ゼロトラストで もっと便利に、もっと安全に 2020-07-18 @ LOCAL Developer Day Online ʼ20 /Security さくらインターネット株式会社 技術推進担当 執⾏役員 & CISO 江草 陽太 

2 【所属等】 さくらインターネット株式会社 新卒⼊社 執⾏役員 技術推進統括担当 兼 CISO IzumoBASE株式会社 取締役 【開発】 • さくらのVPS API/DB/制御システム担当 • sakura.io ハードウエア仕様、ファームウエア開発 システム設計、開発、インフラ設計、構築 • 社内システム/データセンター⾃動化 • さくらのエンジニアリングラボ 【その他】 • CSAJ U22プログラミング・コンテスト審査員 • Home NOC Operators’ Group (AS59105) @chibiegg 

3 【経歴】 • ロボカップジュニア (中学・⾼校) / NHK⼤学ロボコン • ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻 • 個⼈事業主 • ⼤阪⼤学⼤学院⼯学研究科中退 • SECCON CTF 2014 国内4位 • ISUCON5/ISUSON7/ISUCON8本戦、ISUCON9問題作成 • ICTSC7 ⼤⼈チーム 【専⾨】 • ソフトウエアエンジニア • NW/SC/DBスペシャリスト • 回路設計/組み込みソフトウエア 【趣味】 旅⾏/温泉/写真/電⼦⼯作/プログラミング/かわいい服 @chibiegg 

2020/7/18 ©SAKURA internet Inc. 4 趣味で同⼈誌作ってます https://chofutech.booth.pm/ https://hinatan.net/ 

5 インターネットインフラの提供を事業ドメインとして、 ⼤阪、東京、⽯狩の3地域に5つのデータセンターを展開 1996年12⽉に現社⻑の⽥中邦裕が、 舞鶴⾼専在学中に学内ベンチャーとして創業。 1999年8⽉17⽇に株式会社を設⽴。 10⽉には、第1号となるデータセンターを ⼤阪市中央区に開設。 2005年10⽉に東京証券取引所 マザーズ市場に上場。 2011年11⽉ 北海道⽯狩市に国内最⼤級の 郊外型⼤規模データセンターを開設。 ⽯狩データセンター開設 2011 東証マザーズ上場 2005 1996 1999 株式会社を設⽴ 2015年11⽉に東京証券取引所 市場第⼀部に市場変更。 東証⼀部に市場変更 2015 さくらインターネット創業 最初のデータセンター開設 2016 創業20周年 本 社 所 在 地 ⼤阪府⼤阪市北区⼤深町4-20 グランフロント⼤阪タワーA 35F 創 業 年 ⽉ ⽇ 1996年12⽉23⽇ （会社設⽴: 1999年8⽉17⽇） 上 場 年 ⽉ ⽇ 2005年10⽉12⽇（マザーズ） 2015年11⽉27⽇（東証⼀部へ市場変更） 資 本 ⾦ 22億5,692万円 従 業 員 数 連結634名（2018年12⽉末) グ ル ー プ 会 社 アイティーエム株式会社（旧エヌシーアイ株式会社） 株式会社S2i 櫻花移動電信有限公司 ゲヒルン株式会社 株式会社Joe'sクラウドコンピューティング ビットスター株式会社 プラナスソリューションズ株式会社 IzumoBASE株式会社 2017 ⼤阪本社オフィス移転 福岡事務所開設 

6 

7 ハウジングからホスティングまで幅広いサービスを提供 VPS・クラウド データセンター 新サービス レンタルサーバ さくらのレンタルサーバ さくらのマネージドサーバ 1台を共有 1台を占有 1台のサーバを複数の契約 者でサーバを共有または占 有することができ、管理は さくらインターネットに任 せて使うサービス 仮想化技術を⽤い、 1台の物理サーバ 上に複数の仮想 サーバを構築し、 仮想専⽤サーバと して分けた領域の 占有サービス ⾼性能サーバと拡 張性の⾼いネット ワークを圧倒的な コストパフォーマ ンスで利⽤できる IaaS型パブリッ ク・クラウド・ サービス ⾼性能で拡張性と信頼性の ⾼いサーバをまるごと独占 して利⽤することができ、 ⾃由にカスタマイズして利 ⽤可能なサービス 1台〜複数台 ハウジング リモートハウジング データセンター内にお客様 専⽤のハウジングスペース を確保し、ネットワーク機 器やサーバなどの機材を⾃ 由に置けるサービス 通信モジュールから提供することで、セキュアで 通信環境とデータの保存や処理システムを⼀体型 で提供するIoTプラットフォームサービス Dockerコンテナをマネージドされた環境へ ⼿軽・シンプルにプロビジョニング可能なサービス さくらの VPS 機械学習、データ解析、⾼精度シミュレーション ⽤途に特化したGPU搭載の専⽤サーバサービス 専⽤サーバ さくらのセキュアモバイルコネクト クラウドにダイレクトに接続し、セキュアであり つつ任意のネットワークへ接続可能なSIMを 提供する、IoT向けモバイルサービス IoT AI ⼈⼯知能 マイクロ サービス IoT 【サービスの主な利⽤⽤途】 ウェブサイト運営、ブログ インターネット・メール ネットビジネス、電⼦商取引 動画・⾳楽配信、開発環境 会員制サイト、キャンペーン・サイト SNS、ウェブ・アプリケーション SaaS、ASP エンタープライズ ※マネージドサーバの⼀部も ⽯狩データセンターにて収容 

在宅勤務やリモートワーク • さくらインターネットではどこでも仕事が可能 • ⼈事制度「さぶりこ どこでもワーキング」 • 現在、出社不要な⼈の⼤半が在宅勤務をしている • コロナウイルスをきっかけに、全社リモートワークに⽅針転換 • 93%が在宅勤務 (2020年4⽉末時点) • ネットワークチームのおかげでVPNに⼤きな不満はない • VPN接続による遅延、帯域幅の減少が多少観測されるが、 許容範囲内 2020/7/18 ©SAKURA internet Inc. 8 

VPN 

さくらインターネット社内教育資料より 

VPNに繋がっていない時に起きうる問題 • DNS応答改竄による中間者攻撃 • 本来はVPN内にあるはずのサーバに通信しようとする • TLSを利⽤していない社内システムにおいて攻撃可能 • パスワードが漏洩する結果に • VPN繋いでるつもりで繋がらないイライラ 2020/7/18 ©SAKURA internet Inc. 11 

VPN接続されたクライアントによるリスク • マルウエアに感染したクライアントがVPN接続されると… • VPN越しに他の端末に感染が広がる可能性がある • ユーザーにとって必要なサーバ以外のサーバにも攻撃ができる • そもそも影響範囲が広⼤に 2020/7/18 ©SAKURA internet Inc. 12 

ゼロトラスト・セキュリティ 定義は⾊々あるので細かいことは⾔いません 

さくらインターネット社内教育資料より 

さくらインターネット社内教育資料より 

さくらインターネット社内教育資料より 

根本的な考え⽅ • クライアントが社内ネットワーク以外で常⽤される前提に⽴つ • マルウエアに感染したり、侵⼊されたりする可能性があるという前提に⽴つ • ネットワーク認証ではなくセッションで認証する • できるだけ細かい単位で認証を⾏う • 端末、ブラウザ・セッション・サービスなど • ⾼度なユーザー認証 • パスワード以外の情報による認証を組み合わせる • 2FA (⼆要素認証・多要素認証) • アクセス元のクライアント種別、接続元ネットワーク、地域など 2020/7/18 ©SAKURA internet Inc. 17 

VPN通さないと⼼配…？ • 思い出してみよう: Gmail、Office 365、Dropbox、etc… • 超重要な情報を保管している • VPNなしでも安全性を確保 • インターネット上のどこからでも、ブラウザだけでアクセスできる • ⼆要素認証や、状況に応じた再認証確認のしくみで保護されている • セッション単位でユーザを認証することが、より重要 2020/7/18 ©SAKURA internet Inc. 18 

さくらにおけるゼロトラスト 

以前から導⼊されていたこと • SSOの導⼊ • Slack、GitHub.com、Office 365、などSaaS利⽤のもの 

以前から導⼊されていたこと • TOTPとFIDOに対応 

コロナ後に⾏ったこと① インターネットから社内システムへの直接接続を可能に • 認証⽅式を強化 • 既存のSSOシステムを活⽤ • インターネットからの利⽤では、⼆要素認証を必須とした • おもな対象システム • Confluence、サイボウズ Garoon、購買在庫システム、etc… →「VPNがなくても在宅勤務できる社員」も出てきた 2020/7/18 ©SAKURA internet Inc. 22 

SSOによる社内システムのゼロトラスト化 SAML IdP 認証サーバ sso.example.com SAML SP 兼 リバースプロキシ hoge.example.com アクセスしたい 社内サービス 192.168.1.123 社内ネットワーク 

SAML SP 兼 リバースプロキシ • Nginx と Nginx Lua で構築 • 弊社社員が過去に実装していた hnakamur/nginx-lua-saml-service-provider を活⽤ • いくつかの課題を解決する実装を追加 • SAMLで認証し、リバースプロキシするだけのシンプルな構成 • 既存システムへの変更は最⼩限 2020/7/18 ©SAKURA internet Inc. 24 

コロナ後に⾏ったこと② • TOTPの物理トークンを調達し、希望者に郵送 • TOTP/FIDOを活⽤してもらうため • スマホアプリなどの操作なしに2FAが利⽤可能 • 利⽤感・課題を検証・洗い出し、本格導⼊に向けた検討材料とする • FIDO U2FだけでなくFIDO2にも対応 • パスワードレスで認証可能に • TouchID + Chrome では、指紋認証のみでログイン可能 2020/7/18 ©SAKURA internet Inc. 25 

TOTP物理トークン • 1ユーザあたり100円未満で物理トークンを導⼊ • 製造メーカーと Alibaba.com と直接取引し、割安品を調達 • 社内の認証システムを完全に内製していたため、柔軟に対応できた 2020/7/18 ©SAKURA internet Inc. 26 

TOTP物理トークン • Microsoft Forms で希望者（有志者）を募集、郵送送付 • 希望者に封筒に詰めて発送 

TOTP物理トークン • 使⽤者⾃⾝が、受領した物理トークンを、認証システムに登録 2020/7/18 ©SAKURA internet Inc. 28 

FIDO2によるパスワードレス認証 • FIDO U2F • ユーザー名＆パスワード認証との組み合わせでのみ利⽤できる • FIDO2 • ⽣体認証でログインが可能 • ユーザー名＆パスワードの⼊⼒が不要 • ハードウエアキーにサービス情報やユーザー情報を区別して保存する ことが可能になった 2020/7/18 ©SAKURA internet Inc. 29 

FIDO2によるパスワードレス認証 アカウントの選択肢はChromeが表⽰する 2020/7/18 ©SAKURA internet Inc. 30 

スムーズに導⼊するためには • 社内ネットワーク／VPNアクセスでは、これまで通り利⽤可能 • 導⼊のタイミングで利⽤できなくなる⼈が発⽣しないように配慮 • 暫定的に、SSOなしのアクセスを許容した • TOTPの物理トークンを調達し、希望者に送付 • ボタンひとつでワンタイムパスワードを確認し、2FAが利⽤可能 • スマホアプリなどの導⼊なし • 70個程度が稼働中 (2020年7⽉時点) 2020/7/18 ©SAKURA internet Inc. 31 

スムーズに導⼊するためには • 情報セキュリティ部⾨で社内教育資料を作成 2020/7/18 ©SAKURA internet Inc. 32 

TOTP/FIDOを利⽤する社員が増加 施策前の利⽤率 30% 程度 → 65% 程度に 2020/7/18 ©SAKURA internet Inc. 33 

2FAを実装する場合の注意 • TOTPやFIDOデバイスは複数登録できるようにすべき • 紛失した場合の登録解除が本⼈によってできる • ⼀個しか登録できないと不便 • 不便だと利⽤されないか、使い回しが発⽣してリスクが増える • 物理トークンに内蔵された リアルタイムクロック(RTC)のスキューに注意 • トークン内の時刻がずれる（NTP等で同期しているわけではない） • 物理トークン登録時にRTC時刻のズレを検証し、考慮する 2020/7/18 ©SAKURA internet Inc. 34 

今後の課題 • 全システムにおいて、TOTPやFIDOを必須にしたい • ゼロトラスト化されていないシステムのゼロトラスト化 • 個⼈情報保護などのため、より⾼度な対策が必要 • FIDO2においても、条件によってはパスワード認証を⾏う • 「オフィス ネットワーク」の廃⽌ • オフィスにおいても、⾃宅同様にインターネット接続を提供 • セッション単位で社内システムの利⽤を認証する仕組みに統⼀ 2020/7/18 ©SAKURA internet Inc. 35 

2020/7/18 ©SAKURA internet Inc. 36 エンジニアリングラボでは プライベートコンテナレジストリを提供しています Private Docker Container Registryサービスを作った話 https://qiita.com/chibiegg/private/746e0825c602f947ab1c 

2020/7/18 ©SAKURA internet Inc. 37 FPGAで10GワイヤレートなNTPサーバを作りました FPGA ベース・ハードウェアNTPサーバ（Stratum1）特設実験サイト https://elab.sakura.ad.jp/ntp-trial/