ゼロトラストを前提に、 もっと便利に、もっと安全に @ 2026-03-03 ITmedia Security Week 2026 冬 / Designing for Zero Trust: Enabling Both Usability and Security

Transcript

1. © SAKURA internet Inc. ゼロトラストを前提に、 もっと便利に、もっと安全に 2026-03-03 @ ITmedia Security

   Week 2026 冬 さくらインターネット株式会社 技術推進担当 執行役員 & CISO & CIO 江草 陽太

2. 自己紹介 @chibiegg 江草 陽太 【所属】 • さくらインターネット (株) 執行役員 技術推進統括担当

   兼 CISO 兼 CIO • BBSakura Networks (株) 取締役 【経歴】 • ヴィアトール学園 洛星中学・高等学校 • 大阪大学工学部電子情報工学科情報通信工学専攻 • 個人事業主 (大学生時代に開業) • 大阪大学大学院工学研究科中退 【外部】 • U-22プログラミングコンテスト実行委員長 • JANOG57 ホスト など 【発見したCVE】CVE-2023-28727 【趣味】 旅行/温泉/写真/電子工作/プログラミング/かわいい服 © SAKURA internet Inc. 2

3. © SAKURA internet Inc. © SAKURA internet Inc. さくらインターネットについて デジタルインフラ基盤を総合的に提供し、社会と顧客を支援

   石狩データセンター 自社運営する拡張性・柔軟性・環境性に優れたデータセンター 1996 さくらインターネット創業 1996年12月に現社長の田中邦裕が、 舞鶴高専在学中に学内ベンチャーとして創業 1999 株式会社を設立/最初のデータセンター開設 1998年8月に株式会社を設立。10月には、 第1号となるデータセンターを大阪市中央区に開設 2005 東証マザーズ上場 2005年10月に東京証券取引所マザーズ市場に上場 2011 石狩データセンター開設 2011年11月、北海道石狩市に国内最大級の 郊外型大規模データセンターを開設 2015 東証一部に市場変更 2015年11月に東京証券取引所市場第一部に市場変更 2023 ガバメントクラウド提供事業者に選定 条件付きでの選定、日本企業としては唯一 2024 グラングリーン大阪に本社を移転 オープンイノベーション施設Blooming Campを開設 会社概要 商号 さくらインターネット株式会社 本社所在地 大阪府大阪市北区大深町6-38 グラングリーン大阪 北館 JAM BASE 3F 創業年月日 1996年12月23日 (会社設立は1999年8月17日) 上場年月日 2005年10月12日 (マザーズ) 2015年11月27日 (東証一部(現プライム市場)へ市場変更) 資本金 112億8,316万円 従業員数 912名 （2024年9月末 現在） 3

4. © SAKURA internet Inc. さくらインターネットの売上/社員数推移 0 500 1000 0 100

   200 300 x 100000 クラウドサービス GPU 物理基盤サービス 売上高 （億円） 314億 1996年 創業 マザーズ上場 2005年 2011年 石狩データセンター開設 東証一部上場 2015年 2016年 さぶりこ導入 東証プライム市場へ移行 2021年 997人 社員数 （人） 4

5. © SAKURA internet Inc. © SAKURA internet Inc. 当社は垂直統合型・自前主義のビジネスモデル 市場の変化に強く、顧客ニーズに応える国産クラウドを提供

   さくらインターネットのビジネスモデル 5 サポート サービス運用 サービス開発・技術研究 データセンター • バリューチェーンを最適化 • 顧客のニーズに柔軟かつスピーディに対応可能 強み 販売 さくらのモノプラット フォーム さくらのセキュアモバイルコ ネクト クラウドサービス IoT ブロック チェーン AI・ ディープ ラーニング エッジ コンピュー ティング

6. © SAKURA internet Inc. 提供サービスの概要 社会の変化、ニーズに応じた多様なサービスラインアップ データセンターからサービスの開発や技術研究、運用、販売、サポートまで一貫して自社で行うビジネスモデルを築いてきました。ガバメントクラウドに認定※1された 「さくらのクラウド」、生成AI活用の基盤となる「高火力シリーズ」といったサービスを展開する現在まで、自社で開発、運営まで行っているのが特長です。 ※1 2025年度末までに技術要件を全て満たすことを前提とした条件付きの認定。

   ※2 2025年5月「さくらの生成AIプラットフォーム」として提供開始、同年9月に「さくらのAI」に名称変更。 データの主権は日本に データ転送量無料 POINT 大規模なWebサービス、公共・文教系のイン フラ基盤など幅広い分野、用途でご利用いた だいています。 ガバメントクラウドに 認定されたサービス さくらのクラウド 生成AI向けサービス 高火力シリーズ 自由度の高い物理専有 ホスティングサービス モノとサービスをつなぐ 通信の仕組みを提供 衛星データを活用できる プラットフォーム さくらの 専用サーバ PHY IoT IoT サービス Tellus （テルース） コーポレートサイトや個人サイトなどあらゆる サイトでご利用いただいています。最短2分で公 開できる手軽さが魅力です。 利用件数56万突破の 人気サーバーサービス さくらの レンタルサーバ さくらのVPS 商品点数が数千程度の商品サイトなどに人気の サービスです。1台のサーバーを仮想化技術によ り複数ユーザーで共用しながら、専用サーバー と同等に利用できます。 さくらのレンタルサーバより 高い自由度 コンテナー型。 データ処理に特化した運用基盤。 高火力 DOK（ドック） VM型。ワークロード適応性と俊敏さを備え た仮想基盤。 高火力 VRT（バート) ） ベアメタル型。性能重視の物理基盤。 高火力 PHY（ファイ） 生成AI向けビジネス基盤 さくらのAI※2 生成AI対応の国産クラウド型スパコン さくらONE 高い操作性と充実の機能 6

7. © SAKURA internet Inc. さくらインターネットの拠点 DXプラットフォームの要所 DXビジネスの本拠地 コミュニケーション・育成拠点 イノベーションを生み出す拠点 Fukuoka

   Growth Next SAKURA innobase Okinawa 福岡オフィス 東京支社 大阪本社 石狩データセンター 7

8. 在宅勤務やリモートワーク • さくらインターネットではどこでも仕事が可能 • 人事制度「さぶりこ どこでもワーキング」 • リモートワーク率が高い • コロナウイルスをきっかけに、全社リモートワークに方針転換

   • 89.9%がリモートワーク (2024年3月末時点) • 特にバックオフィス系はVPNがほとんど不要 2026/3/3 ©SAKURA internet Inc. 8

9. VPNについて

10. さくらインターネット社内教育資料より 10

11. VPNに繋がっていない時に起きうる問題 • DNS応答改竄による中間者攻撃 • 本来はVPN内にあるはずのサーバに通信しようとする • TLSを利用していない社内システムにおいて攻撃可能 • パスワードが漏洩する結果に •

    VPN繋いでるつもりで繋がらないイライラ 2026/3/3 ©SAKURA internet Inc. 11

12. VPN接続されたクライアントによるリスク • マルウエアに感染したクライアントがVPN接続されると… • VPN越しに他の端末に感染が広がる可能性がある • ユーザーにとって必要なサーバ以外のサーバにも攻撃ができる • そもそも影響範囲が広大に •

    VPNのネットワークもインターネットと同様のリスクのある空 間として扱うべき 2026/3/3 ©SAKURA internet Inc. 12

13. ゼロトラスト・セキュリティ 定義は色々あるので細かいことは言いません

14. さくらインターネット社内教育資料より 14

15. さくらインターネット社内教育資料より 15

16. さくらインターネット社内教育資料より 16

17. 根本的な考え方 • クライアントが社内ネットワーク以外で常用される前提に立つ • マルウエアに感染したり、侵入されたりする可能性があるという前提に立つ • ネットワーク認証ではなくセッションで認証する • できるだけ細かい単位で認証を行う •

    端末、ブラウザ・セッション・サービスなど • 高度なユーザー認証 • パスワード以外の情報による認証を組み合わせる • 2FA (二要素認証・多要素認証) • アクセス元のクライアント種別、接続元ネットワーク、地域など • クライアント証明書認証によるデバイスの認証 2026/3/3 ©SAKURA internet Inc. 17

18. VPN通さないと心配…？ • 思い出してみよう: Gmail、Office 365、Dropbox、etc… • 超重要な情報を保管している • VPNなしでも安全性を確保 •

    インターネット上のどこからでも、ブラウザだけでアクセスできる • 二要素認証や、状況に応じた再認証確認のしくみで保護されている • セッション単位でユーザを認証することが、より重要 • 「VPNは悪」ではないことに注意、多層防御には効果がある 2026/3/3 ©SAKURA internet Inc. 18

19. さくらにおける ゼロトラストの導入

20. 以前から導入されていたこと • SSOの導入 • Slack、GitHub.com、Office 365、などSaaS利用のもの 2020年当時 20

21. 以前から導入されていたこと • TOTPとFIDOに対応 2020年当時 21

22. コロナ後に行ったこと① インターネットから社内システムへの直接接続を可能に • 認証方式を強化 • 既存のSSOシステムを活用 • インターネットからの利用では、二要素認証を必須とした • おもな対象システム

    • Confluence、サイボウズ Garoon、購買在庫システム、etc… →「VPNがなくても在宅勤務できる社員」も出てきた 2026/3/3 ©SAKURA internet Inc. 22 2020年当時

23. SSOによる社内システムのゼロトラスト化 SAML IdP 認証サーバ sso.example.com SAML SP 兼 リバースプロキシ hoge.example.com

    アクセスしたい 社内サービス 192.168.1.123 社内ネットワーク 23

24. SAML SP 兼 リバースプロキシ • Nginx と Nginx Lua で構築

    • 弊社社員が過去に実装していた hnakamur/nginx-lua-saml-service-provider を活用 • いくつかの課題を解決する実装を追加 • SAMLで認証し、リバースプロキシするだけのシンプルな構成 • 既存システムへの変更は最小限 2026/3/3 ©SAKURA internet Inc. 24

25. コロナ後に行ったこと② • TOTPの物理トークンを調達し、希望者に郵送 • TOTP/FIDOを活用してもらうため • スマホアプリなどの操作なしに2FAが利用可能 • 利用感・課題を検証・洗い出し、本格導入に向けた検討材料とする •

    FIDO U2FだけでなくFIDO2にも対応 • パスワードレスで認証可能に • TouchID + Chrome では、指紋認証のみでログイン可能 2026/3/3 ©SAKURA internet Inc. 25 当時TOTPの導入促進に一役かった 現在は別の手段で2FAが普及したため終了

26. TOTP物理トークン • 1ユーザあたり100円未満で物理トークンを導入 • 製造メーカーと Alibaba.com と直接取引し、割安品を調達 • 社内の認証システムを完全に内製していたため、柔軟に対応できた 2026/3/3

    ©SAKURA internet Inc. 26 当時TOTPの導入促進に一役かった 現在は別の手段で2FAが普及したため終了

27. TOTP物理トークン • Microsoft Forms で希望者（有志者）を募集、郵送送付 • 希望者に封筒に詰めて発送 当時TOTPの導入促進に一役かった 現在は別の手段で2FAが普及したため終了 27

28. TOTP物理トークン • 使用者自身が、受領した物理トークンを、認証システムに登録 2026/3/3 ©SAKURA internet Inc. 28 当時TOTPの導入促進に一役かった 現在は別の手段で2FAが普及したため終了

29. FIDO2によるパスワードレス認証 • FIDO U2F • ユーザー名＆パスワード認証との組み合わせでのみ利用できる • FIDO2 • 生体認証でログインが可能

    • ユーザー名＆パスワードの入力が不要 • ハードウエアキーにサービス情報やユーザー情報を区別して保存する ことが可能になった 2026/3/3 ©SAKURA internet Inc. 29

30. FIDO2によるパスワードレス認証 アカウントの選択肢はChromeが表示する 2026/3/3 ©SAKURA internet Inc. 30

31. スムーズに導入するためには • 社内ネットワーク／VPNアクセスでは、これまで通り利用可能 • 導入のタイミングで利用できなくなる人が発生しないように配慮 • 暫定的に、SSOなしのアクセスを許容した • TOTPの物理トークンを調達し、希望者に送付 •

    ボタンひとつでワンタイムパスワードを確認し、2FAが利用可能 • スマホアプリなどの導入なし • 100個程度で実験を行った • 音声電話認証とSMSに対応することで利用者を増やした • 全社員導入のために、だれでも利用できることを目的とした対応 2026/3/3 ©SAKURA internet Inc. 31 当時TOTPの導入促進に一役かった 現在は別の手段で2FAが普及したため終了

32. スムーズに導入するためには • 情報セキュリティ部門で社内教育資料を作成 2026/3/3 ©SAKURA internet Inc. 32

33. TOTP/FIDO2/音声電話/SMSに対応 二要素認証を利用する社員が増加 施策前の利用率 30% 程度 → 100%に 2026/3/3 ©SAKURA internet

    Inc. 33 2020年当時

34. 2FAを実装する場合の注意 • TOTPやFIDOデバイスは複数登録できるようにすべき • 紛失した場合の登録解除が本人によってできる • 一個しか登録できないと不便 • 不便だと利用されないか、使い回しが発生してリスクが増える •

    物理トークンに内蔵された リアルタイムクロック(RTC)のスキューに注意 • トークン内の時刻がずれる（NTP等で同期しているわけではない） • 物理トークン登録時にRTC時刻のズレを検証し、考慮する 2026/3/3 ©SAKURA internet Inc. 34

35. さくらにおける それ以降の取り組み

36. 2023年以前の情報システムに関する部門構成 ITとセキュリティに関する大きな意思決定がとりづらい組織 課題① 管理部門に所属&部門が横断していた 課題② 担当役員が技術畑の人間ではなかった コーポレート本部 総務部 情報システム 総務

    法務部 情報セキュリティ 法務 さくらインターネット 情報システム旧組織図 担当役員：CFO 課題③ SIRTがバーチャルチームのみだった SIRT 36 ©SAKURA internet Inc.

37. 情報システム統括室設立後の部門構成 課題 管理部門に所属&部門が横断していた / SIRTがバーチャルチームのみだった 情報システム統括室 2名 コーポレートIT 12名 情報セキュリティ統制

    8名 SIRT 9名 さくらインターネット情報システム新組織図 対応 情報システム統括室を組成 ✓SIRTを正式な組織化 ✓採用の強化：14名 (組織変更前) →30名 (2026/1 現在) 37 ©SAKURA internet Inc.

38. 取り組みの例 • SIRT(Security Incident Response Team)の強化 • Intuneによるリモートキッティングの導入 • セキュリティキーの購入支援

    • 全社にパスワード管理ツールを導入 • 全システムにおいてSSOによるログインをデフォルトに • Entra ID (MSAL) / 自社SSO (SAML) でのログインを標準とする • 「オフィス ネットワーク」の廃止 • オフィスにおいても、自宅同様にインターネット接続を提供 • オフィスのネットワークを信頼しない構成に変更 • BYOD端末のMDM参加による業務データと個人データの分離 • 会社端末にクライアント証明書を配布 • 正規の端末であることをログインの条件に設定可能になった • EDRの導入とSOCによる監視 2026/3/3 ©SAKURA internet Inc. 38

39. 取り組みの例 2026/3/3 ©SAKURA internet Inc. 39 不審なサインインの自動検知と自動確認 EDRによる不審なアクティビティの検出とSOCによる対応

40. © SAKURA internet Inc. © SAKURA internet Inc. 高い熱量を持って挑戦するすべての人たちが、自分のやりたいことを叶えられるような社会をイ ンターネットとともにつくる。それが、さくらインターネットの目指す姿です。

    インターネットには人と社会を幸せにする力があると信じて、「やりたいこと」を「できる」に 変えるアプローチを広く届けていきます。お客さまをはじめ、社員、地域のみなさまなど、つな がりのあるすべての人のために、未来のあるべき姿を思い描くことを大切にしています。 「やりたいこと」を「できる」に変える 経営理念

41. © SAKURA internet Inc. © SAKURA internet Inc. 信頼される新たなインフラの選択肢 日本を代表するデジタルインフラ企業へ

    私たちの目指す姿