はじめに
掲題の通りです。
そろそろGIP(Global IP Address)によるアクセス制限はやめませんか?
GIPによるアクセス制限の定義
ここで伝えたいGIPによるアクセス制限とは以下です。
- アクセス元IPアドレスを使用したサービスへのアクセス許可/拒否の制御
SaaSなどのインターネットに開かれているシステムに対して、クライアントのアクセス元GIPによる制御をやめたほうが良いと考えています。
以降、理由について述べます。
SaaSが当たり前に
政府がクラウド・バイ・デフォルト原則をうたっているように、もうクラウドが当たり前です。
参考: https://pfs.nifcloud.com/navi/beginner/cloud_by_default.htm
SaaS同士を連携しようとした際に、「信頼できるGIP」をSaaS上で登録したりします。
この方式はSaaSが大規模になればなるほど、登録すべきGIPの範囲が拡大します。
SaaSの進退に応じて柔軟に変更できる運用を敷けるのであれば止めはしませんが、そんなことに労力を割くべきではないと考えます。
なにより、SaaSの良さ殺してますよ。
SD-WANの台頭
様々なベンダー様がSD-WANの提供を行っており、多くの可能性を秘めていると感じます。
- Palo Alto Networks社 - Prisma Access
- Cato Networks社 - Cato Cloud
これらのサービスは、クライアントをインターネット上の仮想ネットワーク上へ接続させ、仮想ネットワーク上から、インターネットへアクセスさせるという概念の製品群です。
この概念は、以下のような既存ネットワークインフラの問題を解決する銀の弾丸になりえます。
- ネットワーク利用状況が見えない
- 回線品質を向上できない
- アクセス増による回線コストの増大
- ローカルブレークアウトが出来ない
- プロキシサーバーの維持・更改が限界
今後、これらの製品群は既存ネットワークインフラを席巻していくことになると思います。
これらへの移行の足かせとなるのは既存の様々なSaaSに施されているGIPによるアクセス制御です。
すべてのSaaSに対して、GIPの再登録を余儀なくされます。
GIPのアクセス制限の本質
そもそもGIPでアクセス制限した場合に守れるもの、守りたいものはなんでしょうか。
理由は以下のものになると思います。
- 社外からのSaaS利用の拒否
- SaaSを外部攻撃から守る
どちらの理由もよく考えるべきだと思います。
1つ目は、社外からSaaSを使えちゃまずいんでしょうか。
社員を信頼できない信頼関係が悪いと考えます。
どうしてもやりたいのであれば、Azure ADや前述のSD-WANなどの仕組みでアプリケーションへのアクセスを制御すべきです。
2つ目は、攻撃から守るのは利用者側の責任でしょうか。
SaaSの防御は、SaaSを提供している事業者が対応すべきではないでしょうか。
GIP制限をかけないと攻撃を防御できないSaaSであれば、違うSaaSを使うべきです。
それでもやったほうがいい場合もある
以下のような場合には、GIPによるアクセス制限は引き続き実施すべきと考えます。
- インターネットへ開かれていない、特定の場所へ向けたサービス
- 検証環境、開発環境などの脆弱であることをすでに認知しているサービス
GIPによるアクセス制限はやめましょう
そろそろ、やめましょう。
働き方が自由になり、ネットワークインフラが足かせにならないように。
異論は認めます!