インターネットの通信に不可欠、IPアドレスの正体

インターネットの通信に不可欠、IPアドレスの正体
安藤 正芳 日経クロステック/日経NETWORK
https://xtech.nikkei.com/atcl/nxt/column/18/01413/090100001/

『インターネットに接続するにはIPアドレスが必要だ。パソコンやスマートフォンなどインターネットに接続する機器には必ずIPアドレスが割り当てられている。一体、IPアドレスとは何なのか。ここで疑問を解決しよう。

Q1 IPアドレスって何?
A1 インターネット上の住所に相当する情報です
 誰かに荷物を届ける場合には、相手の住所を指定しなければならない。「東京都港区虎ノ門」といった宛先の住所を指定して、初めて荷物が相手に届けられる。

 これはインターネットの世界でも同じである。誰かとデータをやりとりするには、相手を特定するための情報が必要だ。そのための情報が「IPアドレス」である。IPアドレスはインターネット上の住所に相当する。

 企業ネットワークなどのLANに接続したパソコンを使ってWebサーバーにアクセスしたとしよう。このときパソコンはWebサーバーに向けてIPパケットを送信する。IPパケットには宛先のWebサーバーのIPアドレスが含まれている。

IPアドレスで転送先を決める
[画像のクリックで拡大表示]

 インターネット上のルーターは宛先のIPアドレスを見てIPパケットを転送する。このようにIPアドレスというインターネット上の住所があるので、パソコンとWebサーバーは正しく通信できる。

 スマートフォンやネットワーク家電、IoT機器といったインターネットに接続する機器には、必ずIPアドレスが割り当てられている。ただしルーターには機器単位ではなく、ポートごとにIPアドレスが割り当てられる。ルーターはIPパケットを送り出すポートをIPアドレスで指定する。

IPアドレスは32桁のビット列
 続いて、IPアドレスの表記方法を見ていこう。IPアドレスは「1」または「0」が並んだ32ビットのビット列である。通常は8ビットごとに区切って表記する。

32桁の2進数を10進数に変換して表記
[画像のクリックで拡大表示]

 ただし2進数で表記すると人間には分かりづらい。そこで、8ビットずつを10進数に置き換えて表記するのが一般的だ。数字の間は「.(ピリオド)」を入れて区切る。「11000000101010000000000101100100」というIPアドレスなら「192.168.1.100」と表記する。

現行のIPは2種類
 現在一般に使われているIPには1978年に制定された「IPv4」と1995年に制定された「IPv6」の2種類があり、それぞれでIPアドレスの体系が異なる。

IPv4アドレスとIPv6アドレスの違い

[画像のクリックで拡大表示]
 両者の違いはIPアドレスの長さだ。前述の32ビットはIPv4アドレスである。一方、IPv6アドレスは128ビットだ。IPv4と同様、人間に分かりやすいように2進数を16進数に変換して表記することが多い。

 ビット数ではIPv6アドレスはIPv4アドレスの4倍だが、アドレスの数では2の96乗倍になる。IPv6アドレスが2の128乗(約340澗)個であるのに対して、IPv4アドレスは2の32乗(約43億)個だ。

 このようにIPv6アドレスの数を多くしたのはIPv4アドレスの数が足りなくなってしまったからだ。IPv4アドレスの枯渇により、今後IPv6アドレスの普及は進むだろう。

 とはいえ、現状ではIPv4が主流だ。基礎を学ぶのにもIPv4アドレスのほうが分かりやすいので適している。そこで本特集では主にIPv4アドレスについて解説する。

ネットワーク部とホスト部で構成
 IPアドレスは2階層になっている。前方がネットワークを指定する情報(ネットワーク部)、後方がそのネットワークにある機器を指定する情報(ホスト部)だ。

IPアドレスの構造
[画像のクリックで拡大表示]

 またネットワーク部以外を「0」にしたIPアドレスはネットワークアドレス、ホスト部も含めたIPアドレスはホストアドレスと呼ぶ。前者はネットワーク、後者はホストに割り当てられる。

 そしてネットワーク部の長さを表すのがサブネットマスクである。IPアドレスと同じく32ビットのビット列で「1」の部分がネットワーク部、「0」の部分がホスト部を指す。ちなみにサブネットマスクも人間が分かりやすいように「255.255.255.0」といった10進数で表記することが多い。

 IPアドレスの後ろに「/24」とネットワーク部の長さを付記するCIDR表記もある。サブネットマスクを使うよりも簡潔だ。そのため現在ではCIDR表記を採用するのが一般的である。』

テレワーク、VPN暗証番号流出 国内38社に不正接続

https://www.nikkei.com/article/DGXMZO62994110U0A820C2MM8000/

『日立化成や住友林業など国内の38社が不正アクセスを受け、テレワークに欠かせない社外接続の暗証番号が流出した恐れがあることが分かった。第三者が機密情報を抜き取ったり、ウイルスをばらまいたりする2次被害が予想される。事態を重く見た内閣サイバーセキュリティセンター(NISC)も調査に乗り出しており、企業は対策が急務となっている。

【関連記事】
VPN脆弱性、修正遅れ突く 「ゼロトラスト」不可欠
ウェブ会議「私だけ遅い」 社内の怪奇現象の正体

新型コロナウイルスの流行で、日本企業の大半が本社と社員の自宅をつなぐテレワーク対応を迫られている。今回流出が判明した中には、こうした在宅勤務を推進する企業も多く含まれている。ソフトや機器の更新を怠っていたとみられる例も散見され、リモート時代の情報リスクが改めて浮き彫りになった形だ。

漏洩したのは、VPN(仮想私設網)と呼ばれる接続サービスの利用情報だ。VPNは通信データを暗号化し、社外から業務システムに接続する際などに使う。実際の専用線を敷設するより導入コストが安いため、多くの企業が社員の在宅勤務などに役立てている。

NISCによると、8月中旬に犯罪サイト上で、世界900社超のVPN情報がやり取りされていることを確認。詳細を調べたところ、このうち38社は日本企業だったことが分かった。

日本経済新聞が入手した被害企業リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨーの名前が挙がっている。医薬品製造の全薬工業、エネルギー関連の岩谷産業、電力機器のダイヘン、自動車総連も含まれていた。

ロシア語を使うハッカーが各社に不正アクセスして情報を入手したとみられる。VPNを使う際のユーザー名やパスワード、ネット上の住所を示すIPアドレスが流通していた可能性がある。

悪意ある第三者に情報が渡れば、VPNを伝って各社の基幹システムへの侵入が可能となる。各社は「社員情報の流出などの被害は確認していない」(住友林業)と口をそろえる。だが特別な対策を取らないと、社員を装って社内情報を盗み見したり、内部からサイバー攻撃を仕掛けたりできる状態だという。

今回情報が流出した企業は、米専門企業パルスセキュアのVPNサービスを使っていた。パルスセキュアは世界で2万社以上の顧客を持つ業界大手だが、同社のVPNを巡っては2019年4月に自ら脆弱性についての情報を公表。修正プログラムも公開していた。

日本でも民間団体JPCERTコーディネーションセンターが注意を喚起していた。しかし必要な対策を取っていない企業が多く残っており、情報漏洩の危険性が問題視されていた。一部企業は安全性に問題があるままVPNを使い続けていたもようで、ハッカーはこの弱点を突いて情報を盗み取ったとみられる。

今後は38社を「踏み台」にして各社の取引先などへ不正アクセスを試みる動きも予想される。サイバーセキュリティー会社サイファーマ(東京・千代田)の山田正弘氏は「IDや暗証番号だけでなく、2要素認証などを導入し、監視を強化することが重要だ」と話す。

被害企業の多くは「当該装置は停止した」(日立化成)「必要な対応を取った」(全薬工業)とする。社員ごとにアクセス制限を設けるなど追加対策も欠かせない。

新型コロナの感染拡大を受け、企業はテレワークの体制拡充を急いでいる。NISCは緊急事態宣言が発令された4月以降、企業の安全対策の遅れが目立つと指摘。「混乱に乗じたサイバー攻撃の兆候がみられる」と警鐘を鳴らしていた。』

脆弱性、修正遅れ突く 「ゼロトラスト」不可欠
https://www.nikkei.com/article/DGXMZO62998890U0A820C2EA1000/

建設業界に近づくドコモを直撃

建設業界に近づくドコモを直撃、現場は5Gとクラウドの使い道が多い宝島か
川又 英紀 日経クロステック/日経アーキテクチュア
https://xtech.nikkei.com/atcl/nxt/column/18/00933/081800049/ 

※ いよいよ5Gが、実用化されてきたか…。あのイラストにあった、「絵に描いた餅」「夢のような話し」は、現実化して行くことになるのか…。その片鱗は、見えて来た感じだな…。

『現場における人の生産性向上に主眼を置いたデジタル変革を、両社で一緒に進めるのもユニークだ。デジタル技術を活用した「デジタル朝礼」「デジタルKY(危険予知)」「工程進捗共有」「AI(人工知能)エージェント」「マストタスク管理」「パーソナル(健康)管理」などに、20年度内に順次着手する。

関連記事:ドコモと竹中工務店が建設DXで協業、デジタル朝礼やマストタスク管理を現場導入へ

 ここ2カ月ほどのドコモの活発な動きには、布石があった。6月30日、ドコモは同社のネットワークと接続したクラウド上の設備を使えるサービス「ドコモオープンイノベーションクラウド」のオプション群を発表。端末とクラウド設備を結び、5G(第5世代移動通信システム)による低遅延で安全性が高い通信を提供する「クラウドダイレクト」を東京都、大阪府、神奈川県、大分県で開始した。

 クラウドダイレクトの中身を見てみると、建設業界をターゲットにしたものが多く含まれることが分かる。AR(拡張現実)対応のスマートグラスやVR(仮想現実)ゴーグルを用いた現場作業の支援、建築物の点群データ利用、MR(複合現実)を使った建築鉄骨の検査などである。

「クラウドダイレクト」で提供する主なサービス。建設業界向けのソリューションを多く取りそろえた(資料:NTTドコモ、6月30日時点)
[画像のクリックで拡大表示]
ARスマートグラスを使い、遠隔から現場担当者をサポートするソリューション「AceReal for docomo」。パートナー企業であるサン電子と共同で提供する(資料:NTTドコモ)

[画像のクリックで拡大表示]
関連記事:5GとARスマートグラスを活用した遠隔作業支援ソリューション
 これらのサービスはいずれも、先述したドコモオープンイノベーションクラウドの基盤上で提供する。

「ドコモオープンイノベーションクラウド」の全体像(資料:NTTドコモ)
[画像のクリックで拡大表示]

 ドコモは8月4日に、XR(VRやAR、MRの総称)を使ったサービスの企画・開発をする新会社「複合現実製作所(東京・港)」も設立している。この会社はパートナー企業である宮村鉄工(高知県香美市)と共同開発している、XRを利用した建築鉄骨業向けの作業支援ソリューション「L’OCZHIT(ロクジット)」の提供を最初に手掛ける。そしてドコモオープンイノベーションクラウドとの連携を視野に入れているという。

XRを使った鉄骨の生産管理や検査をするサービス「L’OCZHIT」の利用場面(資料:NTTドコモ)
[画像のクリックで拡大表示]

 建設業界向けサービスのリリースが続く中、私が一番気になったのは点群データの活用サービス「Field Simulator(フィールドシミュレーター)」である。最近、点群の取材が多かった私にとって、通信会社のドコモが点群ビジネスに乗り出したのは少々意外だった。

関連記事:点群で建築の進捗と出来形を管理、竹中工務店が探る「原寸」データの使い道と人材像
関連記事:マンション改修前に「裸」を3Dスキャン、点群モデルと40年前の手書き図を重ねた

ドコモは6月末から、点群データ活用ソリューション「Field Simulator」の提供を開始した(資料:NTTドコモ)
[画像のクリックで拡大表示]

ドコモが点群ビジネスに乗り出した真の理由
 「なぜドコモが点群サービスを扱うのか?」

 それを確かめるため、私はドコモでField Simulatorを担当する5G・IoTビジネス部ソーシャルイノベーション推進・先進ソリューション第一担当主査の菅野崇亮氏に会いに行った。

 Field Simulatorは点群データの取得から、3次元モデルの生成、そして活用まで、トータルで支援するのが最大の特徴である。点群ビジネスで実績があるエリジオン(浜松市)と組み、同社の点群処理ソフト「InfiPoints(インフィポインツ)」とドコモオープンイノベーションクラウドを組み合わせて、一気通貫のサービスを提供する。InfiPointsは国内で利用実績が多いソフトだ。

点群データ活用のトータルサービス「Field Simulator」の利用場面例(資料:NTTドコモ)
[画像のクリックで拡大表示]
 ドコモは主にクラウド設備を提供するわけだが、菅野氏によれば、「当社のクラウドと5Gの使い道を探るため、様々なクライアントにヒアリングをする中で、点群活用の話題が出てきたことに着目した」と明かす。そして法人向け5G適用サービスの先行案件の1つに選んだ。

 点群データは3Dレーザースキャナーなどを使って、空間全体を点の集合体として計測し、描写するものだ。1つの点には3次元座標と色の情報が含まれ、それを数万件、数億件と取得して空間を把握する。これからは新規物件の開発よりも改修・解体プロジェクトが増えていくのは確実なので、既存の建物の正確な計測や解体前のデータ保存に点群は欠かせなくなる。

 そんな点群はまさに、ビッグデータの塊だ。3Dレーザースキャナーでデータを取得したはいいが、それらを合成して立体モデルを作成するには、データ量が膨大なのでハイスペックなコンピューターが必要になる。点群データをネットワークで送信するときは、相当太い回線が必要だ。

 ここにドコモは目を付けた。現場で取得した点群データは3Dレーザースキャナーの機器内に保存するのではなく、5G回線で随時ドコモのクラウドに送ってもらう。大容量データの通信が求められる現場の1つが、点群の利用シーンだったわけだ。

 クラウド側には、InfiPointsが持つ点群の処理機能を用意する。ドコモのクラウド上で点群データを合成できれば、現場に点群データを処理するためのハイエンドパソコンを用意する必要がなくなる。

 もっとも、ドコモの想定通りに、建設会社などが点群サービスを利用したがるかはまだ分からない。Field Simulatorは6月30日にサービスの提供を開始したばかりで、8月中旬時点で正式契約に至った商談はまだない。

 それでも私にとって興味深かったのは、「現場で点群データを取得する作業を代行してほしいという依頼が複数寄せられた」(菅野氏)ということだ。3Dレーザースキャナーは高価なうえ、点群データの取得にはかなりのノウハウが要る。現場を回って漏れなくデータを集めるのは手間もかかる。そこでトータルサービスを提供するドコモに「データ取得作業をまずお願いしたい」というニーズが顕在化した。点群データの合成以前のフェーズにこそ、ビジネスチャンスがありそうだ。

 データ取得代行は、ドコモにとって決してもうかる商売ではないだろう。それでも、点群に関心を示す企業のデータ取得をサポートできれば、「入り口」を押さえられる。後工程である点群データの合成や活用につなげられる可能性が高まる。クラウドや5Gを有効活用できる場面が増えてくるはずである。

 しかも点群データだけでなく、図面データも大容量なことが多く、5Gは建設現場の仕事に親和性が高いといえる。完成した建物全体のセンシングデータをリアルタイムで収集するのにも向く。ドコモに限らず、通信会社と建設会社の関わりは今まで以上に密接になるのは間違いない。点群サービスは顧客開拓の「きっかけの1つ」と見ておくのがいいのかもしれない。』

アナログとデジタルの違いはなに?

■2012年 千代田区立九段中等教育学校(※ 中学生向けの話しだぜ…。ヤレヤレだ…。)
https://ameblo.jp/tekisei-kensa/entry-12163893062.html
『さおりさんは,現在の通信手段の1つであるファクシミリの仕組みについて,くわしく知りたいと思いました。先生に質問をすると,次のように教えてくれました。

〔先生〕ファクシミリは,紙の内容を電気信号にして情報を送る機械です。次の手順で情報を送ります。』

米グーグルはテレワークでVPNを使わない

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

※ コロナのお陰もあって、テレワークやリモート・ワークが進行していくと、もはや「境界防御」という考え方が、成立しなくなった…。

※ これまでは、「安全な接続体制」を「一元的」「中央管理的」に構築しておいて、そこの「境界で」不正な接続を防御する…、という思想だった…。

※ VPNも、その思想の延長線上にあり、「安全な接続体制の内部」に進入することを、「許可する」ための仕組みだった、と評価できる…。

※ しかし、それではもはや、間に合わなくなった…。というのは、「端末」自体もワーカーが「買い換える」ということや、「複数台保有する」ということが普通の状況になった…。また、接続して来る「場所」も、常に「自宅」からとは、限らない…。近所の「カフェ」かもしれないし、自宅の近所に借りた「ワーク・スペース」かもしれない…。そういう多種・多様な「接続形態」に対応することが、迫られるようになった…。

※ さらには、Emotet(エモテット)みたいな「マルウェア・プラットフォーム」と呼ぶべき「攻撃形態」も出現し、一旦「信頼できる接続」として「内部への進入を許した」が最後、「情報を根こそぎ持っていかれる」というようなものも出現した…。もはや、「内部からの接続」自体、「信頼できるもの」じゃ無い可能性があるんだ…。

※ そこで、発想を転換して、「全ては、信頼できないネットワークである、という前提で」、セキュリティ対策を考えるようになった…。それが、「ゼロトラスト」というものらしい…。

※ 実際には、「認証の発行の山」と、「認証サーバ」の設置で実行するようだ…。「認証ID」は、一回発行したら、ずっとそのまま…、というわけにいかない…。定期的に、その都度「認証ID」を発行し、「認証サーバ」と連携させて、一回一回、認証して行くわけだな…。

※ 実際、ネットバンキングなんか使うと、その都度端末に(オレは、まだガラケー…)、「ワンタイムパスワード」なるものが送信されて来る…。そういうものを、入力したりして「認証」するわけだな…。いわゆる、「二段階認証」というものか…。

『新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。』
『米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「GSuite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。

 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。

脱VPNの背景に「ゼロトラスト」
 グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。

関連記事:全てを疑うセキュリティー対策「ゼロトラスト」が9年たって注目される理由
 一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。

 しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。

 ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。

端末やユーザーによってアクセス制御
 社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。

 例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。

端末の認証にはハードウエア的な手法とソフトウエア的な手法の両方を使っている。グーグルは「Titan」という端末認証用のセキュリティーチップを自社で開発しているほどだ。パソコンやスマートフォン、タブレットといった端末の種類や、「OSのセキュリティーパッチの適用状況」といった端末の状態も細かくチェックする。

クラウドのサービスとしても提供
 グーグルは2017年から、自社が「脱VPN」をなし遂げるために開発したソフトウエアなどをクラウドのサービスとしても提供している。アプリケーションへのアクセス制御に使うプロキシーである「Cloud Identity-Aware Proxy(Cloud IAP)」や、アクセス制御の詳細を管理する「Cloud Identity and Access Management(IAM)」などで、同社は端末やユーザーの属性、状態などに基づくアクセス制御のソリューションを「コンテキストアウェア アクセス」と呼んでいる。

 またグーグルは2019年から、SIEM(セキュリティー情報イベント管理)のクラウドサービスも始めている。セキュリティー関連のログデータを容量無制限で保管し、グーグルの検索技術を使って瞬時に危険な情報を検出できるのを特徴とする。当初は独立した子会社であるクロニクル(Chronicle)を通じて販売していたが、クロニクルは2019年にGoogle Cloudに合流している。

関連記事:容量無制限とセキュリティーログの検索性で差異化、グーグルのSIEM
 こうしたクラウドサービスの提供によって、一般企業であってもグーグル並みのアクセス制御やセキュリティー管理ができるお膳立てはされている。しかしユーザー企業が「脱VPN」を果たす上で最も難しいのは、社内アプリケーションのゼロトラスト対応といった移行作業だろう。グーグルもゼロトラスト・ネットワークを構築するのに8年の時間を要したと述べている。

 サイバー攻撃の高度化によってゼロトラスト・ネットワークの考え方が必須になった中、安全な社内ネットワークの存在が前提になっているVPNが時代遅れになったのは間違い無い。またリモートワークの生産性向上のためにも脱VPNが望ましい。ユーザー企業にとってはアプリケーションの改修も含めた、難しい対応が迫られていると言えそうだ。』

VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
https://www.itmedia.co.jp/business/articles/2008/10/news007.html 

『テレワークで顕在化した、境界防御の限界
 これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威がうようよしていて危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方に立脚してきた。

 パソコンやサーバ、業務アプリケーションがLAN内にあり、ゲートウェイを介してインターネットにアクセスすることが前提──といった、インターネット普及期から2000年代後半までのITシステムならば、それがコストパフォーマンスもいいし、セキュリティポリシーやガバナンスを適用させる一番いい方法だった。そして、どうしてもリモートからアクセスする必要がある場合にはVPNという技術を使って、自宅やリモート拠点などを実質的に「内部」と化すことで、同様のセキュリティを担保してきた。

 しかし、クラウドサービスやモバイルデバイスの普及といったここ十年の環境の変化が、境界型セキュリティの限界を徐々に明らかにさせてきた。

 従業員はもはや社内オフィスにいるとは限らない。重要なデータやアプリケーションも、オンプレミス環境に残っているものももちろんあるが、SaaS、IaaSなどさまざまな形でクラウドへの移行を進める企業が増えている。

 こうして境界があいまいになるにつれ、この数年、多くの人がこれまでのセキュリティ対策の在り方、境界型セキュリティの限界をうっすらと感じてきたのではないだろうか。その問題がいよいよ、新型コロナ対策として広がったテレワークにより多くの従業員が境界の外から業務をするようになって、とうとう顕在化したといえる。

 これまでのアーキテクチャでテレワークをする場合、従業員からの通信はVPNを利用していったん内部に集約される。しかし働き方改革の一環とか、管理者のメンテナンスという観点でごく一部が利用するのとは異なり、数百人、数千人という桁違いの利用者がVPNを利用した結果、帯域や機器の負荷が増大してパフォーマンスが低下し、「これでは使えない」と文句が出たり、時間を区切ってローテーションで利用したりするケースもあるという。

 特に顕著な影響が出ているのは、いったん企業のVPNゲートウェイを経由してクラウドサービスを利用する場合だろう。自宅からダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっている。

 既存の対策の限界をあぶり出した要因はもう1つある。サイバー攻撃の高度化だ。攻撃者は、被害者をだましてメールの添付ファイルやWebサイトをクリックさせたり、RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で“弱いパスワード”が設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で信頼されている内部に侵入する。

 こうして一度内部に忍び込んで足掛かりを築いてしまえば、後は攻撃者のやりたい放題だ。信頼されているのだから、共有ファイルサーバやディレクトリサーバへのアクセスも可能になるが、境界型防御では、入り込まれた後のこうした振る舞いには手が出ない。

 このように、IT環境の変化とサイバー攻撃の高度化という2つの理由で徐々に明らかになっていた境界型セキュリティの限界が、新型コロナウイルスの到来に伴い、半ば強制的に突きつけられた状態だ。そして、これに代わるアプローチとして浮上している考え方がゼロトラストセキュリティだ。』
『内側も外側と等しく「常に信頼しない」
 ゼロトラストセキュリティとは、米国の調査会社フォレスター・リサーチのアナリストが提唱した考え方だ。内部に潜む脅威を前提に、またクラウドやモバイルなど外部にあるリソースの活用を念頭に置き「あらゆるものを信頼できない」という前提で、常に確認しながら扱おうという姿勢だ。

 ゼロトラストの考え方では、社員であろうと、一度認証を済ませたデバイスであろうと、内部ネットワークにあるリソースであろうと無条件では信頼しない。IDベースで認証を行い、機器のセキュリティ状態のチェックなどを継続的に行って常に状況を確認し、適切かつ必要最小限のリソースへのアクセスのみを許可するというアプローチだ。

  また、一度信頼できると判断した相手でも、5分後には信頼できない状態になっているかもしれない、という前提に立ち、継続的にチェックを行うこともゼロトラストのポイントだ。いつ、何が行われたかのログを収集して振る舞いや疑わしい動きなどを確認し、必要なアップデートなどが適用されているかもチェックする。

 ゼロトラストセキュリティを構成する要素を具体的に挙げてみると、

認証、認可、アクセス制御の仕組み
(境界に設置していた多層防御を補う)エンドポイントセキュリティの強化と検知・対処の仕組み
(境界に設置していたネットワークセキュリティを補う)クラウドベースのプロキシ、ファイアウォールなど
これらのログを統合管理する仕組み
 ──などが挙げられる。すでに何らかの形で導入済みの機能もあるだろうが、ゼロトラストセキュリティのポイントは、こうした機能をクラウド基盤で提供することで、オンプレミス環境では実現が難しかった拡張性、可用性を備えた形で、内と外との区別なくセキュリティ対策を実現することだ。

Googleの「BeyondCorp リモート アクセス」の例。ゼロトラストの考えに基づいたもので、VPNを使わなくても社内向けアプリにアクセスできる=Google Cloudのブログより
 考えてみれば、これまでの境界型セキュリティは、外部に対するゼロトラストを前提に、外部からのリクエストやアクセス、リソースは「信頼できないもの」として扱い、相手を確認(認証)したり、内容をチェックしたりしていた。ゼロトラストセキュリティではこれらを内部にも広げ、相手が何であろうと誰であろうと、同等のチェックを行うものといえるだろう。LANや企業内ネットワークという考え方を先にするのではなく、クラウドやインターネットという概念を第一に考えると、自ずとこうした考え方に行き着くのかもしれない。

 こうした合理的な考え方に基づき、海外ではGoogleやMicrosoftといったIT大手がゼロトラストセキュリティのアプローチを採用し、従業員が社内にいようと社外にいようと、またどんなデバイスを使っていても、セキュリティを担保する仕組みに移行してきた。この流れは日本国内でも徐々に広がっており、LIXILなどが“脱VPN”を進めている。

 ただ、ゼロトラストのアプローチを検討するには、いくつか留意すべきポイントがあるように思う。

まずは、ITアーキテクチャの整理やクラウド移行、テレワーク導入といったITの全体像を見据えながら検討することだ。「これからはゼロトラストだ」と張り切ってポイントソリューションを導入しても、境界型防御との整合性がとれなかったり、対策が抜け落ちた範囲が生じたりと、ちぐはぐな状態になる恐れがある。そうすると、これまでのセキュリティの歴史を繰り返すかのように、単なるバズワードで終わってしまうかもしれない。全体像を把握し、「このアクセスはどうやって保護するのか」「このユーザーはどういう状態にあるのか」を検討することが重要だ。

 また、何か1つソリューションを導入したらゼロトラストが実現できるかというと、そういうわけではない。これもセキュリティ製品の歴史でたびたび繰り返されてきたことだが、「これを買えばゼロトラスト」という宣伝があれば、むしろ疑いの目で見たほうがいい。

 もう1つ、文化や考え方を変えるには時間がかかる。境界型セキュリティは、戸口をしっかり閉めて泥棒が入り込まないようにするという、人間にとって直感的に分かりやすいイメージで捉えることができた。これに対し、ゼロトラストの考え方はちょっと抽象的だ。場所を問わないという意味で、自社の文化や働き方、労務規定などともすりあわせながら進めていく必要がある。

 予算や運用といった現実を考えても、段階を踏んで、できるところからゼロトラストを導入していくことがベターだろう。ただ、そうした移行期間こそ、捨て去るつもりで無防備な状態になった資産が実は生きていたり、境界防御で守る領域とゼロトラストベースで守る領域とでセキュリティギャップが生まれたり、試験的に動かし始めた環境が思った以上に多くのリソースにアクセスできる状態になっていたり──と、攻撃者にとっては狙い目になる恐れもある。あれもこれもとさまざまなタスクがある中では大変なのは重々承知だが、だからこそ常に慎重に、確認しながら取り組むのがいいだろう。』

チリ―豪の光海底ケーブル、日本案採用 脱・中国依存へ

https://www.nikkei.com/article/DGXMZO62014440Y0A720C2MM8000/

『南米とアジア・オセアニアを結ぶ初の光海底ケーブルについて、計画を進めるチリ政府が日本の提案したルートを採用した。NECなど日本企業が受注する可能性が高まった。中国もチリと上海を結ぶルートを提案していた。米国が中国へのけん制を強めるなか、情報インフラ整備で脱・中国依存が進む可能性がある。

インターネットなど国際通信の95%は海底ケーブルを経由する。あらゆるモノがネットにつながるIoTや次世代通信規格5Gの普及で通信量の急拡大が見込まれる。海底ケーブルは大容量通信を支える基幹線で、拡充が課題になっている。

海底ケーブルを巡っては中継器やケーブルの陸揚げ拠点で通信データが監視される恐れを指摘する声もある。米司法省は6月、米国と香港を結ぶ海底ケーブルについて、米グーグルやフェイスブック、中国通信サービス大手が手掛ける計画に反対を表明した。

米司法省はデータを中国当局に収集されスパイ活動に使われる恐れがあると警戒している。華為技術(ファーウェイ)製品を排除する米トランプ政権はチリ政府の海底ケーブル計画でも中国企業の受注を避けるよう働きかけていた。

日本が提案したのはチリからニュージーランドを経由しオーストラリアのシドニーに達するルートで長さは約1万3千キロメートル。チリ政府はコストや実用性から「最も薦められるルート」とした。

日本と豪州を結ぶ別の海底ケーブルが7月に完成しており新ルートは日本とも接続しやすい。日本は豪州政府がファーウェイ製品を排除し中国に強硬姿勢をとっていることも考慮した。豪州とニュージーランドは環太平洋経済連携協定(TPP)でチリとも関係が深い。

中国は上海とチリを結ぶルートを提案していた。チリのピニェラ大統領が2019年4月に訪中した際には、ファーウェイがチリでのデータセンターの投資を約束するなど官民で受注に力を入れていた。

チリにとって中国は最大の輸出相手国で、海底ケーブルでも当初、ファーウェイは有力候補だった。一方、外交や貿易で米国の意向も無視できない。ポンペオ米国務長官はピニェラ氏の訪中直前にチリを訪問し「ファーウェイは中国政府にコントロールされており、国民をリスクにさらす」とくぎを刺していた。

チリのフット運輸・通信相は「太平洋で南米側のデジタルハブになる」とし、チリ政府は今秋にも技術調査の最終報告を公表する見通し。年末以降に実施主体となる特別目的事業体(SPV)を設立する。入札の実施は来年以降で、事業規模は初期投資で約600億円の見込み。

通信ケーブルや関連製品の受注は、提案が採用された日本が有利になる。日本政府は日本勢の受注が決まった場合、国際協力銀行(JBIC)や総務省管轄の海外通信・放送・郵便事業支援機構(JICT)によるSPVへの投融資などを検討する。

海底ケーブルは米サブコム、仏アルカテル・サブマリン・ネットワークス、NECが3強。NECはアフリカと南米を結ぶルートなどアジア以外の事業も広げている。

ファーウェイはもともと短距離が中心で、近年は南米とアフリカを結ぶ長距離を手がけるなど存在感を高めていた。19年6月には海底ケーブル事業を売却すると発表したが、売却しても別の中国通信大手が事業を継続するとみられる。(広瀬洋平、サンパウロ=外山尚之)』

中国の攻撃でナンバーワン企業破綻か

中国の攻撃でナンバーワン企業破綻か、トップ継いだのはファーウェイ
https://www.bloomberg.co.jp/news/articles/2020-07-06/QCVGUTDWLU6F01?srnd=cojp-v2

『2004年当時、世界有数の大企業でカナダを代表する通信機器メーカーだったノーテル・ネットワークスから大量の書類がインターネット経由で中国に届き始めた。4月のある土曜日、午前8時48分のことだった。流出した800近い文書には顧客との会合での説明資料や米通信ネットワーク設計の詳細などに加え、最も厳重な扱いを要する情報であるソースコードも含まれていた。』
『急成長を遂げ光ファイバーデータ伝送システム市場で圧倒的な存在感を示していたノーテルは人材や話題を集める一方、ハッカーの標的にもなっていた。米中央情報局(CIA)のカナダ版、カナダ安全情報局(CSIS)は1990年代後半から「異常なトラフィック」を認識。中国を拠点とするハッカーがデータと文書を盗み出していると警戒を促していた。CSISのアジア太平洋部門を当時率いていたミシェル・ジュノーカツヤ氏は「オタワのノーテルを訪れハッカーたちが『知的財産を抜き取っている』と伝えたが、幹部らは何もしなかった」と語る。』
『2004年までにハッカーはノーテル最上級幹部のアカウントに侵入。当時の最高経営責任者(CEO)、フランク・ダン氏が中国に約800もの文書を送信した張本人に見えたが、犯人はもちろん同氏ではない。財務諸表の修正を余儀なくされた同社の会計不祥事でダン氏が解雇される4日前、何者かが同氏のログインで、上海ファシエン社(Shanghai Faxian Corp.)に登録されているIPアドレスにパワーポイントや機密性の高いファイルを転送した。同社はノーテルとの取引実態不明のダミー会社のようだった。』
『ハッカーはダン氏に加え、ノーテルが巨額投資を行っていた光学部門の6人のパスワードを盗んだ。「Il.browse」というスクリプトを用いて、製品・研究開発から設計文書・議事録に至る全てをノーテルのシステムから吸い取った。当時のシステムセキュリティー上級顧問でハッキングを調査した5人チームの1人だったブライアン・シールズ氏は、「掃除機のように、フォルダーのコンテンツ全体が吸い取られた」と振り返る。だがノーテルは適切な対策を怠り、単にパスワードを変更しただけだった。09年までに同社は破綻した。』
『誰がノーテルをハッキングしたのか、盗まれたデータが中国のどこに流れたかは誰にも分からない。だがシールズ氏やこの事件を調査した多くの関係者が、華為技術(ファーウェイ)を含む国内テクノロジー企業の育成を後押ししていた中国政府の関与を強く疑っている。ファーウェイは当時のノーテルに対するハッキングは知らなかったし、関与もしていないと説明。ノーテルから一切情報は受け取っていないとしている。 「ファーウェイにスパイ活動への認識ないし関与があったとの疑惑は完全に間違いだ」と同社はコメント。 不適切または不正な手段によって開発されたファーウェイの製品やテクノロジーは一切ない」と主張した。』
『確かなのは、衰退するノーテルからファーウェイが大口顧客を奪い、第5世代(5G)移動通信ネットワークでのリードをもたらした人材も引き抜いたということだ。 「明白で簡単なことだ。ノーテルで経済スパイ活動が行われたのだ」とシールズ氏は言う。 「世界のどの事業体がナンバーワンを引き継いだか、どれだけ急激にそうなったかを見たらよい」と話す。』
『日本貿易振興機構(ジェトロ)の調査によれば、中国の政策銀行、 国家開発銀行は05年、移動通信ネットワーク向けにファーウェイの設備を購入するナイジェリア政府に2億ドル(現在のレートで約215億円)を融資する際、1%という極めて低い金利を提示した(当時の指標金利は6%を超えていた)。1999年の国外売上高が5000万ドルだったファーウェイだが、2005年末までにはその100倍の50億ドルに急増。11年には当時のフレッド・ホックバーグ米国輸出入銀行総裁が主要7カ国(G7)の「どの国も国家開発銀行に近い水準の資金提供はしていない」と述べるなど、中国政府の支援を背景にファーウェイが世界中の重要な通信インフラの大半をいずれ保有するのではないかとの懸念が米国を中心に強まっていった。』
『サイバー攻撃は他にもよく知られたケースがあるものの、ノーテルへの攻撃は特にひどい部類に入るだろう。少なくとも2000年から09年まで長期間続き、シールズ氏によれば、その洗練された手口には民間企業ではなく国家の関与が明らかに認められた。

  だが業績立て直しに精一杯だったノーテル幹部はほぼ無策だった。ハッキング発覚前に解雇されたダン氏には知らされず、後任CEOに就いたビル・オーウェンズ氏らノーテル側が行ったのはパスワード更新。そして、ファーウェイへの提案だった。オーウェンズ氏はファーウェイを創業した同社CEOの任正非氏と合併の可能性を巡って繰り返し会談。ノーテルのCEOをオーウェンズ氏から05年11月に引き継いだマイク・ザフィロフスキ氏は米モトローラ最高執行責任者(COO)時代、ファーウェイ買収合意に近づいた経緯もあり、同氏の下でノーテルとファーウェイはルーター・スイッチの合弁やイーサネット部門売却、さらには救済策の可能性さえ協議した。』
『これらはどれも実現しなかったが、ファーウェイにとって大した問題ではなかっただろう。破綻しつつあるノーテルで5Gテクノロジーの基盤を開発していた約20人をひっそりと採用したからだ。現在ファーウェイのワイヤレス事業最高技術責任者となっているウェン・トン氏もノーテルに14年間在籍。モントリールにあるコンコルディア大学で学んだ同氏はワイヤレス調査で100を超える特許に関与し、ノーテルの最も価値ある知財の幾つかを生み出した。

  ファーウェイのリサーチ戦略・パートナーシップ担当幹部ソン・チャン氏はノーテル破綻までファーウェイは新たな技術を生み出す企業ではなく、改良と低価格を提供できる追随型の企業だったとの認識を示す。同氏もまた1990年代後半、ノーテルで働いていた。』
『次世代無線インフラの標準を定める2016年の業界会議では、ファーウェイが取り組んできた「ポーラ符号」が他のプロトコルと共に選ばれた。それまでこうした会議は欧米勢が牛耳っていたが、この時は全ての中国企業が米クアルコム開発の既存アプローチを支持する陣営に対抗。中国のレノボ・グループ(聯想集団)は当初、欧米案を支持していたが、最終的にファーウェイ側に回った。

  この会議に参加していたシグナルズ・リサーチ・グループの創業者マイク・ザランダー氏は中国政府がファーウェイと足並みを乱さないよう自国企業に圧力をかけたのは明らかなようだったと指摘する。こうして、ファーウェイは5G開発の中心企業となった。』
『カナダでは18年12月、ファーウェイの孟晩舟最高財務責任者(CFO)が対イラン制裁違反に関係した銀行詐欺容疑を主張する米国の要請で逮捕された。創業者の長女である孟CFOの逮捕後すぐに中国でカナダ人2人が拘束されたが、これは中国による報復だと広く考えられている。カナダで保釈中の孟CFOは無実を主張。中国政府は企業のためにサイバースパイ活動を行っているとの疑惑を否定し続けている。ファーウェイは元中国人民解放軍エンジニアの任氏が香港に隣接する広東省深圳で1987年に設立した。

原題:Did a Chinese Hack Kill Canada’s Greatest Tech Company?(抜粋)

(原文は「ブルームバーグ・ビジネスウィーク」誌に掲載)』

天才プログラマーのテレワークシステムに4万人殺到

天才プログラマーのテレワークシステムに4万人殺到、開発費わずか65万円
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04192/

※ 安価なシステムを、「プログラミング」の妙技で実現した…、というよりも、安価な「ラズパイ」の大量導入で実現した…、ということのようだ…。

Raspberry Pi
https://ja.wikipedia.org/wiki/Raspberry_Pi


『Raspberry Piは、かつてイギリスで教育用コンピュータとして普及したエイコーン社「BBC Micro(1981年)」の再来として、学校で基本的なコンピュータ科学の教育を促進することを意図している[3][4][5][6][7]。Model A、Model Bという名称もBBC Microに由来しており、サポートされるコンピュータ言語の中にはBBC Microで利用されたBBC Basicも含まれている。

ハードウェア的にはエイコーン社が開発したARMプロセッサを搭載している。また、エイコーンのオペレーティングシステム (OS) であるRISC OSも、Raspberry Pi用がRISC OS Open Limitedより公式リリースされている。 内蔵ハードディスクやソリッドステートドライブを搭載しない代わりに、SDメモリーカード(SDカード)またはmicroSDメモリーカード (microSD) を起動および長期保存用のストレージに利用する[8]。

累計販売台数は2013年10月31日までで200万台[9]、2014年6月11日までで300万台[10]、2015年2月18日までで500万台[11]、2015年10月13日までで700万台[12]、2016年2月29日までで800万台[13]、2016年9月8日までで1,000万台[14]、2016年11月25日までで1,100万台[15]、2018年3月14日までで1,900万台[16]、2019年12月14日までで3,000万台[17]となっている。』

「Raspberry Pi 4 Model B」が価格改定、より安価に(佐藤 岳大2020年2月27日)
https://pc.watch.impress.co.jp/docs/news/1237649.html#:~:text=%E6%A0%AA%E5%BC%8F%E4%BC%9A%E7%A4%BE%E3%82%B1%E3%82%A4%E3%82%A8%E3%82%B9%E3%83%AF%E3%82%A4%E3%81%AF%E3%80%81%E3%80%8CRaspberry,%E7%A8%8E%E5%88%A5%E4%BE%A1%E6%A0%BC%E3%81%8C%E6%94%B9%E3%82%81%E3%82%89%E3%82%8C%E3%82%8B%E3%80%82
『株式会社ケイエスワイは、「Raspberry Pi 4 Model B/2GB」の価格改定を発表した。

 英国ラズベリーパイ財団の価格改定を受けたもので、旧価格は5,000円にて販売されていたが、27日17時以降の注文分より4,200円に税別価格が改められる。

 同時に「Pi4 B 2GB ベース キット V2」も税別5,200円、「Pi4 B 2GB スターター キット V2 32GB 透明」も税別8,500円へと販売価格が改められる。』

アイ・オー、Raspberry Pi 4 Model Bの2GBモデルを取り扱い開始(中村 真司2020年4月15日)
https://pc.watch.impress.co.jp/docs/news/1247227.html
『株式会社アイ・オー・データ機器は、Raspberry Pi 4 Model Bの2GBモデル「UD-RP4B2」を4月末に発売する。価格はオープンプライスで、税別店頭予想価格は5,380円前後の見込み。

 Raspberry Pi Model Bは昨年の6月に発売された製品(USB 3.0初搭載の「Raspberry Pi 4 Model B」が登場参照)で、1GB/2GB/4GBの3モデルがラインナップ。アイ・オー・データ機器では4GBモデル(UD-RP4B4)を取り扱っていたが、今回2GBモデルが追加された。

 Raspberry Pi 4 Model Bは、SoCにArm Cortex-A72アーキテクチャのBroadcom BCM2711(4コア/1.5GHz)を搭載。GPUはVideoCore VIで4K/60p H.265のデコードをサポート。メモリはLPDDR4 SDRAM。

 インターフェイスは、40ピン GPIOヘッダー、Gigabit Ethernet、IEEE 802.11ac無線LAN、Bluetooth 5.0、USB 3.0×2、USB 2.0×2、Micro HDMI×2、DSI、CSI、3.5mm 4ピンオーディオ・コンポジットビデオポート。

 本体サイズは約85×56×17mm(幅×奥行き×高さ)、重量は約47g。』

※ 今回調べてみるまで、知らんかったが、ARMのCoretexベースで、OSも「オープンソース」ベースのものを、使用しているんだな…。GPUも積んでいるとは、知らんかった…。そうすると、AIを構築することも、「理論上は」可能なのか…。

※ こういう「ネットワーク」機器は、複雑な「計算」「演算」はあまり必要無い…。流れてきた「データ」を、より分けて、「流してやる」ことが基本だからな…。ただ、多少の「加工」は必要となるんだろう…。その程度なら、ラズパイでも、十分に機能するんだろうな…。

※ 並んでいる「プログラミング言語」を見て、「うへー。」と思ったが、Scratchが使えるんじゃ、ハードルは大分低くなる…。

※ それこそ、子供に買ってやって、一緒に「プログラミング学習」したらどうだ…。

LIXILのテレワークは渋滞知らず 秘密は脱VPN

https://www.nikkei.com/article/DGXMZO60015600V00C20A6000000/

『脱VPNの鍵は、「アイデンティティー認識型プロキシー(IAP)」と呼ばれる新しいリモートアクセス手法を導入したことにあった。具体的には米アカマイ・テクノロジーズの「Enterprise Application Access(エンタープライズ・アプリケーション・アクセス、Akamai EAA)」を使う。』
『Akamai EAAは社内の業務アプリをインターネット経由で利用可能にする専用プロキシーサーバーのクラウドサービスだ。

LIXILグループの従業員はまずインターネット経由でAkamai EAAの専用サイトにアクセスし、そこで多要素認証をクリアする。そうすると通信が社内に設置した「コネクター」と呼ぶサーバーに中継されて業務アプリに届き、社外から利用可能になる。ウェブアプリだけでなくクライアント/サーバー型のアプリも使えて、通信は全て暗号化されている。

VPNの場合、ユーザーの通信を中継するVPN装置がオンプレミスにあり、キャパシティーを急に増やすのが難しい。それに対してAkamai EAAはクラウドにあるため、キャパシティーを柔軟に増減できる。「EAAがなければ最大2万5000人のテレワークは不可能だった」と安井センター長は話す。

同社がAkamai EAAの導入を始めたのは2019年3月のこと。テレワークを加速するのが目的だった。20年4月までに、1500個ある業務アプリのうちの1450個をVPN無しに利用できるようにしていたことから、テレワークの急増に間に合った。

VPN自体はEAAに対応していない50個の業務アプリを使うために残している。

SaaSやAWS上で稼働するシステムなども、VPNを経由せずに利用するよう改めた。Akamai EAAが提供する、一度の認証手続きで複数のシステムにアクセスできるシングルサインオンの機能を使うことで、社外にあるアプリを統一したセキュリティー基準で利用できるようになったためだ。』
『LIXILグループは脱VPNを果たす上で、セキュリティーに対する考え方を大きく変更した。安井センター長は、「社内ネットワークの守りをどう固めるかという従来の考え方から、業務アプリやデータをサイバー攻撃からどう守るかに頭を切り替えた」と説明する。

同社が採用した新しいセキュリティーに対する考え方を「ゼロトラストネットワーク」と呼ぶ。ネットワークは全て危険だと認識し「何も信頼しない」というアイデアだ。これが今、企業におけるセキュリティー手法のあり方を根こそぎ変えようとしている。』
『伝統的なセキュリティー手法においては、社内ネットワークは「安全」でその他は「危険」だと見なす考え方が根底にあった。ファイアウオールなどのセキュリティー機器で企業ネットワークの内側と外側を区切り、内側への侵入を防ぐことを主眼に置くため「境界型防御」といわれる。

だが、それは従業員が社内ネットワークから社内の情報資産にアクセスするのが当たり前だった時代の発想だ。今やクラウドの業務利用が一段と進み、守るべきアプリやデータの多くが境界の外に置かれるようになった。しかも従業員は自宅や社外での業務が推奨される。もはや「境界」は意味をなさず、実効性も低下している。

しかも近年は「標的型攻撃」によって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへ侵入される事件が多発している。「安全」な社内ネットワークに侵入を許すと、侵入者によって社内アプリへ好き勝手にアクセスされてしまう。そんな境界型防御の限界も浮き彫りになった。』
『一方のゼロトラストは、どのような種類のネットワークであっても信頼しない。ユーザーが業務アプリやデータを利用する際には、ユーザーの属性や端末の情報、アクセス元のネットワークなどを常にチェックし、その都度、利用の可否を判定する。社内からのアクセスを安全とは見なさない。

あらゆるネットワークを信頼しないのだから、社内と社外の区別も無くなる。つまり業務アプリを使うためにわざわざVPNで社内ネットワークに入る必要も無くなる。ゼロトラストはセキュリティーを強化すると同時に、ユーザーの利便性を向上する考え方でもあるのだ。』
『ゼロトラストは10年に米調査会社フォレスターリサーチが提唱した概念だ。長らく概念だけが先行していたが、17年に米グーグルがゼロトラストに全面的に移行したと発表したことをきっかけに、ユーザー企業の注目を集めるようになり、ゼロトラスト用をうたう製品を提供する企業も一気に増えた。そして最近は日本でもゼロトラストに取り組むユーザー企業が増え始めている。

人気ゲーム「ポケットモンスター」の商品企画を統括するポケモン(東京・港)やauカブコム証券もAkamai EAAを導入し、VPN無しで社内の業務アプリを利用できる環境を構築済みだ。

テレワークであっても利便性は犠牲にしない――。ゼロトラストによって日本企業の働き方が今、大きく変わろうとしている。

(日経コンピュータ 大川原拓磨、高槻芳、中田敦)

[日経コンピュータ2020年5月28日号の記事を再構成]』

「VPN」の話し…。

※ このコロナ騒ぎで、「テレワーク」「リモートワーク」に移行する会社も増えている…。そうすると、「VPN」なんかの話しも、よく話題になるようになった…。良い話し、ばかりでは無い…。やれ、「アカウントが乗っ取られて、ネットワークに侵入された!」とか、「社員全員に配布するVPNのIDが不足しているんで、交替で使ってくれ…。」とかいうショボい話しとかだ…。

※ それで、ちょっと情報を集めた…。

テレワークのVPNに潜む恐怖 製品に致命的な脆弱性
https://www.nikkei.com/article/DGXMZO58385090T20C20A4000000/

テレワーク悪用して企業ネットワーク侵入 6つの弱点
https://www.nikkei.com/article/DGXMZO58176120X10C20A4000000/?n_cid=SPTMG053

VPNとは何か? 基礎からわかる仕組みとセキュリティの対策を解説
https://www.sbbit.jp/article/cont1/36318

※ 画像は、上記のサイトからキャプチャした…。

※ 「VPN」とは、virtual private networkのことで、「仮想専用線網」と訳されているようだ…。「インターネットやNTTのOCNのようなオープンなネットワークを, 暗号化などのセキュリティ技術を用いて, 専用線であるかのように利用できるサービスの総称」…、ということだ…。

※ 本来、「専用線網」とは、文字通り「物理的に」「専用回線」を敷設して構築するものだが、それではコストがかかりすぎるので、「既存のインターネット網」を利用して、いろいろ「流すデータ」に「暗号化」を施して、「専用回線網」みたいに「他からは、アクセスできない(覗くことができない)」ようにして「通信」しよう…、というものだ…。

※ 概略は、こんな感じだ…。「トンネル宛先」とか「元パケットの暗号化」とかを施しておいて、送り届けたい相手のみが、一定の「ルール」に従って「復号化」すれば、一種の「秘密通信」みたいなものが、できるだろ…、という話しだ…。

※ そういう仕組みを、インターネット上に「トンネル」を構築する…、というアナロジーで表現している…。そういう「暗号化」「復号化」は、「専用の機器」で行う場合もあれば、一般の「コンピュータ(サーバ、ワークステーション、パソコン)で「ソフトウエア的に」行う場合もある…。

※ このモデル図だと、そういう「トンネル構築」のサービスを、大手のクラウドサービス業者(AWS、IBM、MSとか)と一括して契約して、行う…、という感じの説明になっているようだな…。

※ ただし、「仕掛けが複雑化する」ので、「セキュリティ上の脆弱性」も、多くなる…。

※ 「リモートワーク」だと、「端末」の管理は、「リモートワーカー」自身がやらないとならないから、相当に管理がしっかりとしている必要がある…。ある意味、「リモートワーカー」自身が、「システム管理要員」並みか、少なくとも「それに準じる程度」のスキルを備えている必要がある…。

※ これは、「トンネル構築」に、「専用のVPN装置」を採用したが、なんと(!)その「装置に脆弱性があって」ハッキングされました…、という例だ…。そういうこともある…。

※ こういう風に、「仕掛けが複雑化していて」「端末の管理は、リモートワーカー自身」という構造から、「セキュリティ上の脆弱性」は、数多くできてしまう…、ということを示している…。

※ いつだって、サービス提供業者は、「オイシイ話し」ばかり言う…。

※ しかし、何だって「現実は、厳しく、大変なもの」なんだ…。

※ 「アフター・コロナ」の「テレワーカー」は、いよいよ難儀なものとなるな…、という感じだな…。