Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.

ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.

chibiegg

July 18, 2020
Tweet

More Decks by chibiegg

Other Decks in Technology

Transcript

  1. ゼロトラストで
    もっと便利に、もっと安全に
    2020-07-18 @ LOCAL Developer Day Online ʼ20 /Security
    さくらインターネット株式会社
    技術推進担当 執⾏役員 & CISO
    江草 陽太

    View full-size slide

  2. 2
    【所属等】
    さくらインターネット株式会社 新卒⼊社
    執⾏役員 技術推進統括担当 兼 CISO
    IzumoBASE株式会社 取締役
    【開発】
    • さくらのVPS
    API/DB/制御システム担当
    • sakura.io
    ハードウエア仕様、ファームウエア開発
    システム設計、開発、インフラ設計、構築
    • 社内システム/データセンター⾃動化
    • さくらのエンジニアリングラボ
    【その他】
    • CSAJ U22プログラミング・コンテスト審査員
    • Home NOC Operators’ Group (AS59105)
    @chibiegg

    View full-size slide

  3. 3
    【経歴】
    • ロボカップジュニア (中学・⾼校) / NHK⼤学ロボコン
    • ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻
    • 個⼈事業主
    • ⼤阪⼤学⼤学院⼯学研究科中退
    • SECCON CTF 2014 国内4位
    • ISUCON5/ISUSON7/ISUCON8本戦、ISUCON9問題作成
    • ICTSC7 ⼤⼈チーム
    【専⾨】
    • ソフトウエアエンジニア
    • NW/SC/DBスペシャリスト
    • 回路設計/組み込みソフトウエア
    【趣味】
    旅⾏/温泉/写真/電⼦⼯作/プログラミング/かわいい服
    @chibiegg

    View full-size slide

  4. 2020/7/18 ©SAKURA internet Inc. 4
    趣味で同⼈誌作ってます
    https://chofutech.booth.pm/
    https://hinatan.net/

    View full-size slide

  5. 5
    インターネットインフラの提供を事業ドメインとして、
    ⼤阪、東京、⽯狩の3地域に5つのデータセンターを展開
    1996年12⽉に現社⻑の⽥中邦裕が、
    舞鶴⾼専在学中に学内ベンチャーとして創業。
    1999年8⽉17⽇に株式会社を設⽴。
    10⽉には、第1号となるデータセンターを
    ⼤阪市中央区に開設。
    2005年10⽉に東京証券取引所
    マザーズ市場に上場。
    2011年11⽉
    北海道⽯狩市に国内最⼤級の
    郊外型⼤規模データセンターを開設。
    ⽯狩データセンター開設
    2011
    東証マザーズ上場
    2005
    1996
    1999 株式会社を設⽴
    2015年11⽉に東京証券取引所
    市場第⼀部に市場変更。
    東証⼀部に市場変更
    2015
    さくらインターネット創業
    最初のデータセンター開設
    2016 創業20周年
    本 社 所 在 地 ⼤阪府⼤阪市北区⼤深町4-20
    グランフロント⼤阪タワーA 35F
    創 業 年 ⽉ ⽇ 1996年12⽉23⽇
    (会社設⽴: 1999年8⽉17⽇)
    上 場 年 ⽉ ⽇ 2005年10⽉12⽇(マザーズ)
    2015年11⽉27⽇(東証⼀部へ市場変更)
    資 本 ⾦ 22億5,692万円
    従 業 員 数 連結634名(2018年12⽉末)
    グ ル ー プ 会 社 アイティーエム株式会社(旧エヌシーアイ株式会社)
    株式会社S2i
    櫻花移動電信有限公司
    ゲヒルン株式会社
    株式会社Joe'sクラウドコンピューティング
    ビットスター株式会社
    プラナスソリューションズ株式会社
    IzumoBASE株式会社
    2017 ⼤阪本社オフィス移転
    福岡事務所開設

    View full-size slide

  6. 7
    ハウジングからホスティングまで幅広いサービスを提供
    VPS・クラウド データセンター 新サービス
    レンタルサーバ
    さくらのレンタルサーバ
    さくらのマネージドサーバ
    1台を共有 1台を占有
    1台のサーバを複数の契約
    者でサーバを共有または占
    有することができ、管理は
    さくらインターネットに任
    せて使うサービス
    仮想化技術を⽤い、
    1台の物理サーバ
    上に複数の仮想
    サーバを構築し、
    仮想専⽤サーバと
    して分けた領域の
    占有サービス
    ⾼性能サーバと拡
    張性の⾼いネット
    ワークを圧倒的な
    コストパフォーマ
    ンスで利⽤できる
    IaaS型パブリッ
    ク・クラウド・
    サービス
    ⾼性能で拡張性と信頼性の
    ⾼いサーバをまるごと独占
    して利⽤することができ、
    ⾃由にカスタマイズして利
    ⽤可能なサービス
    1台〜複数台
    ハウジング
    リモートハウジング
    データセンター内にお客様
    専⽤のハウジングスペース
    を確保し、ネットワーク機
    器やサーバなどの機材を⾃
    由に置けるサービス
    通信モジュールから提供することで、セキュアで
    通信環境とデータの保存や処理システムを⼀体型
    で提供するIoTプラットフォームサービス
    Dockerコンテナをマネージドされた環境へ
    ⼿軽・シンプルにプロビジョニング可能なサービス
    さくらの VPS
    機械学習、データ解析、⾼精度シミュレーション
    ⽤途に特化したGPU搭載の専⽤サーバサービス
    専⽤サーバ
    さくらのセキュアモバイルコネクト
    クラウドにダイレクトに接続し、セキュアであり
    つつ任意のネットワークへ接続可能なSIMを
    提供する、IoT向けモバイルサービス
    IoT
    AI
    ⼈⼯知能
    マイクロ
    サービス
    IoT
    【サービスの主な利⽤⽤途】
    ウェブサイト運営、ブログ
    インターネット・メール
    ネットビジネス、電⼦商取引
    動画・⾳楽配信、開発環境
    会員制サイト、キャンペーン・サイト
    SNS、ウェブ・アプリケーション
    SaaS、ASP
    エンタープライズ
    ※マネージドサーバの⼀部も
    ⽯狩データセンターにて収容

    View full-size slide

  7. 在宅勤務やリモートワーク
    • さくらインターネットではどこでも仕事が可能
    • ⼈事制度「さぶりこ どこでもワーキング」
    • 現在、出社不要な⼈の⼤半が在宅勤務をしている
    • コロナウイルスをきっかけに、全社リモートワークに⽅針転換
    • 93%が在宅勤務 (2020年4⽉末時点)
    • ネットワークチームのおかげでVPNに⼤きな不満はない
    • VPN接続による遅延、帯域幅の減少が多少観測されるが、
    許容範囲内
    2020/7/18 ©SAKURA internet Inc. 8

    View full-size slide

  8. さくらインターネット社内教育資料より

    View full-size slide

  9. VPNに繋がっていない時に起きうる問題
    • DNS応答改竄による中間者攻撃
    • 本来はVPN内にあるはずのサーバに通信しようとする
    • TLSを利⽤していない社内システムにおいて攻撃可能
    • パスワードが漏洩する結果に
    • VPN繋いでるつもりで繋がらないイライラ
    2020/7/18 ©SAKURA internet Inc. 11

    View full-size slide

  10. VPN接続されたクライアントによるリスク
    • マルウエアに感染したクライアントがVPN接続されると…
    • VPN越しに他の端末に感染が広がる可能性がある
    • ユーザーにとって必要なサーバ以外のサーバにも攻撃ができる
    • そもそも影響範囲が広⼤に
    2020/7/18 ©SAKURA internet Inc. 12

    View full-size slide

  11. ゼロトラスト・セキュリティ
    定義は⾊々あるので細かいことは⾔いません

    View full-size slide

  12. さくらインターネット社内教育資料より

    View full-size slide

  13. さくらインターネット社内教育資料より

    View full-size slide

  14. さくらインターネット社内教育資料より

    View full-size slide

  15. 根本的な考え⽅
    • クライアントが社内ネットワーク以外で常⽤される前提に⽴つ
    • マルウエアに感染したり、侵⼊されたりする可能性があるという前提に⽴つ
    • ネットワーク認証ではなくセッションで認証する
    • できるだけ細かい単位で認証を⾏う
    • 端末、ブラウザ・セッション・サービスなど
    • ⾼度なユーザー認証
    • パスワード以外の情報による認証を組み合わせる
    • 2FA (⼆要素認証・多要素認証)
    • アクセス元のクライアント種別、接続元ネットワーク、地域など
    2020/7/18 ©SAKURA internet Inc. 17

    View full-size slide

  16. VPN通さないと⼼配…?
    • 思い出してみよう: Gmail、Office 365、Dropbox、etc…
    • 超重要な情報を保管している
    • VPNなしでも安全性を確保
    • インターネット上のどこからでも、ブラウザだけでアクセスできる
    • ⼆要素認証や、状況に応じた再認証確認のしくみで保護されている
    • セッション単位でユーザを認証することが、より重要
    2020/7/18 ©SAKURA internet Inc. 18

    View full-size slide

  17. さくらにおけるゼロトラスト

    View full-size slide

  18. 以前から導⼊されていたこと
    • SSOの導⼊
    • Slack、GitHub.com、Office 365、などSaaS利⽤のもの

    View full-size slide

  19. 以前から導⼊されていたこと
    • TOTPとFIDOに対応

    View full-size slide

  20. コロナ後に⾏ったこと①
    インターネットから社内システムへの直接接続を可能に
    • 認証⽅式を強化
    • 既存のSSOシステムを活⽤
    • インターネットからの利⽤では、⼆要素認証を必須とした
    • おもな対象システム
    • Confluence、サイボウズ Garoon、購買在庫システム、etc…
    →「VPNがなくても在宅勤務できる社員」も出てきた
    2020/7/18 ©SAKURA internet Inc. 22

    View full-size slide

  21. SSOによる社内システムのゼロトラスト化
    SAML IdP
    認証サーバ
    sso.example.com
    SAML SP 兼
    リバースプロキシ
    hoge.example.com
    アクセスしたい
    社内サービス
    192.168.1.123
    社内ネットワーク

    View full-size slide

  22. SAML SP 兼 リバースプロキシ
    • Nginx と Nginx Lua で構築
    • 弊社社員が過去に実装していた
    hnakamur/nginx-lua-saml-service-provider を活⽤
    • いくつかの課題を解決する実装を追加
    • SAMLで認証し、リバースプロキシするだけのシンプルな構成
    • 既存システムへの変更は最⼩限
    2020/7/18 ©SAKURA internet Inc. 24

    View full-size slide

  23. コロナ後に⾏ったこと②
    • TOTPの物理トークンを調達し、希望者に郵送
    • TOTP/FIDOを活⽤してもらうため
    • スマホアプリなどの操作なしに2FAが利⽤可能
    • 利⽤感・課題を検証・洗い出し、本格導⼊に向けた検討材料とする
    • FIDO U2FだけでなくFIDO2にも対応
    • パスワードレスで認証可能に
    • TouchID + Chrome では、指紋認証のみでログイン可能
    2020/7/18 ©SAKURA internet Inc. 25

    View full-size slide

  24. TOTP物理トークン
    • 1ユーザあたり100円未満で物理トークンを導⼊
    • 製造メーカーと Alibaba.com と直接取引し、割安品を調達
    • 社内の認証システムを完全に内製していたため、柔軟に対応できた
    2020/7/18 ©SAKURA internet Inc. 26

    View full-size slide

  25. TOTP物理トークン
    • Microsoft Forms で希望者(有志者)を募集、郵送送付
    • 希望者に封筒に詰めて発送

    View full-size slide

  26. TOTP物理トークン
    • 使⽤者⾃⾝が、受領した物理トークンを、認証システムに登録
    2020/7/18 ©SAKURA internet Inc. 28

    View full-size slide

  27. FIDO2によるパスワードレス認証
    • FIDO U2F
    • ユーザー名&パスワード認証との組み合わせでのみ利⽤できる
    • FIDO2
    • ⽣体認証でログインが可能
    • ユーザー名&パスワードの⼊⼒が不要
    • ハードウエアキーにサービス情報やユーザー情報を区別して保存する
    ことが可能になった
    2020/7/18 ©SAKURA internet Inc. 29

    View full-size slide

  28. FIDO2によるパスワードレス認証
    アカウントの選択肢はChromeが表⽰する
    2020/7/18 ©SAKURA internet Inc. 30

    View full-size slide

  29. スムーズに導⼊するためには
    • 社内ネットワーク/VPNアクセスでは、これまで通り利⽤可能
    • 導⼊のタイミングで利⽤できなくなる⼈が発⽣しないように配慮
    • 暫定的に、SSOなしのアクセスを許容した
    • TOTPの物理トークンを調達し、希望者に送付
    • ボタンひとつでワンタイムパスワードを確認し、2FAが利⽤可能
    • スマホアプリなどの導⼊なし
    • 70個程度が稼働中 (2020年7⽉時点)
    2020/7/18 ©SAKURA internet Inc. 31

    View full-size slide

  30. スムーズに導⼊するためには
    • 情報セキュリティ部⾨で社内教育資料を作成
    2020/7/18 ©SAKURA internet Inc. 32

    View full-size slide

  31. TOTP/FIDOを利⽤する社員が増加
    施策前の利⽤率 30% 程度 → 65% 程度に
    2020/7/18 ©SAKURA internet Inc. 33

    View full-size slide

  32. 2FAを実装する場合の注意
    • TOTPやFIDOデバイスは複数登録できるようにすべき
    • 紛失した場合の登録解除が本⼈によってできる
    • ⼀個しか登録できないと不便
    • 不便だと利⽤されないか、使い回しが発⽣してリスクが増える
    • 物理トークンに内蔵された
    リアルタイムクロック(RTC)のスキューに注意
    • トークン内の時刻がずれる(NTP等で同期しているわけではない)
    • 物理トークン登録時にRTC時刻のズレを検証し、考慮する
    2020/7/18 ©SAKURA internet Inc. 34

    View full-size slide

  33. 今後の課題
    • 全システムにおいて、TOTPやFIDOを必須にしたい
    • ゼロトラスト化されていないシステムのゼロトラスト化
    • 個⼈情報保護などのため、より⾼度な対策が必要
    • FIDO2においても、条件によってはパスワード認証を⾏う
    • 「オフィス ネットワーク」の廃⽌
    • オフィスにおいても、⾃宅同様にインターネット接続を提供
    • セッション単位で社内システムの利⽤を認証する仕組みに統⼀
    2020/7/18 ©SAKURA internet Inc. 35

    View full-size slide

  34. 2020/7/18 ©SAKURA internet Inc. 36
    エンジニアリングラボでは
    プライベートコンテナレジストリを提供しています
    Private Docker Container Registryサービスを作った話
    https://qiita.com/chibiegg/private/746e0825c602f947ab1c

    View full-size slide

  35. 2020/7/18 ©SAKURA internet Inc. 37
    FPGAで10GワイヤレートなNTPサーバを作りました
    FPGA ベース・ハードウェアNTPサーバ(Stratum1)特設実験サイト
    https://elab.sakura.ad.jp/ntp-trial/

    View full-size slide