Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.

ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.

1ebd0877fc2fa18ecd0cf3105293fa1e?s=128

chibiegg

July 18, 2020
Tweet

More Decks by chibiegg

Other Decks in Technology

Transcript

  1. ゼロトラストで もっと便利に、もっと安全に 2020-07-18 @ LOCAL Developer Day Online ʼ20 /Security

    さくらインターネット株式会社 技術推進担当 執⾏役員 & CISO 江草 陽太
  2. 2 【所属等】 さくらインターネット株式会社 新卒⼊社 執⾏役員 技術推進統括担当 兼 CISO IzumoBASE株式会社 取締役

    【開発】 • さくらのVPS API/DB/制御システム担当 • sakura.io ハードウエア仕様、ファームウエア開発 システム設計、開発、インフラ設計、構築 • 社内システム/データセンター⾃動化 • さくらのエンジニアリングラボ 【その他】 • CSAJ U22プログラミング・コンテスト審査員 • Home NOC Operators’ Group (AS59105) @chibiegg
  3. 3 【経歴】 • ロボカップジュニア (中学・⾼校) / NHK⼤学ロボコン • ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻 •

    個⼈事業主 • ⼤阪⼤学⼤学院⼯学研究科中退 • SECCON CTF 2014 国内4位 • ISUCON5/ISUSON7/ISUCON8本戦、ISUCON9問題作成 • ICTSC7 ⼤⼈チーム 【専⾨】 • ソフトウエアエンジニア • NW/SC/DBスペシャリスト • 回路設計/組み込みソフトウエア 【趣味】 旅⾏/温泉/写真/電⼦⼯作/プログラミング/かわいい服 @chibiegg
  4. 2020/7/18 ©SAKURA internet Inc. 4 趣味で同⼈誌作ってます https://chofutech.booth.pm/ https://hinatan.net/

  5. 5 インターネットインフラの提供を事業ドメインとして、 ⼤阪、東京、⽯狩の3地域に5つのデータセンターを展開 1996年12⽉に現社⻑の⽥中邦裕が、 舞鶴⾼専在学中に学内ベンチャーとして創業。 1999年8⽉17⽇に株式会社を設⽴。 10⽉には、第1号となるデータセンターを ⼤阪市中央区に開設。 2005年10⽉に東京証券取引所 マザーズ市場に上場。

    2011年11⽉ 北海道⽯狩市に国内最⼤級の 郊外型⼤規模データセンターを開設。 ⽯狩データセンター開設 2011 東証マザーズ上場 2005 1996 1999 株式会社を設⽴ 2015年11⽉に東京証券取引所 市場第⼀部に市場変更。 東証⼀部に市場変更 2015 さくらインターネット創業 最初のデータセンター開設 2016 創業20周年 本 社 所 在 地 ⼤阪府⼤阪市北区⼤深町4-20 グランフロント⼤阪タワーA 35F 創 業 年 ⽉ ⽇ 1996年12⽉23⽇ (会社設⽴: 1999年8⽉17⽇) 上 場 年 ⽉ ⽇ 2005年10⽉12⽇(マザーズ) 2015年11⽉27⽇(東証⼀部へ市場変更) 資 本 ⾦ 22億5,692万円 従 業 員 数 連結634名(2018年12⽉末) グ ル ー プ 会 社 アイティーエム株式会社(旧エヌシーアイ株式会社) 株式会社S2i 櫻花移動電信有限公司 ゲヒルン株式会社 株式会社Joe'sクラウドコンピューティング ビットスター株式会社 プラナスソリューションズ株式会社 IzumoBASE株式会社 2017 ⼤阪本社オフィス移転 福岡事務所開設
  6. 6

  7. 7 ハウジングからホスティングまで幅広いサービスを提供 VPS・クラウド データセンター 新サービス レンタルサーバ さくらのレンタルサーバ さくらのマネージドサーバ 1台を共有 1台を占有

    1台のサーバを複数の契約 者でサーバを共有または占 有することができ、管理は さくらインターネットに任 せて使うサービス 仮想化技術を⽤い、 1台の物理サーバ 上に複数の仮想 サーバを構築し、 仮想専⽤サーバと して分けた領域の 占有サービス ⾼性能サーバと拡 張性の⾼いネット ワークを圧倒的な コストパフォーマ ンスで利⽤できる IaaS型パブリッ ク・クラウド・ サービス ⾼性能で拡張性と信頼性の ⾼いサーバをまるごと独占 して利⽤することができ、 ⾃由にカスタマイズして利 ⽤可能なサービス 1台〜複数台 ハウジング リモートハウジング データセンター内にお客様 専⽤のハウジングスペース を確保し、ネットワーク機 器やサーバなどの機材を⾃ 由に置けるサービス 通信モジュールから提供することで、セキュアで 通信環境とデータの保存や処理システムを⼀体型 で提供するIoTプラットフォームサービス Dockerコンテナをマネージドされた環境へ ⼿軽・シンプルにプロビジョニング可能なサービス さくらの VPS 機械学習、データ解析、⾼精度シミュレーション ⽤途に特化したGPU搭載の専⽤サーバサービス 専⽤サーバ さくらのセキュアモバイルコネクト クラウドにダイレクトに接続し、セキュアであり つつ任意のネットワークへ接続可能なSIMを 提供する、IoT向けモバイルサービス IoT AI ⼈⼯知能 マイクロ サービス IoT 【サービスの主な利⽤⽤途】 ウェブサイト運営、ブログ インターネット・メール ネットビジネス、電⼦商取引 動画・⾳楽配信、開発環境 会員制サイト、キャンペーン・サイト SNS、ウェブ・アプリケーション SaaS、ASP エンタープライズ ※マネージドサーバの⼀部も ⽯狩データセンターにて収容
  8. 在宅勤務やリモートワーク • さくらインターネットではどこでも仕事が可能 • ⼈事制度「さぶりこ どこでもワーキング」 • 現在、出社不要な⼈の⼤半が在宅勤務をしている • コロナウイルスをきっかけに、全社リモートワークに⽅針転換

    • 93%が在宅勤務 (2020年4⽉末時点) • ネットワークチームのおかげでVPNに⼤きな不満はない • VPN接続による遅延、帯域幅の減少が多少観測されるが、 許容範囲内 2020/7/18 ©SAKURA internet Inc. 8
  9. VPN

  10. さくらインターネット社内教育資料より

  11. VPNに繋がっていない時に起きうる問題 • DNS応答改竄による中間者攻撃 • 本来はVPN内にあるはずのサーバに通信しようとする • TLSを利⽤していない社内システムにおいて攻撃可能 • パスワードが漏洩する結果に •

    VPN繋いでるつもりで繋がらないイライラ 2020/7/18 ©SAKURA internet Inc. 11
  12. VPN接続されたクライアントによるリスク • マルウエアに感染したクライアントがVPN接続されると… • VPN越しに他の端末に感染が広がる可能性がある • ユーザーにとって必要なサーバ以外のサーバにも攻撃ができる • そもそも影響範囲が広⼤に 2020/7/18

    ©SAKURA internet Inc. 12
  13. ゼロトラスト・セキュリティ 定義は⾊々あるので細かいことは⾔いません

  14. さくらインターネット社内教育資料より

  15. さくらインターネット社内教育資料より

  16. さくらインターネット社内教育資料より

  17. 根本的な考え⽅ • クライアントが社内ネットワーク以外で常⽤される前提に⽴つ • マルウエアに感染したり、侵⼊されたりする可能性があるという前提に⽴つ • ネットワーク認証ではなくセッションで認証する • できるだけ細かい単位で認証を⾏う •

    端末、ブラウザ・セッション・サービスなど • ⾼度なユーザー認証 • パスワード以外の情報による認証を組み合わせる • 2FA (⼆要素認証・多要素認証) • アクセス元のクライアント種別、接続元ネットワーク、地域など 2020/7/18 ©SAKURA internet Inc. 17
  18. VPN通さないと⼼配…? • 思い出してみよう: Gmail、Office 365、Dropbox、etc… • 超重要な情報を保管している • VPNなしでも安全性を確保 •

    インターネット上のどこからでも、ブラウザだけでアクセスできる • ⼆要素認証や、状況に応じた再認証確認のしくみで保護されている • セッション単位でユーザを認証することが、より重要 2020/7/18 ©SAKURA internet Inc. 18
  19. さくらにおけるゼロトラスト

  20. 以前から導⼊されていたこと • SSOの導⼊ • Slack、GitHub.com、Office 365、などSaaS利⽤のもの

  21. 以前から導⼊されていたこと • TOTPとFIDOに対応

  22. コロナ後に⾏ったこと① インターネットから社内システムへの直接接続を可能に • 認証⽅式を強化 • 既存のSSOシステムを活⽤ • インターネットからの利⽤では、⼆要素認証を必須とした • おもな対象システム

    • Confluence、サイボウズ Garoon、購買在庫システム、etc… →「VPNがなくても在宅勤務できる社員」も出てきた 2020/7/18 ©SAKURA internet Inc. 22
  23. SSOによる社内システムのゼロトラスト化 SAML IdP 認証サーバ sso.example.com SAML SP 兼 リバースプロキシ hoge.example.com

    アクセスしたい 社内サービス 192.168.1.123 社内ネットワーク
  24. SAML SP 兼 リバースプロキシ • Nginx と Nginx Lua で構築

    • 弊社社員が過去に実装していた hnakamur/nginx-lua-saml-service-provider を活⽤ • いくつかの課題を解決する実装を追加 • SAMLで認証し、リバースプロキシするだけのシンプルな構成 • 既存システムへの変更は最⼩限 2020/7/18 ©SAKURA internet Inc. 24
  25. コロナ後に⾏ったこと② • TOTPの物理トークンを調達し、希望者に郵送 • TOTP/FIDOを活⽤してもらうため • スマホアプリなどの操作なしに2FAが利⽤可能 • 利⽤感・課題を検証・洗い出し、本格導⼊に向けた検討材料とする •

    FIDO U2FだけでなくFIDO2にも対応 • パスワードレスで認証可能に • TouchID + Chrome では、指紋認証のみでログイン可能 2020/7/18 ©SAKURA internet Inc. 25
  26. TOTP物理トークン • 1ユーザあたり100円未満で物理トークンを導⼊ • 製造メーカーと Alibaba.com と直接取引し、割安品を調達 • 社内の認証システムを完全に内製していたため、柔軟に対応できた 2020/7/18

    ©SAKURA internet Inc. 26
  27. TOTP物理トークン • Microsoft Forms で希望者(有志者)を募集、郵送送付 • 希望者に封筒に詰めて発送

  28. TOTP物理トークン • 使⽤者⾃⾝が、受領した物理トークンを、認証システムに登録 2020/7/18 ©SAKURA internet Inc. 28

  29. FIDO2によるパスワードレス認証 • FIDO U2F • ユーザー名&パスワード認証との組み合わせでのみ利⽤できる • FIDO2 • ⽣体認証でログインが可能

    • ユーザー名&パスワードの⼊⼒が不要 • ハードウエアキーにサービス情報やユーザー情報を区別して保存する ことが可能になった 2020/7/18 ©SAKURA internet Inc. 29
  30. FIDO2によるパスワードレス認証 アカウントの選択肢はChromeが表⽰する 2020/7/18 ©SAKURA internet Inc. 30

  31. スムーズに導⼊するためには • 社内ネットワーク/VPNアクセスでは、これまで通り利⽤可能 • 導⼊のタイミングで利⽤できなくなる⼈が発⽣しないように配慮 • 暫定的に、SSOなしのアクセスを許容した • TOTPの物理トークンを調達し、希望者に送付 •

    ボタンひとつでワンタイムパスワードを確認し、2FAが利⽤可能 • スマホアプリなどの導⼊なし • 70個程度が稼働中 (2020年7⽉時点) 2020/7/18 ©SAKURA internet Inc. 31
  32. スムーズに導⼊するためには • 情報セキュリティ部⾨で社内教育資料を作成 2020/7/18 ©SAKURA internet Inc. 32

  33. TOTP/FIDOを利⽤する社員が増加 施策前の利⽤率 30% 程度 → 65% 程度に 2020/7/18 ©SAKURA internet

    Inc. 33
  34. 2FAを実装する場合の注意 • TOTPやFIDOデバイスは複数登録できるようにすべき • 紛失した場合の登録解除が本⼈によってできる • ⼀個しか登録できないと不便 • 不便だと利⽤されないか、使い回しが発⽣してリスクが増える •

    物理トークンに内蔵された リアルタイムクロック(RTC)のスキューに注意 • トークン内の時刻がずれる(NTP等で同期しているわけではない) • 物理トークン登録時にRTC時刻のズレを検証し、考慮する 2020/7/18 ©SAKURA internet Inc. 34
  35. 今後の課題 • 全システムにおいて、TOTPやFIDOを必須にしたい • ゼロトラスト化されていないシステムのゼロトラスト化 • 個⼈情報保護などのため、より⾼度な対策が必要 • FIDO2においても、条件によってはパスワード認証を⾏う •

    「オフィス ネットワーク」の廃⽌ • オフィスにおいても、⾃宅同様にインターネット接続を提供 • セッション単位で社内システムの利⽤を認証する仕組みに統⼀ 2020/7/18 ©SAKURA internet Inc. 35
  36. 2020/7/18 ©SAKURA internet Inc. 36 エンジニアリングラボでは プライベートコンテナレジストリを提供しています Private Docker Container

    Registryサービスを作った話 https://qiita.com/chibiegg/private/746e0825c602f947ab1c
  37. 2020/7/18 ©SAKURA internet Inc. 37 FPGAで10GワイヤレートなNTPサーバを作りました FPGA ベース・ハードウェアNTPサーバ(Stratum1)特設実験サイト https://elab.sakura.ad.jp/ntp-trial/