パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

SoftEtherが一時的に公開停止状態に」記事へのコメント

  • http,smtp,pop,etc... は良いのだろうか?
    どれも過去に(現在もか?)セキュリティーホールの要因になっているよね。
    SoftEther は今までのやつとくらべて何が問題だろう。
    一番は新しい方法に対抗するノウハウが無いことかな。そう考えると「一時」であれば配付を止める事に意味が有るかも知れない。
    未知の物を恐れるのは正しい事だし。但し「一時」であれば。
    • by Anonymous Coward on 2003年12月25日 0時09分 (#461021)
      HTTPやSMTPのセキュリティーホールなどとは大きな性質の違いがあります。

      現在の企業や学校などの組織のネットワークは、インターネットとは異なるセキュリティポリシー(たとえば、内部から外部へのWebアクセスは許可するが、逆はダメどか)を実現するために、ファイアウォールに依存しているのが現実で、SoftEtherは、組織内部の人間が容易に、下手をするとまったく危険性に気が付かずに、ファイアウォールの存在を無効にできてしまう点で危険といえます。

      逆に、HTTPやSMTPというか、それらの実装におけるセキュリティホールは、ソフトウェアのアップデートで対応できますし、そもそも組織内部に外部からアクセスできるサーバがなければ、セキュリティホールの影響が発生しないこともある点で、性格が異なるのです。

      内部性善説に立脚したファイアウォールでのセキュリティ対策にとっては、良心を持った内部の人間であっても、ファイアウォールを容易に無効化可能な、SoftEtherのような実装は極めて恐れるべき存在なのです。

      もちろん、SSH のポートフォワーディングの機能などなど、ファイアウォールの存在を無効化しうるソフトウェアや、その組み合わせは、いくらでもありますが、そうした多くは技術的な知識も必要な点で敷居も高く、内部の人間が、悪意を持って用いるか、リスクを承知のうえで内緒で使ったりするなどという点で異なります。それに、その多くは、ある程度、ファイアウォールなどで制御可能でした。組織によっては、HTTP Proxyや定められたメールサーバ以外での外部との通信を一切排して、そのようなセキュリティ侵害の可能性を“極力"排除するというオプションを選択することも可能なわけです。

      しかしながら、SoftEtherは、HTTPS Proxyなどを利用したトンネリングの機能を実装しており、また、作者のWebサイトでは、それによって、組織内部のセキュリティポリシーを無視して、その使用ができることをうたっている(というか、そのためにHTTP Proxy経由でのトンネルが可能になっている?)点も疑問が残ります。

      ファイアウォールに依存したセキュリティ対策自体からの脱却も検討されるべきトピックだと思いますが、現状で、SoftEtherの前には、外部との通信をHTTPを含め一切禁止する、といった方法か、クライアントPCへインストール可能なソフトウェアを集中管理するなどの方法でしか、組織のネットワークを守ることが難しくなるというのが現実的だと思うのですがいかがでしょうか?

      技術的に可能だったことと、それが容易になったことの間には、大きな違いがあるのですよ。現実社会では。

      変なたとえ話はしたくありませんが、それまで有効だった『錠前』に対して、錠自体のセキュリティが甘いから、『ピッキングツール』や『ピッキングのノウハウ』が流通したということに対して、技術的な発展だから、ピッキングツールの公開や行使は阻害されるべきではない。というのと状況は似ているかもしれません。もちろん、件のピッキングの増加で、本当にヤバかった錠前は製造されなくなったわけで、悪いことばかりではありませんが。

      # 社内でも、よくわからずにインストールしたヤツがいるはずだ、という冗談を語った直後なので、AC
      親コメント
      • 私は貴兄のコメントの肝は下記の部分と考えます。
        ファイアウォールに依存したセキュリティ対策自体からの脱却も検討されるべきトピックだと思いますが、現状で、SoftEtherの前には、外部との通信をHTTPを含め一切禁止する、といった方法か、クライアントPCへインストール可能なソフトウェアを集中管理するなどの方法でしか、組織のネットワークを守ることが難しくなるというのが現実的だと思うのですがいかがでしょうか?
        ここは全くその通りでして、弊社でも外部との通信禁止以外は既に実施を始めています。
        外部との通信禁止にしても、情報セキュリティアドミニストレータ試験では、
        「禁止しているにも関わらず情報が漏洩した。何故か?」が定番、
        つまり、禁止がデフォルトとして認知されつつあると考えます。

        現状の究極解はターミナルサービス+シンクライアントの組み合わせや、
        通信の禁止あるいは完全なログ保全と解析による、

        「完全なる管理」でしょう。

        で、それで良いのでしょうか?
        業務現場が必要としているものを「管理者」は提供できているのでしょうか?
        「業務支援者」であるはずの「管理者」が「管理のための管理者」になっていないでしょうか。

        必要な支援が得られなければ、現場は「管理者」を見限って暴走を始めますよ。
        SoftEtherなんて必要ありません。手段はいくらでもあります。

        ご懸念の件は十分に理解できます。
        しかし、貴兄が相対している問題はひとつのソフトを潰したところで解決するわけではないと考えます。
        親コメント
        • by Anonymous Coward on 2003年12月25日 4時16分 (#461150)
          完全な管理をしなくていいような、
          「そういうことは会社の人間としてしちゃダメだろ」っていう
          モラルが社内に浸透していればいいのだろうけど‥。

          技術者の飽くなき探求心は企業の競争力を高めるので、
          それが社会的な理に適っているかどうかを考えるのが
          営業の仕事かとも思う今日この頃‥。

          # 昔技術で今営業なのでAC
          親コメント
        • >必要な支援

          それは個人の感覚なんじゃないのか?
          会社でしか仕事しないからリモート接続なんて関係ないねって人もいれば、
          おれは会社で仕事したくないんだ接続させろという人もいる。
          NotePadで良いよって人もいればパワポ必須の人もいる。
          そんな個人の嗜好を議論の俎上に上げられても議論にならん。

          つか、そもそも企業に勤める以上は「雇われ人」に過ぎないわけで、
          その雇われ人が雇う側の理屈に従わないのは本末転倒かと。
          自分の環境を
          • たとえば上場企業では管理者も雇われ人です。雇う側ではありません。あなたの会社ではオーナーが管理者をやってるのですか?それはあまり健全な会社とも思えませんが・・・

            この場合は「雇う側」は株主になりますが、通常その理屈は「株主にとっての価値を極大化する」ことでしょう。

            現場の人間は自分の生産性を最大化するように、にしろ、システム管理者など間接部門はそれを最大に支援するように動作するのは基本的に正しい姿勢だと思いますが。
            親コメント
          • isiさんが言いたいのは「管理部門の方々が現場の事情・状況を無視して管理ルールを決めてしまうと、ルールを無視・骨抜きにされますよ」ということでは?

            ネットワークとは関係ありませんが、ウチ(当方ハードウェア部門です)の場合、ずいぶん昔にISO14000シリーズ絡みで「鉛の全面使用禁止」という通達が出ました。今でこそ、鉛フリー半田が一般化しつつありますが、鉛フリーが研究段階の時代に「半田使用禁止」などという馬鹿げたルールを決められても、仕事になりませんので、従う者などいるわけがありません。
            ネットワーク関連では「情報セキュリテ
            • なし崩しの一例 (スコア:1, おもしろおかしい)

              by Anonymous Coward on 2003年12月25日 10時54分 (#461284)
              「管理部門の方々が現場の事情・状況を無視して管理ルールを決めてしまうと、ルールを無視・骨抜きにされますよ」ということでは?
              そうですね。前いたところの実例ですが、過去にセキュリティー問題で各方面に迷惑を掛け捲ったために、管理ルールが厳しくなったのですが、その内容というのが、(具体的なキーワードはぼかしておきます)
              • 「一部メンバー」以外、メール以外の外部接続、外部ソフトのインストールを一切禁止とする
              • 「一部メンバー」以外が外部接続をしたい場合、書類で上司に申請し、「一部メンバー」がアクセス代行、結果を申請者に返送(ファームウェア部門なのでデータシートやチップメーカー提供のツールとかが多い)
              • 「一部メンバー」以外が外部ソフトをインストールする場合、事前に「一部メンバー」の審査を受ける
              • OSや主要アプリのアップデートは、「一部メンバー」が落としてイントラネットに登録、一般ユーザーはそこからインストール
              ところが人的リソースは変わらないままなので、「一部メンバー」の負荷が一挙に増大して音を上げた結果、「一部メンバー」権限が乱発され、社員のほとんどが「一部メンバー」に(笑)

              #今回はAC
              親コメント
          • 言いたい事は非常に良くわかります。正論ですね。
            しかし、一旦管理する側にまわると、また別の実感があるんですよね。
            例えば5000人のユーザーを管理するとして、5000人それぞれが満足する「支援」を提供することは不可能ですよ。それは管理能力や労力の問題ではなくてむしろコストの問題。
            そこで最大公約数を考えざるを得ない。(ここをいかに大きく取れるかが勝負でしょうね)
            次に「規制」を考えると、今度は「5000人の中のニ番目のバカ」を想定して規制をせざるを得ない。(一番目のバカのやることは大概システムで規制できます。二番目のバカは、「こうするな」というこ
            • 私、実は先日情報システム部から某現場に異動になった身です。

              貴方が書いておられることは十分に判りますし、つい先日までは私自身が、
              実際に貴方が書いておられるように現場のユーザーを「説得する側」だったんです。
              ユーザー一人の質問一つが、管理する側に対して莫大な労力とコストとなって降りかかることも
              身を持って体験しました。

              「なんで判ってくれないんだ!」と心の中で地団駄ふんだこともありますよ。

              でも情報システム部にいたときも、
              情報システム部は「現場のニーズ」に答えられているのかどうか疑問に思ってましたし、
              実際に現場に移ってからは疑問は確信に変わりつつあります。

              全体の規模が大きくなるほど
              「最大公約数」と「ユーザー個人」が乖離する度合いは高くなるでしょう。
              単に「大きくとる」だけでなく、ユーザーを納得させるポイントを突いた対応が必要です。

              それでなくとも現場は現場で忙しい。管理者と交渉する手間暇が無駄に思えたなら、
              現場はあっさりと、その手間を省くでしょう。
              #そしてSoftEtherが生まれる……と。

              私が居る現場に関しては、情シスを含めた中央への「要求提示」が下手です。たしかに。
              私が呼ばれた理由の一つが「情シスと協力して円滑なサーバー運用を図る」ですから(苦笑

              「管理者の正論」と「現場の正論」を上手くすり合わせること。
              これが私が受け持つ業務のひとつであり、

              おそらく貴兄の業務でもあるのではなかろーか、と考えてます。

               * * *

              SoftEtherに関しては、
              単なるトンネリングソフト以上の何かがあるかも知れません。
              例えば、その仮想化技術によってネットワーク上のVPNが万華鏡の様に組み変わる、
              次世代への可能性があるのかも。
              作者さんも、もっと大きく視野を持って欲しいですね。
              親コメント
            • by Anonymous Coward
              すいません、コメント付け間違えた。 #46142 は #461053 へのコメントです。申し訳ない。
      • by Anonymous Coward on 2003年12月25日 12時42分 (#461368)
        >HTTPやSMTPのセキュリティーホールなどとは大きな性質の違いがあります。

        それは積み重ねられた時間が違うというところでしょう。
        ファイアウォールで守られるかどうかも単に時間が解決している問題です。
        一時的に未知の物を恐れるのは正しい事ということ等はまったく同じです。すでに出ているようにSoftEtherをファイアウォール等ではじく方法はほぼ見当付いているでしょう。
        あとは各社からのFW製品が対応すれば、その場ごとにセキュリティレベルに合わせて調整すればよいだけですね。

        >内部性善説に立脚したファイアウォールでのセキュリティ対策にとっては、良心を持った内部の人間であっても、ファイアウォールを容易に無効化可能な、SoftEtherのような実装は極めて恐れるべき存在なのです。

        内部性善説に立脚したファイアウォールならSoftEtherかどうかには関係なく危険でしょう。SoftEtherの違いは何度も言うように歴史が短いから対抗手段が少ないというだけ。それは別にSoftEther
        に特定のものでなくてあらゆる物に当てはまることでしょう。インターネットというもののそれのひとつです。

        >大きな違いがあるのですよ。現実社会では。

        そんなことは当たり前です。ですから「未知の物を恐れるのは正しい事だし。但し「一時」であれば。」と書いているでしょう。
        Σプロジェクトのようにインターネットが進化しないことを前提にしたいのですか?
        親コメント

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...