エンドノード問題

エンドノード問題は、個々のコンピュータが機密性の高い作業に使用された場合、または一時的に信頼できる、適切に管理されたネットワーク/クラウドの一部となった後、よりリスクの高い活動に使用されたり、信頼できないネットワークに参加したりした場合に発生します。(ネットワーク/クラウドの周辺にある個々のコンピュータはエンドノードと呼ばれます。)エンドノードは、信頼できるネットワークの高いコンピュータセキュリティ基準に従って管理されていないことがよくあります。[1]エンドノードには、脆弱な/古いソフトウェア、脆弱なセキュリティツール、過剰な権限、誤った構成、疑わしいコンテンツやアプリ、秘密裏に悪用されるケースがよくあります。[2]コンピュータシステム内からのデータの相互汚染や不正な流出が問題となります。

広大なサイバーエコシステムにおいて、これらのエンドノードは、信頼できるクラウドやネットワークとそうでないクラウドやネットワークに一時的に接続することがよくあります。例えば、インターネットを閲覧する企業のデスクトップ、コーヒーショップのオープンWi-Fiアクセスポイント経由で会社のウェブメールをチェックする企業のラップトップ、日中は在宅勤務、夜間はゲームに使うパーソナルコンピュータ、スマートフォンやタブレット(あるいはこれらとデバイスの組み合わせ)内のアプリなどです。これらのノードは、たとえ完全にアップデートされ、厳重にロックダウンされていたとしても、あるネットワークからマルウェア(破損したウェブページや感染した電子メールなど)を別の機密ネットワークに持ち込む可能性があります。同様に、エンドノードは機密データを盗み出す可能性があります(キー入力スクリーンキャプチャのログなど)。デバイスが完全に信頼できると仮定すると、エンドノードはユーザーを適切に認証する手段を提供する必要があります。他のノードが信頼できるコンピュータになりすまし、デバイス認証が必要になる場合があります。デバイスとユーザーは信頼できるかもしれませんが、(内蔵センサーのフィードバックによって判断される)信頼できない環境にある可能性があります。これらのリスクは総称してエンドノード問題と呼ばれます。解決策はいくつかありますが、いずれもエンドノードに信頼を植え付け、その信頼をネットワーク/クラウドに伝えることが必要です。

クラウドコンピューティングは、個人のコンピュータから借りることができる、広大で無限とも思える処理能力とストレージの集合体と言えるでしょう。近年のメディアの注目は[いつ? ]、クラウド内のセキュリティに集まっています。[3] 多くの人は、真のリスクは、十分に監視され、24時間365日体制で管理され、完全な冗長性を備えたクラウドホストではなく、クラウドにアクセスする多くの疑わしいコンピュータにあると考えています。[4] [5] このようなクラウドの多くはFISMA認定を受けていますが、それらに接続するエンドノードが何らかの標準に従って構成されていることはほとんどありません。[要出典]

増大し続けるリスク

2005年から2009年にかけて、個人情報および企業データに対する最大かつ増大する脅威は、ユーザーの個人用コンピュータの脆弱性を悪用したものでした。組織化されたサイバー犯罪者は、厳重に防御された境界を突破して攻撃するよりも、脆弱な個人用コンピュータや業務用コンピュータを内部から悪用する方が利益が大きいことに気付きました。[6] よくある例として、中小企業のオンラインバンキングアカウントへのアクセスを盗むことが挙げられます。[7]

ソリューション

エンドノード問題を排除するには、安全な環境にある信頼できるリモートコンピュータ上の認証済みユーザーのみがネットワーク/クラウドに接続できるようにします。既存のテクノロジーでこれを実現する方法は数多くあり、それぞれ信頼レベルが異なります。

多くの企業は、一般的なノートパソコンを支給し、特定のコンピュータからのリモート接続のみを許可しています。例えば、米国国防総省は、リモートコンピュータからのネットワークへの接続をVPN経由のみ(直接のインターネット閲覧は不可)とし、二要素認証を採用しています。[8] 一部の組織では、エンドノードのコンピュータをスキャンおよび/または検証するために、ノードのトラステッド・プラットフォーム・モジュール(TPM)との通信など、サーバー側のツールを使用しています[要出典]

ローカル ストレージを持たない不変かつ改ざん防止機能を備えたクライアント[ permanent dead link ]を発行し、デバイスとユーザーの認証後にのみ接続を許可し、OS とソフトウェアをリモートで提供 ( PXEまたはEtherboot経由) し、機密データへのアクセスをリモート デスクトップまたはブラウザーのみに提供することで、はるかに高いレベルの信頼を得ることができます。

より安価なアプローチとしては、あらゆるハードウェア(企業、政府、個人、公共のいずれのハードウェアも)を信頼しつつ、既知のカーネルとソフトウェアを提供し、強力なユーザー認証を要求するという方法があります。例えば、国防総省のソフトウェア保護イニシアチブ[9]は、軽量ポータブルセキュリティ(LiveCD)を提供しています。これはRAM内でのみ起動するLiveCDで、非永続的なエンドノードを作成しながら、Common Access Cardソフトウェアを使用して国防総省ネットワークへの認証を行います。

参照

参考文献

  1. ^ Tim Fisher (2018年12月12日). 「コンピュータネットワークにおけるノードとは:コンピュータとプリンターはどちらもネットワークノードです」 . 2018年12月24日閲覧
  2. ^ Natalia Chrzanowska (2017年3月23日). 「Node.jsを使用する理由:バックエンド開発にNode.jsを選択するメリットとデメリット」 . 2018年12月24日閲覧
  3. ^ 「クラウド コンピューティングはどの程度安全か?」
  4. ^ “Architecture from the top down”. 2021年8月13日時点のオリジナルよりアーカイブ2014年1月7日閲覧。
  5. ^ 「VPNユーザー:ネットワークセキュリティの弱点か?」2009年5月11日時点のオリジナルよりアーカイブ。 2010年2月6日閲覧
  6. ^ 「ビジネス洞察とリソース」(PDF
  7. ^ 「サイバー窃盗犯が中小企業の大部分を狙う」USA Today、2010年3月9日。
  8. ^ 「フォート・シル仮想プライベートネットワーク(VPN)ポリシー」。2011年6月17日時点のオリジナルよりアーカイブ2010年2月6日閲覧。
  9. ^ DoDソフトウェア保護イニシアチブ 2010年5月13日アーカイブWayback Machine
「https://en.wikipedia.org/w/index.php?title=End_node_problem&oldid=1285524632」より取得