.34 ID:Iia5Ifxh.net
- 仮に一人でも問題発生のときの人員があったとしてもセキュリティにコストは倍々になる気がする
- 210 :名刺は切らしておりまして:2020/03/11(水) 23:13:26.21 ID:yWv62lbJ.net
- 社内ネットワークを信用しない
に尽きるかと
- 211 :名刺は切らしておりまして:2020/03/11(水) 23:33:39.53 ID:9MPMVn6m.net
- sshですむわけ?
- 212 :名刺は切らしておりまして:2020/03/11(水) 23:36:51.66 ID:9MPMVn6m.net
- >>181
漢字も初めての人にはわからない
同じこと
知識ベースがあっての話
- 213 :名刺は切らしておりまして:2020/03/11(水) 23:39:18.40 ID:7f29hnqe.net
- 日本でこれをやろうとしてもACLを厳格に設定せずに適当に済ますような奴らがシステム管理してるから無理
- 214 :名刺は切らしておりまして:2020/03/12(木) 00:40:22.24 ID:44EXacaO.net
- 開発者がセキュリティーガバガバのゴミアプリしか作れないからVPNは永遠に必須だろうよ
- 215 :名刺は切らしておりまして:2020/03/12(木) 02:28:58.86 ID:HgLZbjlt.net
- モメンタム、YouTubeの『ネトウヨ』「炎上」「アダルト」「グロテスク」「著作権侵害」を除外
https://hayabusa9.5ch.net/test/read.cgi/news/1583944383/
- 216 :名刺は切らしておりまして:2020/03/12(木) 03:58:59.65 ID:RNLUqz4O.net
- ゼロトラストで重要なのは、ネットワークがプライベートかどうかで、
信用したり/しないということは無意味ということじゃないの?。
(ハムタマゴサンドが美味しいという前では議論は無意味)
また、、信用するかしないかはユーザの属性による。
よって、信用するユーザを認証する。
そして、認証されたユーザとリソースをエンドツーエンドで通信を守る。
こういうことじゃないの?
- 217 :名刺は切らしておりまして:2020/03/12(木) 04:35:54.44 ID:W+KC9Yvh.net
-
運用の手間がね。
そもそも完全に閉じた組織ならいいが、
関係各人各所と情報をやり取りする部門は多い。
そうするとあいつに見せてやれ、こいつに見せてくれ、って話になる。
っで、見えればそれがどんなに危険でも誰も文句を言わない。
そこの部門長からペーペーまで。
誰にどう見えているのかなんて、気にする人間はほとんど居なかったりする。
ところが見えないとなるとブーブー豚の様に文句を垂れるw
設定により期限付きで見せるようにしてやり、
期限や期限後の継続申請を、誰を経由して手続きしろと伝えてあっても、
「急に繋がらなくなった」といきり立って怒鳴って来たりするww
グーグルがどんなに凝ったシステムを構築しようと、
セキュリティレベルなんて結局は、組織全体のセキュリティ認識の程度が支配的なのさwww
- 218 :名刺は切らしておりまして:2020/03/12(木) 04:44:39 ID:W+KC9Yvh.net
-
そもそも記事がおかしい。
回線の秘匿性を信用できないという話と、
誰にアクセスさせるかコントロールすることが重要って話がごっちゃになってる。
それぞれ大事な話だ。
グーグルは回線の秘匿性は気にしないと言っているように見えるが。
記者が曲解したんじゃないかな。
- 219 :名刺は切らしておりまして:2020/03/12(木) 06:15:53.12 ID:at5ncxPW.net
- BEYONDCORP
エンタープライズ セキュリティに対する新しいアプローチ
https://cloud.google.com/beyondcorp?hl=ja
これがキモなのかな
> アクセス制御地点をネットワークの境界から個々のユーザーやデバイスに移す
- 220 :名刺は切らしておりまして:2020/03/12(木) 06:19:05.22 ID:at5ncxPW.net
- つかGCP と G Suite の宣伝じゃねえかww
- 221 :名刺は切らしておりまして:2020/03/12(木) 06:40:02.92 ID:U4e5aUCI.net
- 社内ネットワークに入ればセキュリティガバガバでやりたい放題
というありがちな運用はしてない、ってことよ
このスレみてもわかるように、日本人はITリテラシーが低いのでこんな単純な話も理解できない
ポンコツ国家です
- 222 :名刺は切らしておりまして:2020/03/12(木) 06:55:11.61 ID:ojcrejO6.net
- いいんだよどうせ理解できないから日本人は
安全でなかろうが使い辛かろうが
上の「やってる感」さえ演出できれば満足なのさ
- 223 :名刺は切らしておりまして:2020/03/12(木) 06:56:04.51 ID:+ojC0cyO.net
- >>86
暗号化機能付きUSBメモリは よくあるおまけソフトで暗号化するのは使い物にならない。
ハードウエアで暗号化するタイプ(例えばキングストンのDTLPG3)がお勧め。
- 224 :名刺は切らしておりまして:2020/03/12(木) 07:14:57.30 ID:RAGhx5jj.net
- 自分達のが一番ww
- 225 :名刺は切らしておりまして:2020/03/12(木) 07:48:42.41 ID:aP8pMvry.net
- 一般向けグーグルのログインの強化版、プロ版なんだろ
ログインのIPと端末が記録されてて不正がないかでてくるだろ
おそらく認証されたパソコン、IPからでないとログインできないってことだろ
それは内部、外部も一緒で
グーグル以外でも機密情報は内部アクセスからも保護してるだろうが
徹底度がちがうんだろ
- 226 :名刺は切らしておりまして:2020/03/12(木) 07:50:24.87 ID:xhk8qao6.net
- >>223
うちの会社貸与のUSBメモリがそれ。
私物持ち込んでもPCに制限かけられてて認識しない。
- 227 :名刺は切らしておりまして:2020/03/12(木) 07:52:44.96 ID:cEylRHwx.net
- システムの問題もさることながら、内通され放題の"悪い会社"と、そうでない
"良い会社"の問題でもあるなww
- 228 :名刺は切らしておりまして:2020/03/12(木) 07:53:37.73 ID:aP8pMvry.net
- Googleアカウントに不正アクセスされていないか確認する
重要かつプライベートな情報が保存されるGoogleアカウント。何者かがこっそり不正にアクセスしていないか、確認する方法をいくつか紹介する。
すると、過去28日間にGoogleへログインした端末(PCやスマートフォンなどのデバイス)や、ログイン中の端末がリストアップされる。
https://image.itmedia.co.jp/ait/articles/1502/04/wi-1596scr11.png
https://www.atmarkit.co.jp/ait/articles/1502/04/news136.html
- 229 :名刺は切らしておりまして:2020/03/12(木) 07:54:42.62 ID:V7sYghSS.net
- >>1
そりゃAWSがあるし
- 230 :名刺は切らしておりまして:2020/03/12(木) 07:58:11.98 ID:aP8pMvry.net
- Googleアカウントに不正アクセスされていないか確認する
Windows PCやMacからのアクセスの場合、アクセス日時の他、ブラウザとそのバージョンが確認できる。
端末の存在位置も表示されるものの、精度はそれほど高くない(市や区が間違っていることがよくある)。
スマートフォンやタブレットといったモバイル端末だと、詳細情報は以下のように表示される。
モバイル端末の場合、iPhoneなのかそれともAndroid OS搭載機なのか、というレベルまでは分かるものの、機種名は不明なことが多い。
そのため、もし使用中の「正しい」端末と同じ機種で不正アクセスが行われると、上記画面に記載の情報のうち正規のアクセスと区別するための材料は残念ながらアクセス時刻ぐらいしかない。
そこで、[この端末を紛失した場合]をタップまたはクリックして、Google Mapで現在の端末の在りかを探すことで判別する、という方法も。その他、対象の端末に電話をかけたりログアウトさせたりすることも可能だ。
[削除]ボタンが表示された場合、タップまたはクリックすると端末からGoogleアカウントなどへのアクセス権を削除して、強制的にログアウトできる。ただし、このボタンは表示されないこともある。
もし身に覚えのない端末やWebブラウザ、場所からのアクセスが見つかったら、以後の不正アクセスを防ぐために、Googleアカウントのパスワードを変更する。モバイル端末であれば、前述の[削除]ボタンを押す。
https://image.itmedia.co.jp/ait/articles/1502/04/wi-1596scr13.png
https://www.atmarkit.co.jp/ait/articles/1502/04/news136.html
- 231 :名刺は切らしておりまして:2020/03/12(木) 08:18:14 ID:F8dNOfXD.net
- テレワークはあまり現実的ではないな。
いくら回線を秘匿化しても、自宅での管理がおろそかになるから、
そこから漏れる恐れがある。
機密性の高い仕事をしている企業ほどテレワークはできない。
- 232 :名刺は切らしておりまして:2020/03/12(木) 08:23:29 ID:cNBHKHg5.net
- >>1
これ、記者の解説が酷すぎだよ。
アクセスコントロールだけのこというなら、企業じゃ当たり前レベルなんだが・・・
「安全な」ネットワークじゃ、アクセス権フルにしてると思ってるのかな?
- 233 :名刺は切らしておりまして:2020/03/12(木) 08:33:03 ID:15P1wkgQ.net
- VPNが悪いような書き方だけど
普通の企業は、VPN +アクセス制御じゃねーの
プライベートiP降ったら全てのシステム使えるとかフツーにねーから
- 234 :名刺は切らしておりまして:2020/03/12(木) 09:07:15 ID:KsQ0QZFc.net
- VPN自体じゃなくて、繋ぐ先の企業ネットワークというものがFWで守られてる程度じゃもう安全じゃないよねって話
だからいっそ社内ネットワークをやめてシステムはインターネット経由で利用可、それを実現する為に他のセキュリティ対策を超頑張ってるよって事
結果システムはインターネットで繋ぎに行けるからVPNは要らなくなった
- 235 :名刺は切らしておりまして:2020/03/12(木) 09:37:58 ID:AI2B2t4k.net
- スレタイトルを勝手に創造するなよ
文の意味は、「なぜなら「あれ」が安全だから」だろ。
- 236 :名刺は切らしておりまして:2020/03/12(木) 10:03:59 ID:oiDQhjmR.net
- >>231
KDDIのやつがテレワークになって何も仕事しない
もともと仕事しないやつだったがさらに本格的にしない
マジで担当変えてほしいわ
- 237 :名刺は切らしておりまして:2020/03/12(木) 10:06:49 ID:YTsPz4Uh.net
- 物理的に一通にしてる回線とかドライブってあんま流行らんのが不思議
- 238 :名刺は切らしておりまして:2020/03/12(木) 10:07:43 ID:aP8pMvry.net
- 社内、社外関係なくおなじアクセス管理で徹底してるところがポイントなんだろ
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。
このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、
経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。
- 239 :名刺は切らしておりまして:2020/03/12(木) 10:22:32 ID:bBQ/asoz.net
- グーグルが自分で使う分には安全だけど、他者がグーグル使ったら危険だろw
- 240 :名刺は切らしておりまして:2020/03/12(木) 10:22:51 ID:v1fLIlYG.net
- これって通信を盗聴されたら
丸見えじゃないの
- 241 :名刺は切らしておりまして:2020/03/12(木) 10:35:51.58 ID:x+0HxRyX.net
- 専用線引いてるんだろ
- 242 :名刺は切らしておりまして:2020/03/12(木) 10:36:10.82 ID:ZCl3ZqCQ.net
- >>238
それ普通っていうか、普通は社外からの場合は社内より更に厳しくする。
って思ってたけど、違う企業多いの?
- 243 :名刺は切らしておりまして:2020/03/12(木) 10:45:12.66 ID:3MaTls62.net
- 要するにもはやhttpは使わないようにしてhttpsのみでしか通信は認めないってのと同じ流れ
アカウントの厳格な確認と通信の暗号化必須って事だ
- 244 :名刺は切らしておりまして:2020/03/12(木) 10:53:16.71 ID:NNTQKdWS.net
- フリーwifiでどうしてもつながなくちゃいけないときがあるんだけど、
精神衛生的にあまり使いたくありません。
VPNっていうのを導入すれば家の回線でネットができるらしいんだけど、
古いバッファローのルーターにDD-WRTいれてVPNサーバーたてるのと、
シノロジーのDS218のVPN機能を使うのとではどっちがいいのかな?
トーシロだからDS218のほうがええのかな?
- 245 :名刺は切らしておりまして:2020/03/12(木) 11:17:17 ID:cNBHKHg5.net
- あぁ解った、書いてる記者が、シッタカしてるだけの、マカ-かLinux信者だわ。
ADによる環境の面の制御を理解してない。
- 246 :名刺は切らしておりまして:2020/03/12(木) 11:20:28 ID:cNBHKHg5.net
- >>242
たぶん、書いてる人がADを理解してないんだよ。
マカーやLinux信者だと、家庭用無線LanルーターとMacやLinuxだけの構成で安全だと思ってる。
- 247 :名刺は切らしておりまして:2020/03/12(木) 11:21:36 ID:cNBHKHg5.net
- >>240
Internetを使う以上、その気になれば、経由したルーターで全ての情報を吸い出せるよ。
- 248 :名刺は切らしておりまして:2020/03/12(木) 11:28:02 ID:J4Qbk5tf.net
- 基本的に SSL/TLS 前提だろ
- 249 :名刺は切らしておりまして:2020/03/12(木) 11:28:39 ID:cJcH55sf.net
- 標的型攻撃で乗っ取られたら、って話するならそれは接続形態関係ねーから
googleが何を自慢してるのかわかんね
人(ID)や端末のIPアドレスによって触れる場所を制限するのは当たり前の話
- 250 :名刺は切らしておりまして:2020/03/12(木) 11:57:46.77 ID:bTKr3jUA.net
- >>233
まあそうだけど、ローカルネットワーク無意識に信頼してるとルーズな設定で穴が空いてたりするし
googleは慢性的に身内に産業スパイ居たりするだろうからそういうものからも守らないといけないんじゃないの?
- 251 :名刺は切らしておりまして:2020/03/12(木) 12:13:23 ID:fl/ESwrS.net
- よくわからないけど
シンクライアントじゃだめなの?
- 252 :名刺は切らしておりまして:2020/03/12(木) 12:15:13 ID:ZP6WaEPA.net
- >>212
漢字は小中で必要十分習う
- 253 :名刺は切らしておりまして:2020/03/12(木) 12:16:05 ID:oiDQhjmR.net
- >>251
そういうの管理する部署がある企業じゃないとなぁ
- 254 :名刺は切らしておりまして:2020/03/12(木) 12:17:44 ID:Xt5F8knr.net
- >>233
今時はそうだろうけど
結局アクセス制御があるならVPNを通す意味もないのだろ
世界中から攻撃を受ける企業としては、要となる認証基盤をしっかり守ることに注力した方が効率がいいんじゃ?
- 255 :名刺は切らしておりまして:2020/03/12(木) 12:27:41 ID:RC6tLfJA.net
- >>212
漢字は表意文字で規則性があるので、慣れると知らない文字でもなんとなく読めるってメリットがある。
- 256 :名刺は切らしておりまして:2020/03/12(木) 12:28:39 ID:RC6tLfJA.net
- >>254
アクセス制御なんて企業じゃ常識以前なんですが・・・
- 257 :名刺は切らしておりまして:2020/03/12(木) 12:29:58 ID:oiDQhjmR.net
- >>255
稟議(ひんぎ)
独壇場(どくせんじょう)
あたりが被害者だな
- 258 :名刺は切らしておりまして:2020/03/12(木) 12:50:54.28 ID:OKjUSmjM.net
- GAFAかぶれの素人記者の記事かよ
真面目にスレ読んで損した
- 259 :名刺は切らしておりまして:2020/03/12(木) 13:24:14.78 ID:HBvjwMLR.net
- アドガードとかのアプリってローカルVPNで通信させるって聞いたんだけど怖くね?
有料サービスですら怪しそうなとこあるのに。。
- 260 :名刺は切らしておりまして:2020/03/12(木) 13:36:22.52 ID:KdKZPZjk.net
- 自分のところがやってるから他もやってるという認識以外考えられないわ笑
- 261 :名刺は切らしておりまして:2020/03/12(木) 13:51:53.49 ID:KtmbjGgX.net
- んでもSElinuxはめんどいのでオフにするね
- 262 :名刺は切らしておりまして:2020/03/12(木) 13:58:35.48 ID:ad7UoMOV.net
- >>9
vpnはトンネルと考えた方がいいよ。あたかもイントラに繋いでるかのように振る舞える。
暗号化はまた別の話
- 263 :名刺は切らしておりまして:2020/03/12(木) 15:28:41 ID:OVx+qYZo.net
- >>229
GoogleがAWS使ってるってこと?
- 264 :名刺は切らしておりまして:2020/03/12(木) 15:43:11.89 ID:+4deh/eO.net
- せやからなぁ〜
世界のナベアツ(桂 三度)似のひょうきんな顔をしている平塚正幸(不細工)がどないしたんや?
知恵遅れの子供ように「ぽか〜ん」と口を半開き(蓄膿症か鼻詰まりで口をきちんと閉じられないのか?)の
トンマなボケ面でドヤ顔のさゆふらっとがどないしたんや?
https://i.imgur.com/lZ4HjRp.jpg
- 265 :名刺は切らしておりまして:2020/03/12(木) 16:55:36.25 ID:6w9HCayB.net
- コロナでねっとに切り替わったら
コンピューターウィルスの法をバラまくまでが
計画の内なんだな
手口が分かれば対策は決まって
日本方式で、時間を掛けて対応して
徐々に開催を開始していくのが最善だな
- 266 :名刺は切らしておりまして:2020/03/12(木) 19:03:38.20 ID:iUqvjEBV.net
- SNSやネット通販は必ずログアウトしてクレカでは買わない。
- 267 :名刺は切らしておりまして:2020/03/12(木) 19:04:11.25 ID:nRDrauQo.net
- >>1
また日本企業が負けたのか?
- 268 :名刺は切らしておりまして:2020/03/12(木) 19:19:41.55 ID:2NoV8KlT.net
- 人・デバイス毎に認証して、アプリ毎に認可
条件付きアクセス
暗号化通信
httpsならインターネットに剥き出し
SMBなどのレガシープロトコルは個別にトンネル張るしかない?
- 269 :名刺は切らしておりまして:2020/03/12(木) 20:25:21 ID:SRwrNzur.net
- >>267
そう思いたい記者が無知を晒しただけだよw
- 270 :名刺は切らしておりまして:2020/03/12(木) 21:03:29.07 ID:/lTKiG6s.net
- >>29
記事の肝心の部分はID登録をしないと読めない。
英語圏の記事を検索してみると、恐らく元ネタの記事が見つかった。
要点はこう
1) Googleの社内ネットワーク端末は全てPublic IPを割り当てられててイントラネットと
外部ネットの区別はない。
2) 端末がリソースにアクセスする際には、デバイスインベントリーと
アクセスコントロールの2つのチェックを受け、通過できたものだけがリソースにアクセスできる。
3) 実際のログインはアクセスコントロールエンジンによるチェックが通過した後に行う。
4) ログインにはハードウェアのセキュリティーキーが使われ、パスワードは使用しない。
5) ネットワーク自体は普通、ただし、トランスポーテーションレイヤで暗号化される。
6) 新入社員にはChromebookが支給される。社内システム用の特別な構成は必要ないため、
配れたら90秒でネットワークに接続して仕事ができるようになる。
- 271 :名刺は切らしておりまして:2020/03/12(木) 21:05:01.56 ID:rI4wlC+l.net
- 9は別にSEではないと思えば別にこれくらいのユーザーはいるんだししょうがない。
多少考えるくらいなんだから、よくやってる。
- 272 :名刺は切らしておりまして:2020/03/12(木) 21:28:45.84 ID:Xc0zfY29.net
- お前らオライリーのゼロトラストネットワーク読めよ
日本語版も出たぞ
- 273 :名刺は切らしておりまして:2020/03/12(木) 21:32:57.95 ID:Xc0zfY29.net
- >>245
は?ADによる制御は境界型だろ?思想が違う
総レス数 405
114 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200