私たちは、ユーザーが自分だけが見ることのできるプライベートネットワークをインターネットの中に構築できるようにすることで、すべてを安全につなぐことができると信じています。ゼロトラストIT/OTネットワーキングをサービスとして提供します。
言語
English
日本
Cybernewsに掲載されたものです。
スマートフォン、スマートデバイス、クラウドなど、あらゆるものが常時接続され、接続可能であることが期待される時代が到来したことを示す証拠といえます。しかし、あらゆるものが常に利用可能であることは、総合的な能力を高める一方で、すべてのユーザーが公衆インターネット上にあるものがもたらすリスクを認識しているわけではありません。最近では、ハッカーが誰かの個人資産にアクセスするために必要なのは、それが個人のホームネットワークであれ、企業のクラウドインフラであれ、無防備または誤った設定のネットワークエンドポイント1つだけなのです。専門家は、あらゆるものがどこからでも利用できるようになったことで、攻撃対象がかつてないほど拡大し、今後も増え続けるだろうと警告しています。
今回は、ネットワークとネットワークにプライバシーをもたらす企業、リモート・イットのCEO兼共同創業者の小山亮氏をお招きし、現在のネットワーク事情を取り巻く課題について議論していただきました。
マイク・ジョンソン (私の共同創設者) と私は、 TCP/IP の最初のハードウェア (シリコン) バージョンを発明し実装した (NVIDIA が買収) ことから、 長い間ネットワーキングに深く関わってきました。特に、プロトコルを説明する RFC は機能仕様であり、ステートマシン版を構築することで得られる技術的な実装の詳細には触れていません。これらのプロトコルはほぼ50年前から存在しており、その発明が今日私たちが目にするものすべてに力を与えるまでに拡大したことは、インターネットの父たちの先見の明の真の証と言えるでしょう。
インターネットの利用が公共のワールドワイドウェブから個人や企業によるプライベートな利用へと拡大するにつれ、私たちが根本的に壊れていると考えるのは、公共のインターネットを有効にするために使われているのと同じ技術が、多くの点でプライベートなインターネットを有効にするためには全く間違った方法であるということです。日々起こっているハッキングは、ゼロ・トラスト・モデルが新常態であるべきだという明確な証拠があるにもかかわらず、TCP/IPを信頼できる方法で使用することがデフォルトになっているためなのです。
私たちのコアテクノロジーのアイデアは、マイクと私がそれぞれの家にネットワークカメラを設置したときに、自宅のネットワークを公衆のインターネットに公開したくないと思ったことから始まりました。自分たちで使うために作ったソリューションですから、他の人も欲しがるだろうと思い、まずは企業にライセンスすることから始めました。やがて、VPNが使えないモバイルネットワークの利用が増え、インフラがクラウドに移行し、セキュリティとプライバシーへの関心が高まるにつれ、私たちのソリューションの適用範囲は広がり、現在では194カ国以上でリモート・イットが保護するエンドポイントが存在するまでになりました。
ネットワークの課題は、ネットワークが後回しにされていることです。AWSで仮想プライベートクラウド(VPC)を構築する場合、管理すべきネットワークがあります。そして、サブネットアドレスや他のサブネットアドレスとの競合などを気にしなければなりません。さらに、パブリック・インターネットへのドアを開けてアクセスを許可し、IPアクセス・リストを使ってどの場所からアクセスできるかを制御し、それからようやく、誰がアクセスできるか、どのキーを使うか、などを考え始める必要があります。これは覚えることがたくさんあって、うまくいかないことも多いのです。
コンテナとマイクロサービスは、クラウドコンピューティングに革命をもたらし、リソースの即時展開と真のスケーラビリティを実現しましたが、セキュリティ、ユーザーアクセス、ネットワークのプロビジョニング層は、依然として非常に手作業に近い管理プロセスとなっています。Remote.Itは、これらの3つのレイヤーを1行のコードで置き換え、デプロイ時にこれらのステップを解決し、最初からビルトインすることができます。
私たちのモデルは、「コードとしての接続性」です。開発者は導入時にプライベートVPCのリソースにアクセスする必要があることを認識し、その時点でプログラム的に実行することが理にかなっています。レガシーVPNとは異なり、セキュアな接続が組み込まれているため、公衆の攻撃対象が公衆インターネットにさらされることはありません。これが絶対的なゼロ・トラスト(Zero Trust)です。
つまり、誰も覚えていないランダムなIPアドレスを割り当てるDHCPサーバーの言いなりになるのではなく、インフラストラクチャ・チームが信頼できるアクセスを直接デプロイできるようにすることで、アクセスを修正する必要があるときはいつでも、タグとロールを使って動的に簡単にアクセス権を定義・設定できるようにします。
誰もが玄関のドアにデッドボルトを付けており、理論上はそれで安全を確保していますが、実際には郵便番号で安全を確保しているのです。ネットワークは複雑で、使い勝手を向上させようとする試みは、攻撃対象が豊富な環境を作り出しています。すべてのグローバルIPアドレスと、それに紐づくプライベートLANは攻撃に対して脆弱なのです。例えば、米国で起きた最悪のハッキング事件は、家庭用監視カメラに影響を与えました。しかし、このハッキングは、人々のプライベートなビデオストリームを取得することが目的ではなく、これらのエンドポイントを使用してサービス拒否攻撃を実行することが目的でした。同様に、最近、NVIDIA Jetsonを導入したエンドポイントがハッキングされ、暗号のマイニングに利用されたため、私たちのソリューションに多くの導入がありました。これは、VPNに関する大きな誤解でもあります。VPNは、実際には、通常リモートトンネルするための別のサブネットに過ぎません。このサブネットは、ほとんどのLANに存在するのと同じ「信頼された」モデルを持っていることが多いため、プライベート・ネットワークに存在する管理の課題はすべてVPNにも存在しますが、多くの場合、その中のエンドポイントを維持するために他の誰かを信頼することになります。その「誰か」が忙しく、VPNの設定を誤って、必要なリソースだけでなく、サブネット上のすべてのネットワーク・リソースを公開してしまうかもしれません。多くのデータ漏洩は、人為的なミスを含む状況にあります。
最も懸念されるのは、レガシーVPNが公共のグローバルIPアドレスを使用して展開されていることです。これは、世界で最も悪い地域に玄関を置くのと同じことです。
サイバー攻撃によって、ネットワーク・セキュリティに対する意識が高まっているのは良いことです。しかし、脅威は漠然としており、必要な対策も不明確です。何かを「最善の判断」に委ねると、そこには多くの間違いが生じます。クラウドの基本は、公衆インターネットが必要とするものの上に構築されているのに対し、ネットワーク業界全体は、はるかに小規模で高度に管理されたプライベート・ネットワークのコンセプトの上に構築されていることが課題です。
コンテナとマイクロサービスによるインフラの仮想化は、クラウドの可能性を解き放ちました。ネットワークも同様に、プログラムによる改革を経験することになるでしょう。両者を合わせて真にアジャイルになったとき、真のプライベート・プラットフォームが出現し、一般市民と企業の両方に安全な避難所を提供することになるでしょう。
ネットワークとネットワーク接続には、私たちがあらゆるウェブサイトを閲覧する際に目にするロックに相当するものが必要です。最善の判断と厳重な管理は、ここでは答えになりません。ソフトウェアソリューションが根本的な変化のための唯一の希望なのです。
監視機器のような一般的なネットワーク機器や、マインクラフトのようなネットワークゲームでさえ、その危険性を説明することなく、ユーザーにインターネットへのネットワーク開放を勧めている。サービス・プロバイダーはポートの開放を許可し、ルーターはポートの開放を許可し、アプリケーションはポートの開放を奨励している。彼らのネットワークは、この種の脆弱性を正確に探すために1日に何万回もスキャンされている現実があるにもかかわらず、誰もその危険性について説明責任を果たそうとしない。
私は、ネットワークが企業内にしか存在しなかった頃を覚えているほど古い人間です。インターネットのおかげで、今やネットワークはあらゆる環境の一部となっていますが、ネットワークやセキュリティに関する知識は追いついていません。サブネットはIPv4アドレスの不足を補うために作られましたが、代わりに「プライベート・ネットワーク」を提供するために使われるようになりました。
プライベートな資産にアクセスするためにパブリックIPアドレスを使用することがデフォルトになっているため、攻撃対象が巨大化しています。脅威は、継続的にスキャンし、調査し、攻撃を適応させることができるため、常に適応しています。このため、ベストプラクティスは動く標的となっており、決して追いつくことができない現実的なリスクがあります。
最もシンプルな答えがベストです。すべてのドアを閉め、ドアや窓をなくすのがよいでしょう。基本的に、攻撃対象領域をなくすことです。ネットワークが安全でないと仮定することは、誰もが持つべき正しい視点です。クラウド資産の場合、一般公開されているウェブサイトを除いては、公共のインターネットに面するものは何もないはずです。
最も良い知らせは、ターゲットを排除するというアプローチを取ることは、彼らが他に何をしているかに関係なく、相互に排他的ではないということです。セキュリティは予防を意味するはずですが、インターネットでは検知に重点が置かれています。インターネットの父たちは、すべてのTCP/IPスタックに完全に安全なインターフェースを組み込むという先見の明を持っていました。私たちの発明は、そのインターフェースの力を引き出し、真にロックダウンされた安全な接続を可能にするものです。
無料のWi-fiに期待していた時代から、ずいぶん進歩したものです。今のベストな選択は、携帯電話をホットスポットとして使用することです。ほとんどの場合、あなたの携帯電話は、パブリックIPアドレスを取得するつもりはない - ので、それはインターネット上でさえない。公衆ネットワークは、プライベートなネットワークに参加しているようなもので、安全性が確認されていないのが危険です。飛行機でWi-Fiを使うとき、私はいつもクイックスキャンをしますが、半分以上の時間は、そのサービスを使用している他のすべてのデバイスを見ることができます。ほとんどの犯罪は機会犯罪であり、見られるということは機会を提供しているということです。ベストプラクティスは「見えないこと」です。
今日、誰もが家庭内で多くのネットワーク接続されたデバイスを持っています。そのため、ほとんどの攻撃はそれらの機器を狙うことになります。なぜなら、それらの機器はセキュリティについてほとんど、あるいは全く考えずに組み込まれているからです(プライベートネットワーク上で生活することが前提となっているため)。デバイスのメーカーは、攻撃を最小限に抑えるための最も安全な方法として、リモート機能をオフにすることが多くなってきています。しかし、ユーザーがリモートアクセスをオンにしようと思えばできますし、その時こそ、正しく行うことの複雑さを理解し始めるのです。
機器メーカーからの指示で、インバウンド接続を機能させるためにルーターのポートを開くように指示されることがあまりに多いのです。ユーザーがポートを開き、ポートフォワーディングに依存するように教育され続ける限り、これは第一の攻撃対象であり続けるでしょう。もはや許されることではありませんが、そのように実装されているのを私たちは見続けているのです。
また、在宅勤務の社員が大きく変化しています。企業ネットワークは、ユーザーと企業ネットワークの両方にとって安全なリモートアクセスを実現しなければなりません。従来は、VPNを導入するのが一般的でした。しかし、この方法では、悪用される可能性のあるセキュリティ・ホールが発生する可能性もあります。アップデートやパッチの適用、ユーザー認証の管理、ローミングする従業員のIPアドレスの更新など、すべての企業内VPNが正しく管理されているとは限りません。これらの管理は、正しく行われないと、セキュリティ・ギャップを生じさせる可能性があります。
悪質業者は、設定ミスのあるセキュリティアプライアンスやオープンポートを見つけることを当てにしています。私たちは、行動や考え方を変えて、攻撃対象領域をなくす必要があります。
マーク・アンドリーセンは、「ソフトウェアが世界を食べている」と言いました。Remote.Itでは、ネットワークとネットワーキングは、次にすべてソフトウェアで解決されるものになると考えています。
DNSがパブリックインターネットにおける膨大な可能性を解き放ったように、私たちの願いは、接続のためにパブリックIPアドレスを知る必要性を排除することによって、プライベートインターネットを解き放つことです。
プライベートな資産は、プライベートであると同時に、適切な権限を持つ人がいつでもどこからでも利用できることが必要です。私たちの使命は、開発者、DevOps、ITチームが真の意味でプライベートなゼロ・トラスト・コネクティビティを展開するためのツールとなることで、この現実を実現することです。