パスワードを忘れた? アカウント作成
10362228 story
Google

「企業内のプライベートネットワークは安全である」という神話 47

ストーリー by hylom
セキュリティの危機 部門より
あるAnonymous Coward 曰く、

Googleが「企業ネットワーク」という考え方を終わらせようとしている、という話が本家slashdotで取り上げられている(Google's Plan To Kill the Corporate Network、元ネタのSCMagazine記事)。

タイトルだけ見るとなにやらよく分からないが、話としては「企業内ネットワークは安全」という考え方はやめよう、ということのようだ。Googleが考えているのは、従来の企業ネットワークの概念を廃止し、暗号化されていないアメリカの無料WiFiネットワークのような「ゼロトラストモデル」へ移行すること。ゼロトラストモデルについてはdarkreadingマイナビニュースの記事が詳しい。

Googleでこのプロジェクトに関わるHarald Wagener氏は、「現在、多くの人が当てにしている、ファイアウォールやゲートキーパーは役に立ちません。こうした周辺機器やツールに頼ることを改善したい」としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 多層防御 (スコア:4, すばらしい洞察)

    by iwakuralain (33086) on 2013年12月13日 9時33分 (#2511299)

    という点では役にたってるが、壁を乗り越える人たちもいることを壁の中にいる人は理解していない事が多い。

    # 巨人が乗り越えるとかじゃないです

    • by Anonymous Coward on 2013年12月13日 11時03分 (#2511343)

      そもそもGoople社員がネットストーカーをしていたことから機器だけはなく
      Goople社員が信頼できないことを理解するべき。

      最初にやらないといけないことはこれだよ
      1)Goople社員が実データにアクセスできないようにすること。
      2)社外の協力会社に実データを渡さない事。

      親コメント
      • by Anonymous Coward

        Goople社員が信頼できないことを理解するべき。

        そんなフィッシング会社員信頼できるわけないw

    • by Anonymous Coward

      今年乗り越えたのは楽天でしたね

      • by Anonymous Coward

        壁の中の人たちは大変でしたね、食べられはせずとも値段偽装で財布の中を食い荒らされたようで

    • by Anonymous Coward

      それとプライベートネットワーク云々以前に、新人女性社員にはあまいという事実w

      http://security.srad.jp/story/13/12/10/0355254/ [srad.jp]架空の新人女性職員を使った侵入テスト、成功率100を達成

      • by Anonymous Coward

        ※ 但し、美人かおっぱいが大きい子に限る。

    • by Anonymous Coward
      Googleくらいになると、規模的にも、標的としての美味しさ的にも、物理的な防御の難しさが無視できない。

      ミッションインポッシブルしてくるトムクルーズを、あらゆるデータセンターのあらゆる場所から完全に閉め出すのは難しい。

      サーバならまだしも鍵のかかった部屋に詰め込みやすいし、そもそもそこの防御が出来ないと何も話が成り立たないからそこは頑張らざるを得ない。
      一方で、回線を完全に封じ込めるのは、範囲が広すぎて大変すぎる。だから、回線上には一切の生データは流さないとした方がコスト的に有利。
    • by Anonymous Coward

      「物理的に分離してるんだから安全」っていう人は相変わらずいますね。
      FWの問題ではなく、ルーターはもちろん、長大なケーブルのどこかに小細工されたら、それこそ量子暗号でも使わない限り安全は保証できない。
      経路の安全を確保した所で、両端の機器自体に小細工されてたり、更にそれ以前にソーシャルハッキングされてたら全部意味がなくなるし。

      • by Anonymous Coward

        無線LANはセキュリティが甘いという人も一杯いるけど、
        暗号化されてない有線のほうがよっぽど甘いとおもうんだよね。

  • 別の思惑 (スコア:3, 興味深い)

    by Anonymous Coward on 2013年12月13日 7時07分 (#2511241)

    ファイヤウオールなどでgoogleのサービスが使えない、
    企業内専用ルート証明書をつかって、実はgoogleへのSSL通信が覗き見されている
    という事態の解消がしたいように見えんこともない

    まああとは企業内ネットへの接続中はオンラインなのか?という問題もあるね
    Androidはgoogleのとあるサーバにhttps通信ができたらオンラインと判定しているけど
    その他の通信ができるわけではないね

    サーバ→クライアントのpush配信もファイアウオール類でかなりの制限がかかる
    携帯網のようなSMS配信ができる経路と同等のことをしようとすると大変
    Skypeみたいな中継ノードが必要になる

    これらはgoogleのサービス展開にとっては不都合のように見えるのよね。
    ってことで、思惑としては安全かどうかっていうのとは別にあるんじゃねーのと思いました(小並感)。

    • by Anonymous Coward

      >企業内専用ルート証明書をつかって、実はgoogleへのSSL通信が覗き見されている
      >という事態の解消がしたいように見えんこともない

      有償オプション製品「i-FILTER SSL Adapter」- デジタルアーツ株式会社
      http://www.daj.jp/bs/i-filter/option_relation/ssl_adapter/ [www.daj.jp]

      こういう製品ですかね。
      Googleが情報の独占(ジャイアニズムといってもいい)をしたいのであれば、
      確かに不都合かもしれません。

      • by Anonymous Coward

        Squid も今はSSL通信を素通しConnectではなく、一旦解読できるようになっていて、証明書の自動作成もしているようです。
        http://wiki.squid-cache.org/Features/SslBump [squid-cache.org]

        ポート443をHTTPSではなく、「何でも通してくれる魔法の番号」としてしか使用していなかったり、HTTPSでもふつうにスパイウエアのたぐいが配信されてくる世の中になってしまい、こうしたMITM的なことをしなくてはやっていけなくなってしまいました。

        情報は何でもかんでも隠せばよいというわけではなく、SSLに出す情報隠す情報を選べるような仕組みがあったらもっと違った世界になっていたのではと思います。

  • >暗号化されていないアメリカの無料WiFiネットワークのような「ゼロトラストモデル」へ移行する

    これの原文はどこにあるのだろう?

    http://www.scmagazine.com.au/News/367057,googles-plan-to-kill-the-corp... [scmagazine.com.au] ここの
    >It was a model based on zero trust that splashed encryption everywhere and let staff access corporate resources over McDonald's WiFi.
    これかなぁ?誤訳というか....

    内容を理解しないで掲載しないでくださいね。

    • 答えは簡単
      読み直してなどいないんでしょう

      といいつつ、違和感を感じるという表現に違和感を覚えないんでしょうか?なんて

      親コメント
      • by Anonymous Coward

        感じる、覚える、どちらでもよろしい。違和感がある、でもよろしい。

        • by Anonymous Coward

          抱いたり、持ったりもできまっせ。

          # でもなぜか、「残尿感を覚える」っていう言い方には違和感を覚えるんだよね

          • by Anonymous Coward

            たぶん、「覚える」には時間的な始まり(起点)があるけど、残尿感は始まりがあるというよりは終わりがない状態だから(明確な起点はないから)表現としてうまくマッチしないのかな?

      • by Anonymous Coward

        俺に任せろ

  • by Anonymous Coward on 2013年12月13日 13時06分 (#2511412)
    米国政府に漏らしまくってたことを暴露されて、外国企業に逃げられまくってるGoogle様がいってもな
    米国外に住む身としてはおまえんとこが一番信用できんわとしか
  • by Anonymous Coward on 2013年12月13日 7時52分 (#2511249)

    詰まるところ、「俺(google)だけを信じろ」と言ってるようにしか見えないですね。

    「何物も信頼しない。検証することによってのみ正当性を確認する」という前提からのスタートであれば、何よりもまずネットワークにアクセスするために使用するハードウェアとソフトウェアを検証するところからはじめなければいけないわけで、それをするのに必要な情報(設計書、ソースコード)がないと検証ができません。

    googleはAndroidのハードウェアとソフトウェアの全ての情報を開示してくれるんでしょうかね。

    • by Anonymous Coward

      Firewallやゲートキーパーが役に立たないこともあることが、Googleなら信頼できるということに結び付くわけではないですよね。
      というかNSA事件をもってして、Google、というより米企業をどうして信用できるというのでしょう。

      米IT企業がNSAのスパイ活動に今は反対しているからと言っても、その前は協力していたという前科は消えない。
      表向き反対していても、裏では協力していないという保証にもならない。

      というわけで、「企業内のプライベートネットワークだから安全というのは間違い。だが、Googleなどの外国企業が提供するクラウドサービスなどよりは信頼ができるし、企業管理者が手出しできる分、プライベートネットワーク内に収めたほうが安心できる」ってのが正しい。

    • by Anonymous Coward

      >googleはAndroidのハードウェアとソフトウェアの全ての情報を開示して
      してるよね?
      カスタム ROM イメージすら存在するわけだし。

      けどさ、公開されているからといって、あなた一人で全部読む気ないでしょ?それどころか
      「公開されているから問題があるならだれかが見つけるはずだ」というオープンソースの神話も、結局は「だれか」を信頼しているわけで。
      Google, マイクロソフトを信頼するのと本質的に大差ない。オカルト。

      • by Anonymous Coward

        google playアプリはソースコード開示されていないですよ。
        Androidの一部かどうかは微妙だけど。

    • by Anonymous Coward

      外堀さ埋めれば安全です!という話にのって家を潰した人がいまして。

      • by Anonymous Coward

        そりゃ外堀を埋めたらダメだろ

  • by Anonymous Coward on 2013年12月13日 8時30分 (#2511266)

    ×「企業内のプライベートネットワークは安全である」という神話
    ○「企業内のプライベートネットワークであろうとも無条件に信頼すべきでは無い」という提言
    ○「ネットワークの安全性を前提としないモデル」への移行の提言

    もっと良いタイトルがあったら付け加えてください

    • by Anonymous Coward on 2013年12月13日 8時45分 (#2511275)

      最初の人が噛みつくだけ噛みついて訂正もしてないけど、

      >「ネットワークの安全性を前提としないモデル」への移行の提言
      言ってるのはこれだよね。
      暗号化機能をもっとバシバシ使って、マクドナルドのWiFiからでも安全に会社につなげられるようにしようぜ、っていう。

      親コメント
    • by Anonymous Coward

      「みんな、服を着るのをやめよう! みんなで素っ裸になろうぜ!」
      って言ってるようなので、これで。

      タレコミ文の認識ではだけど。

  • by Anonymous Coward on 2013年12月13日 8時45分 (#2511274)

    「現在、多くの人が当てにしている、Google検索や翻訳は役に立ちません。こうしたサービスやツールに頼ることを改善したい」

  • by Anonymous Coward on 2013年12月13日 8時50分 (#2511277)

    障壁は多けりゃそれで役に立つってだけだ
    決めつけんな

    • by nim (10479) on 2013年12月13日 9時52分 (#2511306)

      セキュリティというものをきちんと理解している人ならいいですが、
      世の中そういう人はそれほど多くありません。

      そうすると、「企業内ネットワークで、ファイアウォールiがあるから安全」と思って、
      (つまり、障壁がひとつあることに安心して)他の対策を怠る人が出てきます。
      ええ、そりゃもう、面白いようにでてきますとも。

      ですからいっそ、ネットワークはオープンにして、その上で重要なものを守るモデルに
      転換するほうが「まだまし」だ、という提言は私には非常にしっくりきますね。

      親コメント
      • by Anonymous Coward

        いや、そうしたら「通信は暗号化されているから安全」と思って他の対策を怠る人が出てくるだけでしょう。

        ファイアウォールでは足りないならそれにプラスアルファすればよいだけの話で、役に立っているものを捨てる意味はないと思います。
        その意味で、私にはあまりしっくりきませんでした。

        • by Anonymous Coward

          PCが重いので有名なサイトしか見ないからウィルススキャンアンインストールしてもいいですか?ってつい最近聞いた言葉ですorz

    • by Anonymous Coward
      同感。
      そもそもそんな「神話」がどこにあるのかねぇ。
      • by Anonymous Coward

        いたるところにあるでしょ。
        なにかネットワークサービスを立ち上げようと思ったとき、何の疑いも無くファイアウォール立てるでしょ?
        車輪の再発明は不要とかいって別の手法なんて一切考えないでしょう。

  • by Anonymous Coward on 2013年12月13日 9時00分 (#2511282)

    うちは管理者のパスワードが「kanri」とか「admin」なので
    いつ侵入されてもおかしくないです。
    もう入られてるけどたいしたものがないから放置されてるのかも。

    • by Anonymous Coward

      Googleで使うパスワードも同じになるだけでは?

      「うちの会社の連中はセキュリティを理解してないからGoogleのほうが安全だ」っていう、
      まさにGoogleの思惑通りのコメントをしている人が散見されるけど、
      エンドユーザがセキュリティを理解していなければ、どんなシステムを使ったって侵入されてしまうと思う。

  • by Anonymous Coward on 2013年12月13日 9時25分 (#2511289)

    「企業のネットワークは使用者自身が安全性を担保出来る」
    ってだけなんだが。
    まともに管理されていない前提で語れば、そりゃ危険だろうさ。
    担当者が権限を持ちさえすればGoogleより安全な環境も出来ない訳じゃない。
    それともGoogleは内部の固定機器とデータだけで完結し全く外部接続しないネットワークよりも安全な環境を作れるってのか?

  • by Anonymous Coward on 2013年12月13日 11時15分 (#2511353)

    そもそも、ここでいう安全とは何なのか?

    まずはWireSharkでも入れてトラフィックを覗いてみましょう/(^o^)\

  • by Anonymous Coward on 2013年12月13日 11時34分 (#2511366)
  • by Anonymous Coward on 2013年12月13日 11時50分 (#2511370)

    おまえら壁乗り越えられた後のことも考えろよ、という話では?

    イントラって、ほんとにザルいことが多いので、
    壁乗り越えられたり、内部に悪い人がいたりすると、
    どうしようもないことになってしまいますよ、という警鐘だととったのですが。。。。

  • by Anonymous Coward on 2013年12月13日 12時52分 (#2511401)

    うっかり、画像フォルダに入っていた二次エロ画像をgoogleドライブに上げられちゃって、なんちゃらバイオレーションで
    gmailアカウントもろとも垢削除食らった人がいるくらいだからねぇ。

    googleの判断じゃ、ロリ系AV嬢の画像あたりでも、平気でガスっといくと思う。

    ローカルIP使ってるプライベートネットワーク内PCへの攻撃なんかより、よっぽど怖いわ!!

    • by Anonymous Coward

      犯罪者にされるよりはマシでしょ。

  • セキュリティに金を使う経営者は株主になんて言い訳したらいいんですか?

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...