Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロトラスト時代の社内システムセキュリティ/ColoplTech-08-03

 ゼロトラスト時代の社内システムセキュリティ/ColoplTech-08-03

※資料内の参照リンクを選択し閲覧する場合は、ダウンロードをお願いいたします

\積極的に技術発信を行なっております/
▽ Twitter/COLOPL_Tech
https://twitter.com/colopl_tech

▽ connpassページ
http://colopl.connpass.com

▽ COLOPL Tech Blog
http://blog.colopl.dev

COLOPL Inc.

August 15, 2022
Tweet

More Decks by COLOPL Inc.

Other Decks in Technology

Transcript

  1. ゼロトラスト時代の
    社内システムセキュリティ
    2022/08/09

    View full-size slide

  2. 2
    ● 2016年新卒入社
    ● サーバーエンジニア兼ブリッジエンジニア
    ● デザイナー・サウンドクリエイター向けリソース管理システム開
    発・運用
    ● セキュアアセット管理システム開発・運用
    ● 海外協業先の開発サポート
    氏名  :
    部署名 :
    山本 雄太
    技術基盤本部 第2バックエンドエンジニア部
    インターナルグループ
    自己紹介

    View full-size slide

  3. アジェンダ
    1. 在宅業務実施に伴う脱VPNへのアプローチ
    2. Cloud IAP導入によるIPアドレス制限撤廃
    3. セキュリティ的懸念と対策
    4. 今後の展望
    3

    View full-size slide

  4. 在宅業務実施に伴う
    脱VPNへのアプローチ
    4

    View full-size slide

  5. 5
    在宅業務実施に伴う脱VPNへのアプローチ
    2020年 3月 少人数の在宅勤務トライアル
    4月 60%以上の従業員が在宅勤務を開始
    VPN利用に伴う回線速度低下と手間が課題に
    6月 脱VPNプロジェクトが結成
    社内システム系 … 内製システム, 稟議システム, 社内wikiシステムなど
    開発基盤系 … Git, デプロイサーバーへのssh接続など
    ⇨ それぞれアプローチを模索することに
    8月 社内システムの脱VPN化

    View full-size slide

  6. ● 社内システム系の脱VPNアプローチ
    ○ そもそもVPNが不要なシステムへ乗り換える
    ○ Cloud IAPを導入し、認証を強固にしてIPアドレス制限を不要にする
    ● 開発基盤系の脱VPNアプローチ
    ○ Gitやデプロイサーバーへのssh接続の認証にCloud IAPを導入して IPア
    ドレス制限を不要にする
    ■ 現在一部エンジニアで試用段階
    ■ 社内システムと異なりクライアント側の設定が複雑なため、  非エン
    ジニアの作業環境への導入フローが課題
    6
    在宅業務実施に伴う脱VPNへのアプローチ

    View full-size slide

  7. ● 社内システム系の脱VPNアプローチ
    ○ そもそもVPNが不要なシステムへ乗り換える
    ○ Cloud IAPを導入し、認証を強固にしてIPアドレス制限を不要にする
    ● 開発基盤系の脱VPNアプローチ
    ○ Gitやデプロイサーバーへのssh接続の認証にCloud IAPを導入して IPア
    ドレス制限を不要にする
    ■ 現在一部エンジニアで試用段階
    ■ 社内システムと異なりクライアント側の設定が複雑なため、  非エン
    ジニアの作業環境への導入フローが課題
    7
    在宅業務実施に伴う脱VPNへのアプローチ

    View full-size slide

  8. Cloud IAP導入による
    IPアドレス制限撤廃
    8

    View full-size slide

  9. Cloud IAPとは
    ● Googleアカウントでアクセス可否を管理できるマネージドサービス
    ● ユーザーのブラウザ認証情報をチェックしリクエストヘッダーに埋め込む
    ● 認証情報がない場合はOAuth認証フローへリダイレクトされる
    Cloud IAP導入によるIPアドレス制限撤廃
    9
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App

    View full-size slide

  10. 認証・認可
    1. Cloud IAMでドメインやアカウント単位のアクセス制御
    2. 社員情報を管理している内製ツールと同期して権限管理
    10
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App


    Cloud IAP導入によるIPアドレス制限撤廃

    View full-size slide

  11. ゼロトラスト・アーキテクチャの論理コンポーネントとの対応
    ● ポリシー実施ポイント (PEP):Cloud IAP
    ● ポリシー決定ポイント(PDP):Cloud IAM
    ○ ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)は不可分
    11
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App
    PEP/ゲートウェイポータル

    PDP

    サブジェクト

    リソース

    データプレーン

    コントロールプレーン

    Cloud IAP導入によるIPアドレス制限撤廃

    View full-size slide

  12. ゼロトラスト・アーキテクチャの論理コンポーネントとの対応
    ● ポリシー実施ポイント (PEP):Cloud IAP
    ● ポリシー決定ポイント(PDP):Cloud IAM
    ○ ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)は不可分
    実装アプローチ
    ● 拡張アイデンティティガバナンス方式(Google認証によるJWTペイロード)
    実装パターン
    ● リソースポータルモデル
    ○ ポリシー実施ポイントはCloud IAP(=ゲートウェイポータル)
    12
    Cloud IAP導入によるIPアドレス制限撤廃

    View full-size slide

  13. セキュリティ的懸念
    と対策
    13

    View full-size slide

  14. セキュリティ的懸念
    ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か
    ● もしCloud IAPを突破されても大丈夫か
    ● Googleアカウントが乗っ取られた場合進入できてしまう
    14
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App
    セキュリティ的懸念と対策

    View full-size slide

  15. セキュリティ的懸念
    ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か
    ● もしCloud IAPを突破されても大丈夫か
    ● Googleアカウントが乗っ取られた場合進入できてしまう
    15
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App
    セキュリティ的懸念と対策

    View full-size slide

  16. セキュリティ的懸念
    ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か
    ● もしCloud IAPを突破されても大丈夫か
    ● Googleアカウントが乗っ取られた場合進入できてしまう
    16
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App
    セキュリティ的懸念と対策

    View full-size slide

  17. セキュリティ的懸念
    ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か
    ● もしCloud IAPを突破されても大丈夫か
    ● Googleアカウントが乗っ取られた場合進入できてしまう
    17
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App
    セキュリティ的懸念と対策

    View full-size slide

  18. もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か
    ● 外形監視におけるエラーステータス検知時に自動的にCloud Armor (=Google
    製のクラウド型WAF)でIPアドレス制限を有効にする
    セキュリティ的懸念と対策
    18
    Load Barancer
    Cloud IAP Authenticate
 Authorize

    Cloud IAM
    App
    Cloud
    Armor

    View full-size slide

  19. もしCloud IAPを突破されても大丈夫か
    ● JWT検証
    ● 社員情報との付き合わせ
    ● エラーや不正アクセス検知時のアラート
    ● 何が起こったかを追える適切なロギング
    ● 定期的なセキュリティ診断
    ⇨ 攻撃されることは想定内
      いかに早く気付き、何が起こったかを追える状態になっていることが重要
    19
    セキュリティ的懸念と対策

    View full-size slide

  20. アラートの種類
    ● リクエストヘッダーに認証済みアカウント情報があるか
    ○ Cloud IAP障害アラート
    ● 認証済みアカウント情報のJWTペイロードは有効なものか
    ● 認証済みアカウント情報のメールアドレスがアクセス権限を持っているか
    ○ 不正アクセス疑いアラート
    ⇨ いずれも必要に応じてCloud ArmorによるIPアドレス制限を有効化
    20
    セキュリティ的懸念と対策

    View full-size slide

  21. Googleアカウントが乗っ取られた場合進入できてしまう
    ● Googleアカウント管理のセキュリティレベル向上
    ○ Google Workspaceのアラート機能の「不審なログイン」などの  アラート
    監視
    ○ 物理キーによる2要素認証の強制化
    ● 従業員のセキュリティ意識向上
    ○ e-ラーニングなどを用いた情報セキュリティ教育を定期的に実施
    21
    セキュリティ的懸念と対策

    View full-size slide

  22. Googleアカウントが乗っ取られた場合進入できてしまう
    ● 万一乗っ取られた場合にも被害を最小限にする
    ○ アラート検知時に内容をチェックし場合によっては直ちにアカウントを停止
    ○ 情報資産へのアクセス範囲の棚卸を定期的に実施
    ■ 必要最小限の権限割り当て、不要アカウントの定期的な見直し
    ■ ISMS(情報セキュリティマネジメントシステム)に準拠
    22
    セキュリティ的懸念と対策

    View full-size slide

  23. 今後の展望
    23

    View full-size slide

  24. 今後の展望
    現状
    ● Gitやデプロイサーバーなどへのssh接続はIPアドレス制限
    ● 秘密鍵の管理は個々人に依存
    将来
    ● IPアドレス制限をなくし、コンテキストアウェアアクセスを導入
    ● 秘密鍵の管理を統制(物理キー)
    24

    View full-size slide

  25. まとめ
    Cloud IAP導入による脱VPNのセキュリティ的懸念とその対策
    ● Cloud IAPに問題(障害や設定変更ミスなど)が発生した場合、外形監視で即座
    に検知し安全側に倒す
    ● 攻撃はされるものとして、いかに早く気づき、何が起こったかを追える状態に
    なっていることが重要
    ● 物理キーの導入によりGoogleアカウント管理のセキュリティレベルを向上させた
    25

    View full-size slide