ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.

Transcript

1. ゼロトラストで
   もっと便利に、もっと安全に
   2020-07-18 @ LOCAL Developer Day Online ʼ20 /Security
   さくらインターネット株式会社
   技術推進担当 執⾏役員 & CISO
   江草 陽太
   

   View Slide

2. 2
   【所属等】
   さくらインターネット株式会社 新卒⼊社
   執⾏役員 技術推進統括担当 兼 CISO
   IzumoBASE株式会社 取締役
   【開発】
   • さくらのVPS
   API/DB/制御システム担当
   • sakura.io
   ハードウエア仕様、ファームウエア開発
   システム設計、開発、インフラ設計、構築
   • 社内システム/データセンター⾃動化
   • さくらのエンジニアリングラボ
   【その他】
   • CSAJ U22プログラミング・コンテスト審査員
   • Home NOC Operators’ Group (AS59105)
   @chibiegg
   

   View Slide

3. 3
   【経歴】
   • ロボカップジュニア (中学・⾼校) / NHK⼤学ロボコン
   • ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻
   • 個⼈事業主
   • ⼤阪⼤学⼤学院⼯学研究科中退
   • SECCON CTF 2014 国内4位
   • ISUCON5/ISUSON7/ISUCON8本戦、ISUCON9問題作成
   • ICTSC7 ⼤⼈チーム
   【専⾨】
   • ソフトウエアエンジニア
   • NW/SC/DBスペシャリスト
   • 回路設計/組み込みソフトウエア
   【趣味】
   旅⾏/温泉/写真/電⼦⼯作/プログラミング/かわいい服
   @chibiegg
   

   View Slide

4. 2020/7/18 ©SAKURA internet Inc. 4
   趣味で同⼈誌作ってます
   https://chofutech.booth.pm/
   https://hinatan.net/
   

   View Slide

5. 5
   インターネットインフラの提供を事業ドメインとして、
   ⼤阪、東京、⽯狩の3地域に5つのデータセンターを展開
   1996年12⽉に現社⻑の⽥中邦裕が、
   舞鶴⾼専在学中に学内ベンチャーとして創業。
   1999年8⽉17⽇に株式会社を設⽴。
   10⽉には、第1号となるデータセンターを
   ⼤阪市中央区に開設。
   2005年10⽉に東京証券取引所
   マザーズ市場に上場。
   2011年11⽉
   北海道⽯狩市に国内最⼤級の
   郊外型⼤規模データセンターを開設。
   ⽯狩データセンター開設
   2011
   東証マザーズ上場
   2005
   1996
   1999 株式会社を設⽴
   2015年11⽉に東京証券取引所
   市場第⼀部に市場変更。
   東証⼀部に市場変更
   2015
   さくらインターネット創業
   最初のデータセンター開設
   2016 創業20周年
   本 社 所 在 地 ⼤阪府⼤阪市北区⼤深町4-20
   グランフロント⼤阪タワーA 35F
   創 業 年 ⽉ ⽇ 1996年12⽉23⽇
   （会社設⽴: 1999年8⽉17⽇）
   上 場 年 ⽉ ⽇ 2005年10⽉12⽇（マザーズ）
   2015年11⽉27⽇（東証⼀部へ市場変更）
   資 本 ⾦ 22億5,692万円
   従 業 員 数 連結634名（2018年12⽉末)
   グ ル ー プ 会 社 アイティーエム株式会社（旧エヌシーアイ株式会社）
   株式会社S2i
   櫻花移動電信有限公司
   ゲヒルン株式会社
   株式会社Joe'sクラウドコンピューティング
   ビットスター株式会社
   プラナスソリューションズ株式会社
   IzumoBASE株式会社
   2017 ⼤阪本社オフィス移転
   福岡事務所開設
   

   View Slide

6. 6
   

   View Slide

7. 7
   ハウジングからホスティングまで幅広いサービスを提供
   VPS・クラウド データセンター 新サービス
   レンタルサーバ
   さくらのレンタルサーバ
   さくらのマネージドサーバ
   1台を共有 1台を占有
   1台のサーバを複数の契約
   者でサーバを共有または占
   有することができ、管理は
   さくらインターネットに任
   せて使うサービス
   仮想化技術を⽤い、
   1台の物理サーバ
   上に複数の仮想
   サーバを構築し、
   仮想専⽤サーバと
   して分けた領域の
   占有サービス
   ⾼性能サーバと拡
   張性の⾼いネット
   ワークを圧倒的な
   コストパフォーマ
   ンスで利⽤できる
   IaaS型パブリッ
   ク・クラウド・
   サービス
   ⾼性能で拡張性と信頼性の
   ⾼いサーバをまるごと独占
   して利⽤することができ、
   ⾃由にカスタマイズして利
   ⽤可能なサービス
   1台〜複数台
   ハウジング
   リモートハウジング
   データセンター内にお客様
   専⽤のハウジングスペース
   を確保し、ネットワーク機
   器やサーバなどの機材を⾃
   由に置けるサービス
   通信モジュールから提供することで、セキュアで
   通信環境とデータの保存や処理システムを⼀体型
   で提供するIoTプラットフォームサービス
   Dockerコンテナをマネージドされた環境へ
   ⼿軽・シンプルにプロビジョニング可能なサービス
   さくらの VPS
   機械学習、データ解析、⾼精度シミュレーション
   ⽤途に特化したGPU搭載の専⽤サーバサービス
   専⽤サーバ
   さくらのセキュアモバイルコネクト
   クラウドにダイレクトに接続し、セキュアであり
   つつ任意のネットワークへ接続可能なSIMを
   提供する、IoT向けモバイルサービス
   IoT
   AI
   ⼈⼯知能
   マイクロ
   サービス
   IoT
   【サービスの主な利⽤⽤途】
   ウェブサイト運営、ブログ
   インターネット・メール
   ネットビジネス、電⼦商取引
   動画・⾳楽配信、開発環境
   会員制サイト、キャンペーン・サイト
   SNS、ウェブ・アプリケーション
   SaaS、ASP
   エンタープライズ
   ※マネージドサーバの⼀部も
   ⽯狩データセンターにて収容
   

   View Slide

8. 在宅勤務やリモートワーク
   • さくらインターネットではどこでも仕事が可能
   • ⼈事制度「さぶりこ どこでもワーキング」
   • 現在、出社不要な⼈の⼤半が在宅勤務をしている
   • コロナウイルスをきっかけに、全社リモートワークに⽅針転換
   • 93%が在宅勤務 (2020年4⽉末時点)
   • ネットワークチームのおかげでVPNに⼤きな不満はない
   • VPN接続による遅延、帯域幅の減少が多少観測されるが、
   許容範囲内
   2020/7/18 ©SAKURA internet Inc. 8
   

   View Slide

9. VPN
   

   View Slide

10. さくらインターネット社内教育資料より
    

    View Slide

11. VPNに繋がっていない時に起きうる問題
    • DNS応答改竄による中間者攻撃
    • 本来はVPN内にあるはずのサーバに通信しようとする
    • TLSを利⽤していない社内システムにおいて攻撃可能
    • パスワードが漏洩する結果に
    • VPN繋いでるつもりで繋がらないイライラ
    2020/7/18 ©SAKURA internet Inc. 11
    

    View Slide

12. VPN接続されたクライアントによるリスク
    • マルウエアに感染したクライアントがVPN接続されると…
    • VPN越しに他の端末に感染が広がる可能性がある
    • ユーザーにとって必要なサーバ以外のサーバにも攻撃ができる
    • そもそも影響範囲が広⼤に
    2020/7/18 ©SAKURA internet Inc. 12
    

    View Slide

13. ゼロトラスト・セキュリティ
    定義は⾊々あるので細かいことは⾔いません
    

    View Slide

14. さくらインターネット社内教育資料より
    

    View Slide

15. さくらインターネット社内教育資料より
    

    View Slide

16. さくらインターネット社内教育資料より
    

    View Slide

17. 根本的な考え⽅
    • クライアントが社内ネットワーク以外で常⽤される前提に⽴つ
    • マルウエアに感染したり、侵⼊されたりする可能性があるという前提に⽴つ
    • ネットワーク認証ではなくセッションで認証する
    • できるだけ細かい単位で認証を⾏う
    • 端末、ブラウザ・セッション・サービスなど
    • ⾼度なユーザー認証
    • パスワード以外の情報による認証を組み合わせる
    • 2FA (⼆要素認証・多要素認証)
    • アクセス元のクライアント種別、接続元ネットワーク、地域など
    2020/7/18 ©SAKURA internet Inc. 17
    

    View Slide

18. VPN通さないと⼼配…？
    • 思い出してみよう: Gmail、Office 365、Dropbox、etc…
    • 超重要な情報を保管している
    • VPNなしでも安全性を確保
    • インターネット上のどこからでも、ブラウザだけでアクセスできる
    • ⼆要素認証や、状況に応じた再認証確認のしくみで保護されている
    • セッション単位でユーザを認証することが、より重要
    2020/7/18 ©SAKURA internet Inc. 18
    

    View Slide

19. さくらにおけるゼロトラスト
    

    View Slide

20. 以前から導⼊されていたこと
    • SSOの導⼊
    • Slack、GitHub.com、Office 365、などSaaS利⽤のもの
    

    View Slide

21. 以前から導⼊されていたこと
    • TOTPとFIDOに対応
    

    View Slide

22. コロナ後に⾏ったこと①
    インターネットから社内システムへの直接接続を可能に
    • 認証⽅式を強化
    • 既存のSSOシステムを活⽤
    • インターネットからの利⽤では、⼆要素認証を必須とした
    • おもな対象システム
    • Confluence、サイボウズ Garoon、購買在庫システム、etc…
    →「VPNがなくても在宅勤務できる社員」も出てきた
    2020/7/18 ©SAKURA internet Inc. 22
    

    View Slide

23. SSOによる社内システムのゼロトラスト化
    SAML IdP
    認証サーバ
    sso.example.com
    SAML SP 兼
    リバースプロキシ
    hoge.example.com
    アクセスしたい
    社内サービス
    192.168.1.123
    社内ネットワーク
    

    View Slide

24. SAML SP 兼 リバースプロキシ
    • Nginx と Nginx Lua で構築
    • 弊社社員が過去に実装していた
    hnakamur/nginx-lua-saml-service-provider を活⽤
    • いくつかの課題を解決する実装を追加
    • SAMLで認証し、リバースプロキシするだけのシンプルな構成
    • 既存システムへの変更は最⼩限
    2020/7/18 ©SAKURA internet Inc. 24
    

    View Slide

25. コロナ後に⾏ったこと②
    • TOTPの物理トークンを調達し、希望者に郵送
    • TOTP/FIDOを活⽤してもらうため
    • スマホアプリなどの操作なしに2FAが利⽤可能
    • 利⽤感・課題を検証・洗い出し、本格導⼊に向けた検討材料とする
    • FIDO U2FだけでなくFIDO2にも対応
    • パスワードレスで認証可能に
    • TouchID + Chrome では、指紋認証のみでログイン可能
    2020/7/18 ©SAKURA internet Inc. 25
    

    View Slide

26. TOTP物理トークン
    • 1ユーザあたり100円未満で物理トークンを導⼊
    • 製造メーカーと Alibaba.com と直接取引し、割安品を調達
    • 社内の認証システムを完全に内製していたため、柔軟に対応できた
    2020/7/18 ©SAKURA internet Inc. 26
    

    View Slide

27. TOTP物理トークン
    • Microsoft Forms で希望者（有志者）を募集、郵送送付
    • 希望者に封筒に詰めて発送
    

    View Slide

28. TOTP物理トークン
    • 使⽤者⾃⾝が、受領した物理トークンを、認証システムに登録
    2020/7/18 ©SAKURA internet Inc. 28
    

    View Slide

29. FIDO2によるパスワードレス認証
    • FIDO U2F
    • ユーザー名＆パスワード認証との組み合わせでのみ利⽤できる
    • FIDO2
    • ⽣体認証でログインが可能
    • ユーザー名＆パスワードの⼊⼒が不要
    • ハードウエアキーにサービス情報やユーザー情報を区別して保存する
    ことが可能になった
    2020/7/18 ©SAKURA internet Inc. 29
    

    View Slide

30. FIDO2によるパスワードレス認証
    アカウントの選択肢はChromeが表⽰する
    2020/7/18 ©SAKURA internet Inc. 30
    

    View Slide

31. スムーズに導⼊するためには
    • 社内ネットワーク／VPNアクセスでは、これまで通り利⽤可能
    • 導⼊のタイミングで利⽤できなくなる⼈が発⽣しないように配慮
    • 暫定的に、SSOなしのアクセスを許容した
    • TOTPの物理トークンを調達し、希望者に送付
    • ボタンひとつでワンタイムパスワードを確認し、2FAが利⽤可能
    • スマホアプリなどの導⼊なし
    • 70個程度が稼働中 (2020年7⽉時点)
    2020/7/18 ©SAKURA internet Inc. 31
    

    View Slide

32. スムーズに導⼊するためには
    • 情報セキュリティ部⾨で社内教育資料を作成
    2020/7/18 ©SAKURA internet Inc. 32
    

    View Slide

33. TOTP/FIDOを利⽤する社員が増加
    施策前の利⽤率 30% 程度 → 65% 程度に
    2020/7/18 ©SAKURA internet Inc. 33
    

    View Slide

34. 2FAを実装する場合の注意
    • TOTPやFIDOデバイスは複数登録できるようにすべき
    • 紛失した場合の登録解除が本⼈によってできる
    • ⼀個しか登録できないと不便
    • 不便だと利⽤されないか、使い回しが発⽣してリスクが増える
    • 物理トークンに内蔵された
    リアルタイムクロック(RTC)のスキューに注意
    • トークン内の時刻がずれる（NTP等で同期しているわけではない）
    • 物理トークン登録時にRTC時刻のズレを検証し、考慮する
    2020/7/18 ©SAKURA internet Inc. 34
    

    View Slide

35. 今後の課題
    • 全システムにおいて、TOTPやFIDOを必須にしたい
    • ゼロトラスト化されていないシステムのゼロトラスト化
    • 個⼈情報保護などのため、より⾼度な対策が必要
    • FIDO2においても、条件によってはパスワード認証を⾏う
    • 「オフィス ネットワーク」の廃⽌
    • オフィスにおいても、⾃宅同様にインターネット接続を提供
    • セッション単位で社内システムの利⽤を認証する仕組みに統⼀
    2020/7/18 ©SAKURA internet Inc. 35
    

    View Slide

36. 2020/7/18 ©SAKURA internet Inc. 36
    エンジニアリングラボでは
    プライベートコンテナレジストリを提供しています
    Private Docker Container Registryサービスを作った話
    https://qiita.com/chibiegg/private/746e0825c602f947ab1c
    

    View Slide

37. 2020/7/18 ©SAKURA internet Inc. 37
    FPGAで10GワイヤレートなNTPサーバを作りました
    FPGA ベース・ハードウェアNTPサーバ（Stratum1）特設実験サイト
    https://elab.sakura.ad.jp/ntp-trial/
    

    View Slide