■ このスレッドは過去ログ倉庫に格納されています
【IT】米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
- 1 :田杉山脈 ★:2020/03/11(水) 16:32:21.90 ID:CAP_USER.net
- 新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。
米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。
同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。
脱VPNの背景に「ゼロトラスト」
グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。
一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。
しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。
ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。
端末やユーザーによってアクセス制御
社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。
例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/
- 48 :名刺は切らしておりまして:2020/03/11(水) 17:23:34 ID:WJ0R7Z+b.net
- >>43
サーバじゃなくて、サービス毎な。
サーバの認識を持っているからそいつが権利があるかは調べてみなきゃわからない。
消防の方から来た人が消防士とは限らない。
- 49 :○:2020/03/11(水) 17:26:47 ID:4w+lMbto.net
- >>47
君が笑顔になってくれて、俺はうれしいよ。
- 50 :名刺は切らしておりまして:2020/03/11(水) 17:27:36 ID:FMrCTLLk.net
- 自宅でVPNルーター使ってVPN接続試みるも挫折。Wi-fiでネットワーク接続されているはずなのに、インターネット見られないから今は普通のルーターに戻した・・
- 51 :名刺は切らしておりまして:2020/03/11(水) 17:30:56 ID:dTeWsw4n.net
- あっそ
その認証サーバーの信頼性はどうやって担保すんのかね
- 52 :名刺は切らしておりまして:2020/03/11(水) 17:32:49 ID:KIUiCTqV.net
- >>49
日本がイット後進国と言われるわけだ
情けない
- 53 :名刺は切らしておりまして:2020/03/11(水) 17:37:53 ID:uPyRbUN5.net
- オナニーかな?
- 54 :名刺は切らしておりまして:2020/03/11(水) 17:38:59 ID:VDHUx38X.net
- レガシーな資産が多い既存の会社には無理やな。
- 55 :名刺は切らしておりまして:2020/03/11(水) 17:42:34 ID:Iia5Ifxh.net
- ネットワークの枠組みにそれぞれランダムワードを各個人に振り分けられていそうだね
- 56 :名刺は切らしておりまして:2020/03/11(水) 17:43:41 ID:z2BTi7c7.net
- レガシーな資産にも認証認可の仕組みを入れてインターネットからアクセスできるようにしよう
そうすればVPNいらないよ、って話よ
そこだけの話じゃないけど
- 57 :名刺は切らしておりまして:2020/03/11(水) 17:44:03 ID:PYsNNEVG.net
- こういう判断するためにCTOって職があるのかな
日本政府のCTOは誰?
- 58 :名刺は切らしておりまして:2020/03/11(水) 17:47:41.92 .net
- >>17
とid出されて言われてもねぇ…┐(´д`)┌ヤレヤレ
- 59 :名刺は切らしておりまして:2020/03/11(水) 17:48:10.66 ID:Iia5Ifxh.net
- >>9はガチでやばいやつっていうことはわかる
認証を数回やるとして>>9見たいのがあらわれるように最終的に複数回オリジナルを暗号化なんて馬鹿なことはしないよね
- 60 :名刺は切らしておりまして:2020/03/11(水) 17:49:44.94 ID:3Rra/FZX.net
- 要は、
ネットワーク属性のホワイトリスト認証はダメ、他のマルチファクタ認証しろ
機体認証は必須で、ACLも細かくかけ
Googleは認証用のリバプロで実装・運用してるよ ってことか
- 61 :名刺は切らしておりまして:2020/03/11(水) 17:51:18.15 ID:GKZQSIhn.net
- グーグルってchromeリモートデスクトップでやらないの?
- 62 :名刺は切らしておりまして:2020/03/11(水) 17:55:39.06 ID:Iia5Ifxh.net
- まさか仕事でも簡単な認証の後に向こうから送られてきたパスで終わりじゃないよね?
- 63 :名刺は切らしておりまして:2020/03/11(水) 17:58:06.74 ID:B3iGg6F4.net
- ぶっちゃけいくらやっても社内の人間が悪意を持って情報を抜き出そうとしたら防ぐことは現実的に不可能
そんなのIT関連企業に勤めたら一発で分かる事
産業スパイなんかほぼ内部の人間接待漬けにしたり買収したりして行うもんでしょ
ハッカーが〜とか関係ね〜わ
- 64 :名刺は切らしておりまして:2020/03/11(水) 17:59:16.99 ID:2PMtMeDG.net
- テレワークってSOHOと同じで単なる流行り言葉に終わりそう
あと昭和生まれのオッサンには古めかしく感じるのは何故だろう。
- 65 :名刺は切らしておりまして:2020/03/11(水) 18:01:25.69 ID:QJx+Cjxc.net
- ソフトイーサかな
- 66 :名刺は切らしておりまして:2020/03/11(水) 18:01:32.71 ID:i2da+wUl.net
- >>8
最近どこの大企業もゼロトラスト目指してるけどなかなか進まないね
- 67 :名刺は切らしておりまして:2020/03/11(水) 18:03:09.81 ID:8zEb8A8p.net
- それよりDataSaver復活させろよ
それか画像検索時の画素数減らせよ
- 68 :名刺は切らしておりまして:2020/03/11(水) 18:03:31.89 ID:WgMVhSHy.net
- >>64
テレホーダイに似てるからじゃね?
- 69 :名刺は切らしておりまして:2020/03/11(水) 18:05:17.79 ID:zrBrmKk0.net
- FAX
- 70 :名刺は切らしておりまして:2020/03/11(水) 18:05:26.56 ID:zrBrmKk0.net
- ファックス
- 71 :名刺は切らしておりまして:2020/03/11(水) 18:05:40.21 ID:zrBrmKk0.net
- ふぁっーーくす
- 72 :名刺は切らしておりまして:2020/03/11(水) 18:12:05.84 ID:2PMtMeDG.net
- >>68
それだわw
Cバスに232Cボード挿してデイップSWでボーレートを合わせてみたいな
- 73 :名刺は切らしておりまして:2020/03/11(水) 18:12:50.60 ID:4PmOqMP6.net
- 光回線なのに今日の午後下り速度が0.4M台になっとった
クラウドなんて当分無理無理(´・ω・`)ノ゛
- 74 :名刺は切らしておりまして:2020/03/11(水) 18:13:36.49 ID:/zVizAVD.net
- >>64
テレワークやSOHOが流行り言葉ね?
どれだけ子供部屋から出ていないのかな?この間抜けは。
- 75 :名刺は切らしておりまして:2020/03/11(水) 18:14:06.72 ID:/zVizAVD.net
- >>73
個別の話を一般論に拡大するな。
- 76 :名刺は切らしておりまして:2020/03/11(水) 18:16:25.92 ID:6FgnimqO.net
- aclのメンテナンスが大変そうだけどそのあたりは大丈夫なのけ?
- 77 :名刺は切らしておりまして:2020/03/11(水) 18:20:32.89 ID:9dl/08ZA.net
- >>66
本気でやるためには仕事のやり方を変更することになる。
日本の企業情報システムが失敗する最大の原因は仕事のやり方を変えないから。
源流が紙ベースだから、上流に意味のない権限が多数つくことになるし、単に中継ぎだけの人にも結構な権限をつけることになる。
そこで、仕事のやり方をこう変えれば、セキュリティも上がって、効率も良くなると言う提案を諸外国ではするんだけど、日本でそれをすると血を見ることになるから、データとか、富士通とか、日電とかはあからさまにそんなことはしない。
更に、例えば今までの権限は部長はオールマイティにしていたけど、それだと危ないから、部長が管理職として権限を使える場合を限定したり、使う場合は部長の仕事用のアカウントとは別のアカウントでとか言うと、管理職から嫌われて嫌がらせが起きる、
こっちも、やばいから大手は絶対にやらない。
- 78 :名刺は切らしておりまして:2020/03/11(水) 18:22:46.46 ID:tCCJGTd4.net
- 端末承認したらその端末とVPNはるんだろ?
じゃなきゃ公共ネットワーク使えないぞ?
それともモバイル専用線の契約するのか?
よくわかってない奴が書いた記事の典型
- 79 :名刺は切らしておりまして:2020/03/11(水) 18:23:53.99 ID:pV9f5GhZ.net
- たぶん管理が相当面倒だけど合理的だな
- 80 :名刺は切らしておりまして:2020/03/11(水) 18:24:21.42 ID:/zVizAVD.net
- >>78
お前がよくわかってない。
お前がよくわからないのは最近の技術情報がまるでわかっていないから。
自分の不勉強を記事のせいにするな。間抜け。
- 81 :名刺は切らしておりまして:2020/03/11(水) 18:26:16.24 ID:tCCJGTd4.net
- >>80
ロギングサレホじゃんw
- 82 :名刺は切らしておりまして:2020/03/11(水) 18:26:20.56 ID:pV9f5GhZ.net
- >>78
端末承認って奴の詳細がよく分からないけど
認証サーバーで何らかの細かい条件で端末が確認できたら
その後は普通にSSLで繋ぐことを許可するだけなんちゃうかね
VPNじゃなくて
- 83 :名刺は切らしておりまして:2020/03/11(水) 18:27:02.15 ID:ZOa5l4O/.net
- VPNってなーに?
- 84 :名刺は切らしておりまして:2020/03/11(水) 18:27:09.77 ID:/zVizAVD.net
- >>63
間抜け。
そんな低レベルな議論はしていないんだよ。
間抜けは、AとBは区別できない、だからAはBと同じで、Bをする意味はないと言うあからさまなデタラメを本気で信じてるからたちが悪い。
- 85 :名刺は切らしておりまして:2020/03/11(水) 18:27:50.52 ID:/zVizAVD.net
- >>82
そもそも端末の承認で個別のサービスへのアクセス権を認めるとか低レベルなことはしないと言う話だから。
- 86 :名刺は切らしておりまして:2020/03/11(水) 18:30:33.63 ID:n0njjFiS.net
- >>44
>>45
USBメモリ暗号化しときゃいい話。
- 87 :名刺は切らしておりまして:2020/03/11(水) 18:30:52.74 ID:cq7HYsCF.net
- >>85
>端末の情報やユーザーの属性
って書いてあるけど、具体的に何してると予想してるの?
この手のセキュリティに疎いエンジニア的には
端末情報とユーザーIDとかを基にして
認証サーバーがアプリごとに判断してるとしか読めんのだけど
語学のために教えて欲しい
- 88 :名刺は切らしておりまして:2020/03/11(水) 18:33:38.68 ID:gywYlOun.net
- なんでもかんでも、インターネットにつながなきゃ、という強迫観念がな。
世界には軍、諜報機関、犯罪国家、世界レベルの悪党が、1年365日、24時間、
スキあらば奪おう、盗もう、壊そう、などと、ツケ狙っているというのに。
- 89 :名刺は切らしておりまして:2020/03/11(水) 18:34:47.34 ID:n0njjFiS.net
- >>88
つまり物理的に完全隔離された専用線を用意する訳ですね?
- 90 :名刺は切らしておりまして:2020/03/11(水) 18:35:25.01 ID:tCCJGTd4.net
- ユーザーや端末ごとにアクセス制限を変える話とVPN的に秘匿性を担保する話とは次元が違うのがわかんねー記者
- 91 :名刺は切らしておりまして:2020/03/11(水) 18:35:46.15 ID:n0njjFiS.net
- スタッフ・エンジニアを死ぬまで地下牢に幽閉すればセキュリティOKOK。
- 92 :名刺は切らしておりまして:2020/03/11(水) 18:36:58.54 ID:/zVizAVD.net
- >>83
Virtual Private Network
元々は直接繋がっていないネットワーク上のマシンやネットワーク自体を直接繋がっているネットワークであるかのように使えるようにする技術だ。
その後ネットワークの仮想化だけではなく、通信の暗号化などもするようになった。
日本の企業では会社のネットワーク上のサーバなどに出先からアクセスする先に、VPNソフトを介して接続をさせることが多い。
- 93 :名刺は切らしておりまして:2020/03/11(水) 18:37:23.69 ID:n0njjFiS.net
- アクセス制限(権限)と内容の暗号化(秘匿)がごっちゃになってきたきたぞ。こんがるがる。
- 94 :名刺は切らしておりまして:2020/03/11(水) 18:37:34.62 ID:/zVizAVD.net
- >>86
その程度の間抜けが使う暗号化なんて手もなく複合化されてしまうな。
- 95 :名刺は切らしておりまして:2020/03/11(水) 18:38:54.09 ID:a9c4bd3G.net
- セキュリティ的には理想ではあるが、実運用は難しいんだよね
認証サーバーやアプリケーションサーバーに登録されている機能・アプリだけで業務遂行できるようになっている必要がある
- 96 :名刺は切らしておりまして:2020/03/11(水) 18:38:56.85 ID:/zVizAVD.net
- >>87
君の言う認識サーバはアプリ毎に何を認識していると言うの?
それが低レベルだと言われているわけだけど、それもわからない?
- 97 :名刺は切らしておりまして:2020/03/11(水) 18:38:58.32 ID:irhg1hBa.net
- そもそも社内システムに職権や個人単位でのアクセス制限かかってない会社とかその時点で事故物件だろ?
その上でVPNとかで社内外を切り分けるんじゃ無いか?
何そんなドヤ顔してんの?
- 98 :名刺は切らしておりまして:2020/03/11(水) 18:39:05.89 ID:n0njjFiS.net
- >>94
自分にはできないくせに。
- 99 :名刺は切らしておりまして:2020/03/11(水) 18:41:52.48 ID:a9c4bd3G.net
- >>97
わからないならいいよ
すべてのニュースを理解できなければならない、という決まりはない
- 100 :名刺は切らしておりまして:2020/03/11(水) 18:43:06.89 ID:0pLY6Xx9.net
- >>98
は?本音が出たな。
そのレベルのセキュリティ意識だからバカにされるのさ。
間抜けら
- 101 :名刺は切らしておりまして:2020/03/11(水) 18:43:16.43 ID:hJvzI7sV.net
- 根本的に記者が勘違いしてる
この話はgoogleがビジネスインフラとして採用してるアプリはすべてがアプリ自体で個別にVPN相当の機能を持ってるということで、VPNを使っていないという表現は間違い
複数アプリ含めてセキュリティを確保するVPNの使い方と比較すると
一つのセキュリティ箇所がクラックされたときのセキュリティ被害が小さくなるかもしれない反面
アプリごとにセキュリティがクラックされる可能性があるのでセキュリティ被害の期待値は大して下がらない
さらにアプリが個別にセキュリティを確保する実装を持つぶん、アプリが肥大化しセキュリティ上のバグが入る可能性はむしろ増える
- 102 :名刺は切らしておりまして:2020/03/11(水) 18:43:37.12 ID:irhg1hBa.net
- >>85
だからアクセス権と秘匿性は違うだろって話。
アクセス制限してるから、サーバー直接インターネットに繋ぐのか?おまえ
- 103 :名刺は切らしておりまして:2020/03/11(水) 18:44:15.92 ID:/qKXRGQ7.net
- >>96
普通に聞いただけなのにいきなり煽って来るとかなんなんだよ…
本当に2chってこんな輩ばっかりになっちゃったな
お前じゃなくて詳しい知人にでも聞くよノシ
- 104 :名刺は切らしておりまして:2020/03/11(水) 18:44:48.58 ID:irhg1hBa.net
- >>101
だよね。
- 105 :名刺は切らしておりまして:2020/03/11(水) 18:45:06.69 ID:Fu2O/ALr.net
- なるほどね
赤の他人は最初から入れんし入れても使えんわけだ
それだと今度は端末の管理が課題になるな
- 106 :名刺は切らしておりまして:2020/03/11(水) 18:46:36.90 ID:/qKXRGQ7.net
- >>97
VPNなしでセキュリティ保ってるのは普通ではないと思うけどな
VPNを使わずに外から繋ぐ企業とか聞いたことないし
>>1の趣旨ってそういう話でしょこれ
- 107 :名刺は切らしておりまして:2020/03/11(水) 18:46:43.09 ID:0pLY6Xx9.net
- >>97
例えばさ、Googleのメールを使おうとして、
出先の一般に開放されているネットワークを使って、そうだな、念のためにVPN使って、いつも仕事している会社のIPで、いつも仕事で使っているノートパソコンからログオンしようとしたとする。
でも、Googleは通常のログオンではないと判断して2段階認証を要求するだろう。
なぜだと思う?
Googleだけではなく、アップルでもTwitterでもフェースプックでもそうなると思うけど。
- 108 :名刺は切らしておりまして:2020/03/11(水) 18:47:57.30 ID:0pLY6Xx9.net
- >>102
その用語でお前の能力がわかる。
俺のユーザーIDとパスワードが正規なら、そいつには俺の権限があると思って良いの?
お前の考えならそうなるよね。
- 109 :名刺は切らしておりまして:2020/03/11(水) 18:49:53.80 ID:pCTDaZaz.net
- 権限管理がクソ面倒くさそう。アクセスプロキシの負荷が目茶苦茶高そう。
- 110 :名刺は切らしておりまして:2020/03/11(水) 18:50:20.57 ID:gPsuIkX4.net
- >>107
>出先の一般に開放されているネットワークを使って、そうだな、念のためにVPN使って、いつも仕事している会社のIPで
これを読んで知ったかぶってるだけだとよく分かりました
2chでそれっぽいこと書いてマウント取るの楽しい?
- 111 :名刺は切らしておりまして:2020/03/11(水) 18:51:57.73 ID:0pLY6Xx9.net
- >>103
普通じゃないよ。
>>87
>>>85
>>端末の情報やユーザーの属性
>
>って書いてあるけど、具体的に何してると予想してるの?
>この手のセキュリティに疎いエンジニア的には
>端末情報とユーザーIDとかを基にして
>認証サーバーがアプリごとに判断してるとしか読めんのだけど
>語学のために教えて欲しい
俺はユーザーの属性としっかり書いてるのに見てないだろと言いたいのだろ?
でも、ユーザーIDとパスワードが正規だから、そいつが持っている権限は全てその際に認めるべきかどうかはわからない。
ユーザーの属性なんていう、今やっているサービスのコンテクストとは独立したもので全部を判断することは危険なんだよ。
わかるかな?
アップルはiCloud上の写真にアクセスする際に、Apple IDとパスワードでアクセスを認めたりしない。
なぜかわかるかい?
- 112 :名刺は切らしておりまして:2020/03/11(水) 18:51:58.72 ID:YRnBSEp+.net
- VPNはブロードバンドルーターが対応してなかたので
chromeのリモートデスクトップ使ってる
- 113 :名刺は切らしておりまして:2020/03/11(水) 18:53:07.69 ID:Dz3HHQmL.net
- 物凄い上から目線の明らかに理解してない奴が連投してるのワロス
- 114 :名刺は切らしておりまして:2020/03/11(水) 18:53:16.80 ID:0pLY6Xx9.net
- >>110
ああ、お前が間抜けで、最近の技術がわからないバカなのは先刻承知だ。
だから具体的な技術の話ができない、
具体的技術ごわかつてないのに悔しそうだね。
少しは勉強しろよ。
- 115 :名刺は切らしておりまして:2020/03/11(水) 18:53:37.07 ID:K/zYWL5X.net
- イランでTwitterを見るためにVPN使ったな
イラン内の通信会社だとTwitterとFBが遮断されてるんだよ
- 116 :名刺は切らしておりまして:2020/03/11(水) 18:53:46.88 ID:G5mRtpBJ.net
- 1の内容が分からないから解説してくれ、上から目線の人
- 117 :名刺は切らしておりまして:2020/03/11(水) 18:54:40.38 ID:0pLY6Xx9.net
- >>116
少しは上の書き込みとか読まないのか?
低脳で煽ることしかできない人。
- 118 :名刺は切らしておりまして:2020/03/11(水) 18:55:11.10 ID:G5mRtpBJ.net
- >>117
三行でよろしく
- 119 :名刺は切らしておりまして:2020/03/11(水) 18:55:38.07 ID:G5mRtpBJ.net
- >>117
まだなの?
- 120 :名刺は切らしておりまして:2020/03/11(水) 18:55:49.60 ID:G5mRtpBJ.net
- >>117
早くしろよ
- 121 :名刺は切らしておりまして:2020/03/11(水) 18:56:00.24 ID:0pLY6Xx9.net
- >>118
GoogleはACLを使ってる。
一行でまとめたぞ。
わからないならググれカス。
- 122 :名刺は切らしておりまして:2020/03/11(水) 18:56:33.28 ID:0pLY6Xx9.net
- >>120
1分も待てないのか、流石低脳。
アホ丸出し。
- 123 :名刺は切らしておりまして:2020/03/11(水) 18:57:25.50 ID:Dz3HHQmL.net
- この手のマウント君は本当に何が楽しくて書き込んでるのだろう
いつも不思議だわ
- 124 :名刺は切らしておりまして:2020/03/11(水) 18:58:44.38 ID:0pLY6Xx9.net
- >>123
いつもっかかってきて、何も出来ずに引っ込む間抜けがいるが、お前か?
間抜けは学習しないな。
- 125 :名刺は切らしておりまして:2020/03/11(水) 18:59:16.57 ID:Dz3HHQmL.net
- >>124
楽しそうで何よりですよ
- 126 :名刺は切らしておりまして:2020/03/11(水) 19:01:41.03 ID:72Tw9tI3.net
- 初心者だけど、ネットワーク内の安全性が担保される構築ならインターネットでvpnを使う必要はないと言うこと?
- 127 :名刺は切らしておりまして:2020/03/11(水) 19:01:46.64 ID:G5mRtpBJ.net
- >>121
一行でまとめられるのに、だらだらと無駄レスしてたのかよ・・・
- 128 :名刺は切らしておりまして:2020/03/11(水) 19:02:17.13 ID:uSHN5oXE.net
- ウチのバか社長
「そのお客さん(企業ではなく個人客)の情報、写真に撮ってラインで送って」
「ウチの会社はね、USB(USBメモリーのこと)を管理してて個人情報の持ち出しは制限をかけてるから」
もちろんそのまま差しても認識するしスマホも外付けHDD、カードリーダーも普通に使える。
どや顔で外部の人にも言っちゃうから一緒にいると恥ずかしい。
- 129 :名刺は切らしておりまして:2020/03/11(水) 19:03:14.01 ID:HqmAQ6kE.net
- まあVPN接続に使う社員のPCが安全じゃなければ侵入し放題だしな
ただ単にVPNを使いさえすれば安全だと思ってる頭の弱い技術者が結構いる
- 130 :名刺は切らしておりまして:2020/03/11(水) 19:03:47.53 ID:Tp4BZYrZ.net
- VPNじゃない場合、内から外へのデータ漏洩にはどう対応してるの?
敵は内部にあり。
- 131 :名刺は切らしておりまして:2020/03/11(水) 19:06:52.94 ID:p/25dHmt.net
- ウオールってなんだよ
- 132 :名刺は切らしておりまして:2020/03/11(水) 19:08:09.03 ID:pPcxUTTl.net
- >>1
そのうえでVPNを使えばもっと安全
ひとはミスする生き物、つまり危険と理解すべし
- 133 :名刺は切らしておりまして:2020/03/11(水) 19:10:00.96 ID:hJvzI7sV.net
- >>129
それ言ったらアプリごとにセキュリティ確保していたとしても
その端末自体にキーロガーとか仕込まれてたら全アプリが危険に晒される
結局googleのポリシーにしてもユーザー端末自体が腐ってたらってところは軽減されない
- 134 :名刺は切らしておりまして:2020/03/11(水) 19:10:07.27 ID:CnfdTlls.net
- Googleは、社内専用のネットワークだろうが、インターネットというネットワークだろうが、ネットワークというものはセキュリティは担保されないから全部同じとして扱っている。
ネットワーク上に置く業務用のサーバはセキュリティ担保が無い場所に置かれるものとして全て構築してあり、インターネットからアクセスしようが関係なく全部同じ。
だから、わざわざ社内専用ネットワークに繋ぐ為のVPNというものは使う必要がない。
という事かな?
- 135 :名刺は切らしておりまして:2020/03/11(水) 19:20:24.48 ID:1/J2xdOw.net
- ホモでもOK?
- 136 :名刺は切らしておりまして:2020/03/11(水) 19:20:29.14 ID:4BeUrdEG.net
- ActiveDirectory使ったことないから
ユーザー制御というのがイマイチ、よくわからん、
兼務の「ぱそこん係」だし、入社から退社まで2週間、という
のが頻繁にあって真面目にユーザー管理するのが
アホらしくなる。
- 137 :名刺は切らしておりまして:2020/03/11(水) 19:22:08.48 ID:5+8xHEE8.net
- 特定の通信より不特定多数の通信に紛れ込ませる戦略か・・・
”木を隠すなら森の中”だな
- 138 :名刺は切らしておりまして:2020/03/11(水) 19:22:25.98 ID:pPcxUTTl.net
- 運用の継続がね
ACLを 間違いなくミス無くメンテ するのも決して楽ではない
特に「Gmailがつながらねぇと騒いでいる」みたいな緊急時
監視も大変
アクセスポイントが制限してあれば、そこ経由を見張るだけでカバレッジがあがる
全マシンに、任意の経路から来られたら、不正接続の段階で遮断できない
つまり、なにか悪さをするまで押さえられない
それで良いのだといえばその通りだけど
- 139 :名刺は切らしておりまして:2020/03/11(水) 19:27:32.68 ID:bBScbO8p.net
- 結局どこかのレベルでアクセスレベルの管理をしなくちゃいけないんでしょ。
アプリ毎にするとか、ACL管理が・・・
何百人も何千人もいる会社・部署じゃなくて良かったw
- 140 :名刺は切らしておりまして:2020/03/11(水) 19:32:12.69 ID:a9c4bd3G.net
- ITの基本レベルの話なのに、わかってないやつだらけで笑える
日本でITがコケたのも当然か・・・
- 141 :名刺は切らしておりまして:2020/03/11(水) 19:32:26.33 ID:0pLY6Xx9.net
- >>136
このレベルの話をしようとすると、ADレベルの話じゃ不足なんだよね。
何かにアクセスしたら、それにアクセスする権利があるかIDとパスワードで確認するというだけではなくて、ユーザーのコンテキストとサービスのコンテキストが合致しているかというのを確認するから。
- 142 :名刺は切らしておりまして:2020/03/11(水) 19:33:18.53 ID:0pLY6Xx9.net
- >>134
その理解で正しい。
- 143 :名刺は切らしておりまして:2020/03/11(水) 19:34:15.35 ID:0pLY6Xx9.net
- >>133
ところが軽減されるんだよ。
そういうところがわかっていないから、お前は低レベルの間抜けなんだよ。
- 144 :名刺は切らしておりまして:2020/03/11(水) 19:35:07.66 ID:0pLY6Xx9.net
- >>138
それで良いとは言えないから、そういう状況で良いか悪いかを判定するわけだ。
- 145 :名刺は切らしておりまして:2020/03/11(水) 19:35:36.16 ID:puvw4vuX.net
- 拠点間を自社で設置したIPsec-VPNでつなぐのと、
テレワークとかで自宅や出張先ホテルからのVPN接続を許すのは
まったく違う
後者は基本アウトだろう
モバイルWANでAPNから囲い込んだ上でVPNも通すならいいけどさ
- 146 :名刺は切らしておりまして:2020/03/11(水) 19:35:37.46 ID:0pLY6Xx9.net
- >>132
もっと安全とは絶対言えない。
VPNに頼ること自体がリスクでしかない。
- 147 :名刺は切らしておりまして:2020/03/11(水) 19:36:12.01 ID:0pLY6Xx9.net
- >>145
悪いがどちらもダメだ。
理由はどちらも怪しいから。
総レス数 405
114 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200