ゼロトラスト時代の 社内システムセキュリティ 2022/08/09

2 ● 2016年新卒入社 ● サーバーエンジニア兼ブリッジエンジニア ● デザイナー・サウンドクリエイター向けリソース管理システム開 発・運用 ● セキュアアセット管理システム開発・運用 ● 海外協業先の開発サポート 氏名　 ： 部署名 ： 山本 雄太 技術基盤本部 第2バックエンドエンジニア部 インターナルグループ 自己紹介

アジェンダ 1. 在宅業務実施に伴う脱VPNへのアプローチ 2. Cloud IAP導入によるIPアドレス制限撤廃 3. セキュリティ的懸念と対策 4. 今後の展望 3

在宅業務実施に伴う 脱VPNへのアプローチ 4

5 在宅業務実施に伴う脱VPNへのアプローチ 2020年 3月 少人数の在宅勤務トライアル 4月 60%以上の従業員が在宅勤務を開始 VPN利用に伴う回線速度低下と手間が課題に 6月 脱VPNプロジェクトが結成 社内システム系 … 内製システム, 稟議システム, 社内wikiシステムなど 開発基盤系 … Git, デプロイサーバーへのssh接続など ⇨　それぞれアプローチを模索することに 8月 社内システムの脱VPN化

● 社内システム系の脱VPNアプローチ ○ そもそもVPNが不要なシステムへ乗り換える ○ Cloud IAPを導入し、認証を強固にしてIPアドレス制限を不要にする ● 開発基盤系の脱VPNアプローチ ○ Gitやデプロイサーバーへのssh接続の認証にCloud IAPを導入して　IPア ドレス制限を不要にする ■ 現在一部エンジニアで試用段階 ■ 社内システムと異なりクライアント側の設定が複雑なため、　　非エン ジニアの作業環境への導入フローが課題 6 在宅業務実施に伴う脱VPNへのアプローチ

● 社内システム系の脱VPNアプローチ ○ そもそもVPNが不要なシステムへ乗り換える ○ Cloud IAPを導入し、認証を強固にしてIPアドレス制限を不要にする ● 開発基盤系の脱VPNアプローチ ○ Gitやデプロイサーバーへのssh接続の認証にCloud IAPを導入して　IPア ドレス制限を不要にする ■ 現在一部エンジニアで試用段階 ■ 社内システムと異なりクライアント側の設定が複雑なため、　　非エン ジニアの作業環境への導入フローが課題 7 在宅業務実施に伴う脱VPNへのアプローチ

Cloud IAP導入による IPアドレス制限撤廃 8

Cloud IAPとは ● Googleアカウントでアクセス可否を管理できるマネージドサービス ● ユーザーのブラウザ認証情報をチェックしリクエストヘッダーに埋め込む ● 認証情報がない場合はOAuth認証フローへリダイレクトされる Cloud IAP導入によるIPアドレス制限撤廃 9 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App

認証・認可 1. Cloud IAMでドメインやアカウント単位のアクセス制御 2. 社員情報を管理している内製ツールと同期して権限管理 10 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App ❶ ❷ Cloud IAP導入によるIPアドレス制限撤廃

ゼロトラスト・アーキテクチャの論理コンポーネントとの対応 ● ポリシー実施ポイント (PEP)：Cloud IAP ● ポリシー決定ポイント(PDP)：Cloud IAM ○ ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)は不可分 11 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App PEP/ゲートウェイポータル
 PDP
 サブジェクト
 リソース
 データプレーン
 コントロールプレーン 
 Cloud IAP導入によるIPアドレス制限撤廃

ゼロトラスト・アーキテクチャの論理コンポーネントとの対応 ● ポリシー実施ポイント (PEP)：Cloud IAP ● ポリシー決定ポイント(PDP)：Cloud IAM ○ ポリシーエンジン(PE)とポリシーアドミニストレータ(PA)は不可分 実装アプローチ ● 拡張アイデンティティガバナンス方式(Google認証によるJWTペイロード) 実装パターン ● リソースポータルモデル ○ ポリシー実施ポイントはCloud IAP(=ゲートウェイポータル) 12 Cloud IAP導入によるIPアドレス制限撤廃

セキュリティ的懸念 と対策 13

セキュリティ的懸念 ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か ● もしCloud IAPを突破されても大丈夫か ● Googleアカウントが乗っ取られた場合進入できてしまう 14 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App セキュリティ的懸念と対策

セキュリティ的懸念 ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か ● もしCloud IAPを突破されても大丈夫か ● Googleアカウントが乗っ取られた場合進入できてしまう 15 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App セキュリティ的懸念と対策

セキュリティ的懸念 ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か ● もしCloud IAPを突破されても大丈夫か ● Googleアカウントが乗っ取られた場合進入できてしまう 16 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App セキュリティ的懸念と対策

セキュリティ的懸念 ● もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か ● もしCloud IAPを突破されても大丈夫か ● Googleアカウントが乗っ取られた場合進入できてしまう 17 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App セキュリティ的懸念と対策

もしCloud IAPに問題(障害、設定変更ミスなど)が起こったとしても大丈夫か ● 外形監視におけるエラーステータス検知時に自動的にCloud Armor　(=Google 製のクラウド型WAF)でIPアドレス制限を有効にする セキュリティ的懸念と対策 18 Load Barancer Cloud IAP Authenticate
 Authorize
 Cloud IAM App Cloud Armor

もしCloud IAPを突破されても大丈夫か ● JWT検証 ● 社員情報との付き合わせ ● エラーや不正アクセス検知時のアラート ● 何が起こったかを追える適切なロギング ● 定期的なセキュリティ診断 ⇨　攻撃されることは想定内 　　いかに早く気付き、何が起こったかを追える状態になっていることが重要 19 セキュリティ的懸念と対策

アラートの種類 ● リクエストヘッダーに認証済みアカウント情報があるか ○ Cloud IAP障害アラート ● 認証済みアカウント情報のJWTペイロードは有効なものか ● 認証済みアカウント情報のメールアドレスがアクセス権限を持っているか ○ 不正アクセス疑いアラート ⇨　いずれも必要に応じてCloud ArmorによるIPアドレス制限を有効化 20 セキュリティ的懸念と対策

Googleアカウントが乗っ取られた場合進入できてしまう ● Googleアカウント管理のセキュリティレベル向上 ○ Google Workspaceのアラート機能の「不審なログイン」などの　　アラート 監視 ○ 物理キーによる2要素認証の強制化 ● 従業員のセキュリティ意識向上 ○ e-ラーニングなどを用いた情報セキュリティ教育を定期的に実施 21 セキュリティ的懸念と対策

Googleアカウントが乗っ取られた場合進入できてしまう ● 万一乗っ取られた場合にも被害を最小限にする ○ アラート検知時に内容をチェックし場合によっては直ちにアカウントを停止 ○ 情報資産へのアクセス範囲の棚卸を定期的に実施 ■ 必要最小限の権限割り当て、不要アカウントの定期的な見直し ■ ISMS（情報セキュリティマネジメントシステム）に準拠 22 セキュリティ的懸念と対策

今後の展望 23

今後の展望 現状 ● Gitやデプロイサーバーなどへのssh接続はIPアドレス制限 ● 秘密鍵の管理は個々人に依存 将来 ● IPアドレス制限をなくし、コンテキストアウェアアクセスを導入 ● 秘密鍵の管理を統制(物理キー) 24

まとめ Cloud IAP導入による脱VPNのセキュリティ的懸念とその対策 ● Cloud IAPに問題(障害や設定変更ミスなど)が発生した場合、外形監視で即座 に検知し安全側に倒す ● 攻撃はされるものとして、いかに早く気づき、何が起こったかを追える状態に なっていることが重要 ● 物理キーの導入によりGoogleアカウント管理のセキュリティレベルを向上させた 25