オルタナティブ・ブログ > Mostly Harmless >

IT技術についてのトレンドや、ベンダーの戦略についての考察などを書いていきます。

GoogleはVPNを使わない ~変るセキュリティの常識に日本企業はついて行っているか?

»

新型コロナウイルスの影響で企業は急速に在宅勤務推奨へ動いていますが、在宅勤務といえばリモートアクセス、リモートアクセスといえばVPNですね。ところが、そういった「常識」はもはや通用しないようです。

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから

ここでのキーワードは「ゼロトラスト」です。これまでのセキュリティは、「社内」と「社外」を分け、その間にファイアウォールなどのセキュリティ機器を置いて「外からの悪いもの」を中に入れない、という対策でした。境界型セキュリティです。

ところが、そうした防壁を掻い潜って侵入してくるマルウェアが増加し、アンチウイルスなどの対策も追いつかないほどの物量になったり、ノートPCやスマホなどのモバイルデバイスが普及したりするなど、そもそも社内と社外の区別が無くなってきました。以前は社内にあったサーバーも今はクラウドに置いてあったりしますし、社外から社外へ、等といったことも普通になっています。

そこで、ゼロトラストという考え方が浮上しました。「ネットでは何も信じない」=ゼロトラストを前提にして、セキュリティを構築しようとする考え方です。具体的には、厳密なユーザー認証とユーザー毎のきめ細かいアクセス制御の組み合わせでセキュリティを担保します。

computer_virus_security_hole.pngID+パスワードは脆弱

さて、VPNはというと、境界型セキュリティの内側に入り込むための「穴」です。穴に入るためには、IDとパスワードで認証をするわけですが、これらはマルウェアや不正侵入によって狙われており、かなり危険であることがだいぶ前から知られています。これを強化するために2段階認証や2要素認証などの導入が叫ばれていますが、なかなか普及していないのが現状です。

そして大問題なのは、IDとパスワードが漏れ、なんらかの方法で社内に入り込まれてしまうと、その先の悪意のある行動を止めることが難しいことです。

ゼロトラストでは、IDとパスワードに加え、ハードウェア認証や生体認証などを組み合わせて本人であるかどうかを確認した上で、重要データなどへのアクセスを特定のユーザーのみに限定し、必要に応じてさらなる認証を行うなど、そのユーザーがアクセスできるアプリケーションやデータを厳密に制御します。さらに、時間帯やアクセスしてきている地域なども加味して、「この時間に海外からアクセスしてくるのはおかしい」など、不審な行動を監視します。

ただ、ゼロトラストネットワークという言葉を知っている方でも、それが「VPNの廃止」に繋がるということに想像がおよぶ人は少ないのではないでしょうか。日本人などは特に「せっかくVPNがあるのだから、ゼロトラストとVPNを併用すれば良いではないか」と思ってしまいがちですが、いらないものを残しておくのはコスト的にも処理能力的にも管理負荷的にもよくありません。既存のシステムをどんどん見直してスリム化していこうという米企業の姿勢は大したものだと言えます。

調べてみたら、CDN大手のAkamaiも同じ事を言っています。

VPN の廃止による 4 つのメリット | Akamai

この中で、VPNは「多くの人が毎日オフィスで働いていた頃に導入されたもの」であるとし、

今日、20 年前に機能していたものを信頼することは到底できない

と書いています。

日本企業の状況は?

さて、中田さんの記事では冒頭に

大勢が使い始めたので速度が落ちた

という話が紹介されていますが、それどころではない会社もあるようです。ネットコマースの斎藤さんのブログですが、

「在宅勤務になったのですが、社員が一斉に社外からVPNセッションを張ろうとするので、何時間たってもつながりません。VDIなので、つながらなければ仕事にもならず、VPNを使わなくていいオフィスに出社して仕事をしています。VPNは、もともと出張者用に用意されていたので、多数の社員が一斉に使うなんて、想定されていませんでしたからね。」

というエピソードが紹介されています。さらに問題なのは、これが「大手SI事業者」さんの話だということ! コンピュータシステムを一般企業に販売する側がこの状況では、一般企業の状況は推して知るべし、というところでしょうか。

PPAPという謎の習慣

PPAPをご存じでしょうか? ピコ太郎ではありません。『「P」asswordつきzip暗号化ファイルを送ってから「P」asswordを送る「A」ん号化(暗号化)「P」rotocol』のことです。

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」

これ、導入している会社は多いのではないでしょうか。私のお付き合いのあるIT企業でも結構やっているところはあります。

しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。

導入した頃は効果があると「思った」のかも知れませんが、ゼロトラストに限らず、常識というものは変っていくものです。常に常識を疑い、よりよいソリューションを求めるという姿勢が大事なのでしょうが、日本はお役所に限らず、一度始めたことを止めるのは難しいのかも知れません。

 

「?」をそのままにしておかないために

figure_question.png時代の変化は速く、特にITの分野での技術革新、環境変化は激しく、時代のトレンドに取り残されることは企業にとって大きなリスクとなります。しかし、一歩引いて様々な技術革新を見ていくと、「まったく未知の技術」など、そうそうありません。ほとんどの技術は過去の技術の延長線上にあり、異分野の技術と組み合わせることで新しい技術となっていることが多いのです。

アプライド・マーケティングでは、ITの技術トレンドを技術間の関係性と歴史の視点から俯瞰し、技術の本質を理解し、これからのトレンドを予測するためのセミナーや勉強会を開催しています。是非、お気軽にお問い合わせ下さい。

「講演依頼.com」の「2018年上半期 講演依頼ランキング」で、3位にランクされました!

Comment(0)