「企業内のプライベートネットワークは安全である」という神話 47
ストーリー by hylom
セキュリティの危機 部門より
セキュリティの危機 部門より
あるAnonymous Coward 曰く、
Googleが「企業ネットワーク」という考え方を終わらせようとしている、という話が本家slashdotで取り上げられている(Google's Plan To Kill the Corporate Network、元ネタのSCMagazine記事)。
タイトルだけ見るとなにやらよく分からないが、話としては「企業内ネットワークは安全」という考え方はやめよう、ということのようだ。Googleが考えているのは、従来の企業ネットワークの概念を廃止し、暗号化されていないアメリカの無料WiFiネットワークのような「ゼロトラストモデル」へ移行すること。ゼロトラストモデルについてはdarkreading、マイナビニュースの記事が詳しい。
Googleでこのプロジェクトに関わるHarald Wagener氏は、「現在、多くの人が当てにしている、ファイアウォールやゲートキーパーは役に立ちません。こうした周辺機器やツールに頼ることを改善したい」としている。
多層防御 (スコア:4, すばらしい洞察)
という点では役にたってるが、壁を乗り越える人たちもいることを壁の中にいる人は理解していない事が多い。
# 巨人が乗り越えるとかじゃないです
Re:多層防御 (スコア:1)
そもそもGoople社員がネットストーカーをしていたことから機器だけはなく
Goople社員が信頼できないことを理解するべき。
最初にやらないといけないことはこれだよ
1)Goople社員が実データにアクセスできないようにすること。
2)社外の協力会社に実データを渡さない事。
Re: (スコア:0)
Goople社員が信頼できないことを理解するべき。
そんなフィッシング会社員信頼できるわけないw
Re: (スコア:0)
今年乗り越えたのは楽天でしたね
Re: (スコア:0)
壁の中の人たちは大変でしたね、食べられはせずとも値段偽装で財布の中を食い荒らされたようで
Re: (スコア:0)
それとプライベートネットワーク云々以前に、新人女性社員にはあまいという事実w
http://security.srad.jp/story/13/12/10/0355254/ [srad.jp]架空の新人女性職員を使った侵入テスト、成功率100を達成
Re: (スコア:0)
※ 但し、美人かおっぱいが大きい子に限る。
Re: (スコア:0)
ミッションインポッシブルしてくるトムクルーズを、あらゆるデータセンターのあらゆる場所から完全に閉め出すのは難しい。
サーバならまだしも鍵のかかった部屋に詰め込みやすいし、そもそもそこの防御が出来ないと何も話が成り立たないからそこは頑張らざるを得ない。
一方で、回線を完全に封じ込めるのは、範囲が広すぎて大変すぎる。だから、回線上には一切の生データは流さないとした方がコスト的に有利。
Re: (スコア:0)
「物理的に分離してるんだから安全」っていう人は相変わらずいますね。
FWの問題ではなく、ルーターはもちろん、長大なケーブルのどこかに小細工されたら、それこそ量子暗号でも使わない限り安全は保証できない。
経路の安全を確保した所で、両端の機器自体に小細工されてたり、更にそれ以前にソーシャルハッキングされてたら全部意味がなくなるし。
Re: (スコア:0)
無線LANはセキュリティが甘いという人も一杯いるけど、
暗号化されてない有線のほうがよっぽど甘いとおもうんだよね。
別の思惑 (スコア:3, 興味深い)
ファイヤウオールなどでgoogleのサービスが使えない、
企業内専用ルート証明書をつかって、実はgoogleへのSSL通信が覗き見されている
という事態の解消がしたいように見えんこともない
まああとは企業内ネットへの接続中はオンラインなのか?という問題もあるね
Androidはgoogleのとあるサーバにhttps通信ができたらオンラインと判定しているけど
その他の通信ができるわけではないね
サーバ→クライアントのpush配信もファイアウオール類でかなりの制限がかかる
携帯網のようなSMS配信ができる経路と同等のことをしようとすると大変
Skypeみたいな中継ノードが必要になる
これらはgoogleのサービス展開にとっては不都合のように見えるのよね。
ってことで、思惑としては安全かどうかっていうのとは別にあるんじゃねーのと思いました(小並感)。
Re: (スコア:0)
>企業内専用ルート証明書をつかって、実はgoogleへのSSL通信が覗き見されている
>という事態の解消がしたいように見えんこともない
有償オプション製品「i-FILTER SSL Adapter」- デジタルアーツ株式会社
http://www.daj.jp/bs/i-filter/option_relation/ssl_adapter/ [www.daj.jp]
こういう製品ですかね。
Googleが情報の独占(ジャイアニズムといってもいい)をしたいのであれば、
確かに不都合かもしれません。
Re: (スコア:0)
Squid も今はSSL通信を素通しConnectではなく、一旦解読できるようになっていて、証明書の自動作成もしているようです。
http://wiki.squid-cache.org/Features/SslBump [squid-cache.org]
ポート443をHTTPSではなく、「何でも通してくれる魔法の番号」としてしか使用していなかったり、HTTPSでもふつうにスパイウエアのたぐいが配信されてくる世の中になってしまい、こうしたMITM的なことをしなくてはやっていけなくなってしまいました。
情報は何でもかんでも隠せばよいというわけではなく、SSLに出す情報隠す情報を選べるような仕組みがあったらもっと違った世界になっていたのではと思います。
この編集者は、ふつうに読み直して違和感を感じないのかしら? (スコア:1)
>暗号化されていないアメリカの無料WiFiネットワークのような「ゼロトラストモデル」へ移行する
これの原文はどこにあるのだろう?
http://www.scmagazine.com.au/News/367057,googles-plan-to-kill-the-corp... [scmagazine.com.au] ここの
>It was a model based on zero trust that splashed encryption everywhere and let staff access corporate resources over McDonald's WiFi.
これかなぁ?誤訳というか....
内容を理解しないで掲載しないでくださいね。
Re:この編集者は、ふつうに読み直して違和感を感じないのかしら? (スコア:2)
答えは簡単
読み直してなどいないんでしょう
といいつつ、違和感を感じるという表現に違和感を覚えないんでしょうか?なんて
Re: (スコア:0)
感じる、覚える、どちらでもよろしい。違和感がある、でもよろしい。
Re: (スコア:0)
抱いたり、持ったりもできまっせ。
# でもなぜか、「残尿感を覚える」っていう言い方には違和感を覚えるんだよね
Re: (スコア:0)
たぶん、「覚える」には時間的な始まり(起点)があるけど、残尿感は始まりがあるというよりは終わりがない状態だから(明確な起点はないから)表現としてうまくマッチしないのかな?
Re: (スコア:0)
俺に任せろ
本日のおまゆうストーリーか (スコア:1)
米国外に住む身としてはおまえんとこが一番信用できんわとしか
ゼロトラストモデルに必要な検証可能性の担保は? (スコア:0)
詰まるところ、「俺(google)だけを信じろ」と言ってるようにしか見えないですね。
「何物も信頼しない。検証することによってのみ正当性を確認する」という前提からのスタートであれば、何よりもまずネットワークにアクセスするために使用するハードウェアとソフトウェアを検証するところからはじめなければいけないわけで、それをするのに必要な情報(設計書、ソースコード)がないと検証ができません。
googleはAndroidのハードウェアとソフトウェアの全ての情報を開示してくれるんでしょうかね。
Re: (スコア:0)
Firewallやゲートキーパーが役に立たないこともあることが、Googleなら信頼できるということに結び付くわけではないですよね。
というかNSA事件をもってして、Google、というより米企業をどうして信用できるというのでしょう。
米IT企業がNSAのスパイ活動に今は反対しているからと言っても、その前は協力していたという前科は消えない。
表向き反対していても、裏では協力していないという保証にもならない。
というわけで、「企業内のプライベートネットワークだから安全というのは間違い。だが、Googleなどの外国企業が提供するクラウドサービスなどよりは信頼ができるし、企業管理者が手出しできる分、プライベートネットワーク内に収めたほうが安心できる」ってのが正しい。
Re: (スコア:0)
>googleはAndroidのハードウェアとソフトウェアの全ての情報を開示して
してるよね?
カスタム ROM イメージすら存在するわけだし。
けどさ、公開されているからといって、あなた一人で全部読む気ないでしょ?それどころか
「公開されているから問題があるならだれかが見つけるはずだ」というオープンソースの神話も、結局は「だれか」を信頼しているわけで。
Google, マイクロソフトを信頼するのと本質的に大差ない。オカルト。
Re: (スコア:0)
google playアプリはソースコード開示されていないですよ。
Androidの一部かどうかは微妙だけど。
Re: (スコア:0)
外堀さ埋めれば安全です!という話にのって家を潰した人がいまして。
Re: (スコア:0)
そりゃ外堀を埋めたらダメだろ
タイトル (スコア:0)
×「企業内のプライベートネットワークは安全である」という神話
○「企業内のプライベートネットワークであろうとも無条件に信頼すべきでは無い」という提言
○「ネットワークの安全性を前提としないモデル」への移行の提言
もっと良いタイトルがあったら付け加えてください
Re:タイトル (スコア:1)
最初の人が噛みつくだけ噛みついて訂正もしてないけど、
>「ネットワークの安全性を前提としないモデル」への移行の提言
言ってるのはこれだよね。
暗号化機能をもっとバシバシ使って、マクドナルドのWiFiからでも安全に会社につなげられるようにしようぜ、っていう。
Re: (スコア:0)
「みんな、服を着るのをやめよう! みんなで素っ裸になろうぜ!」
って言ってるようなので、これで。
タレコミ文の認識ではだけど。
逆じゃないの? (スコア:1)
>「みんな、服を着るのをやめよう! みんなで素っ裸になろうぜ!」
じゃなくて、家の中でも服は着ておけよ、ってことじゃないの?
屍体メモ [windy.cx]
なんとなくこう読みたくなった (スコア:0)
「現在、多くの人が当てにしている、Google検索や翻訳は役に立ちません。こうしたサービスやツールに頼ることを改善したい」
頼り切ってはねえよ (スコア:0)
障壁は多けりゃそれで役に立つってだけだ
決めつけんな
Re:頼り切ってはねえよ (スコア:1)
セキュリティというものをきちんと理解している人ならいいですが、
世の中そういう人はそれほど多くありません。
そうすると、「企業内ネットワークで、ファイアウォールiがあるから安全」と思って、
(つまり、障壁がひとつあることに安心して)他の対策を怠る人が出てきます。
ええ、そりゃもう、面白いようにでてきますとも。
ですからいっそ、ネットワークはオープンにして、その上で重要なものを守るモデルに
転換するほうが「まだまし」だ、という提言は私には非常にしっくりきますね。
Re: (スコア:0)
いや、そうしたら「通信は暗号化されているから安全」と思って他の対策を怠る人が出てくるだけでしょう。
ファイアウォールでは足りないならそれにプラスアルファすればよいだけの話で、役に立っているものを捨てる意味はないと思います。
その意味で、私にはあまりしっくりきませんでした。
Re: (スコア:0)
PCが重いので有名なサイトしか見ないからウィルススキャンアンインストールしてもいいですか?ってつい最近聞いた言葉ですorz
Re: (スコア:0)
そもそもそんな「神話」がどこにあるのかねぇ。
Re: (スコア:0)
いたるところにあるでしょ。
なにかネットワークサービスを立ち上げようと思ったとき、何の疑いも無くファイアウォール立てるでしょ?
車輪の再発明は不要とかいって別の手法なんて一切考えないでしょう。
Googleの方が企業のネットワークより安全 (スコア:0)
うちは管理者のパスワードが「kanri」とか「admin」なので
いつ侵入されてもおかしくないです。
もう入られてるけどたいしたものがないから放置されてるのかも。
Re: (スコア:0)
Googleで使うパスワードも同じになるだけでは?
「うちの会社の連中はセキュリティを理解してないからGoogleのほうが安全だ」っていう、
まさにGoogleの思惑通りのコメントをしている人が散見されるけど、
エンドユーザがセキュリティを理解していなければ、どんなシステムを使ったって侵入されてしまうと思う。
オープンソースと一緒で (スコア:0)
「企業のネットワークは使用者自身が安全性を担保出来る」
ってだけなんだが。
まともに管理されていない前提で語れば、そりゃ危険だろうさ。
担当者が権限を持ちさえすればGoogleより安全な環境も出来ない訳じゃない。
それともGoogleは内部の固定機器とデータだけで完結し全く外部接続しないネットワークよりも安全な環境を作れるってのか?
そもそも (スコア:0)
そもそも、ここでいう安全とは何なのか?
まずはWireSharkでも入れてトラフィックを覗いてみましょう/(^o^)\
これを思い出した (スコア:0)
社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました [serverworks.co.jp]
単純に (スコア:0)
おまえら壁乗り越えられた後のことも考えろよ、という話では?
イントラって、ほんとにザルいことが多いので、
壁乗り越えられたり、内部に悪い人がいたりすると、
どうしようもないことになってしまいますよ、という警鐘だととったのですが。。。。
googleマジ危険だって! (スコア:0)
うっかり、画像フォルダに入っていた二次エロ画像をgoogleドライブに上げられちゃって、なんちゃらバイオレーションで
gmailアカウントもろとも垢削除食らった人がいるくらいだからねぇ。
googleの判断じゃ、ロリ系AV嬢の画像あたりでも、平気でガスっといくと思う。
ローカルIP使ってるプライベートネットワーク内PCへの攻撃なんかより、よっぽど怖いわ!!
Re: (スコア:0)
犯罪者にされるよりはマシでしょ。
日本では法律でサイバーノーガード戦法以外は認められていません (スコア:0)
セキュリティに金を使う経営者は株主になんて言い訳したらいいんですか?