Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Onli...
Search
chibiegg
July 18, 2020
Technology
670
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.
chibiegg
July 18, 2020
More Decks by chibiegg
See All by chibiegg
ブラックボックス観測に基づくAI支援のプロトコルのリバースエンジニアリングと再現~AIを用いたリバースエンジニアリング~ @ SECCON 14 電脳会議 / Reverse Engineering and Reproduction of an AI-Assisted Protocol Based on Black-Box Observation @ SECCON 14 DENNO-KAIGI
chibiegg
1
210
ゼロトラストを前提に、もっと便利に、もっと安全に @ 2026-03-03 ITmedia Security Week 2026 冬 / Designing for Zero Trust: Enabling Both Usability and Security
chibiegg
0
120
JANOG57 Meeting in Osaka のご紹介 @さくらの聖夜 2025 / Introduction to JANOG57 Meeting in Osaka
chibiegg
0
69
コンフィデンシャルコンピューティングは本当に機密なのか?@ 2025-08-23 LOCAL Developer Day ’25 Security with 在札幌米国総領事館 / Confidential Computing Truly Confidential? @ 2025-08-23 LOCAL Developer Day ’25 Security with the U.S. Consulate General in Sapporo
chibiegg
0
58
パブリッククラウドにおける機密コンピューティング@さくらのTech Day 2024-11-12 / Confidential Computing in Public Cloud
chibiegg
0
460
tiupによるTiDBの構築 @ TiUG Meetup #3 Osaka / Building TiDB with TiUP
chibiegg
1
320
Stable Diffusionの使い方と追加学習によるLoRAの作成~GPUコンテナサービス “高火力 DOK” の活用~ @ 2024-06-29 OSC2024 Hokkaido / Stable Diffusion and Creating LoRA with Additional Training ~ with 'Koukaryoku DOK' ~
chibiegg
1
2.7k
長期間TiDBを使ってきた話 @ 私たちはなぜNewSQLを使うのかTiDB選定5社が語る選定理由と活用LT / Experiences with TiDB Over Time
chibiegg
3
1.9k
3年近くTiDBを使ってきた話 @ TiUG Kick Off #0 / My Journey with TiDB: Nearly Three Years On @ TiDB User Group Kick Off #0
chibiegg
4
1.4k
Other Decks in Technology
See All in Technology
アラート調査向けAIエージェントの本番導入とその後/AI Agents for Alert Investigation: Production Deployment and After
taddy_919
0
150
「勝手に広まる」人気 AI エージェントを爆速で作ろう!(AWS Summit Japan 2026講演資料)
minorun365
PRO
10
2.5k
Kiro Ambassador を目指す話
k_adachi_01
0
130
AIチャットの改善から見えた、良いAI体験とは / What Constitutes a Good AI Experience: Insights from Improving AI Chat
kubode
0
120
從開發到部署全都交給 AI:實作 AI 驅動的自動化流程
appleboy
0
170
AIに障害切り分けを全部やってもらった。 。 。 。
estie
0
160
フィジカル版Github Onshapeの紹介
shiba_8ro
0
330
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
240
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
140
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
130
IaC コードを資産へ:AWS CDK 社内ライブラリと横断展開 / aws-summit-japan-2026
gotok365
10
1.6k
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
nori_shinoda
0
250
Featured
See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
Site-Speed That Sticks
csswizardry
13
1.2k
The Spectacular Lies of Maps
axbom
PRO
1
820
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
210
Testing 201, or: Great Expectations
jmmastey
46
8.2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
230
23k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
250
jQuery: Nuts, Bolts and Bling
dougneiner
66
8.5k
How to make the Groovebox
asonas
2
2.2k
GitHub's CSS Performance
jonrohan
1033
470k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
450
Transcript
ゼロトラストで もっと便利に、もっと安全に 2020-07-18 @ LOCAL Developer Day Online ʼ20 /Security
さくらインターネット株式会社 技術推進担当 執⾏役員 & CISO 江草 陽太
2 【所属等】 さくらインターネット株式会社 新卒⼊社 執⾏役員 技術推進統括担当 兼 CISO IzumoBASE株式会社 取締役
【開発】 • さくらのVPS API/DB/制御システム担当 • sakura.io ハードウエア仕様、ファームウエア開発 システム設計、開発、インフラ設計、構築 • 社内システム/データセンター⾃動化 • さくらのエンジニアリングラボ 【その他】 • CSAJ U22プログラミング・コンテスト審査員 • Home NOC Operators’ Group (AS59105) @chibiegg
3 【経歴】 • ロボカップジュニア (中学・⾼校) / NHK⼤学ロボコン • ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻 •
個⼈事業主 • ⼤阪⼤学⼤学院⼯学研究科中退 • SECCON CTF 2014 国内4位 • ISUCON5/ISUSON7/ISUCON8本戦、ISUCON9問題作成 • ICTSC7 ⼤⼈チーム 【専⾨】 • ソフトウエアエンジニア • NW/SC/DBスペシャリスト • 回路設計/組み込みソフトウエア 【趣味】 旅⾏/温泉/写真/電⼦⼯作/プログラミング/かわいい服 @chibiegg
2020/7/18 ©SAKURA internet Inc. 4 趣味で同⼈誌作ってます https://chofutech.booth.pm/ https://hinatan.net/
5 インターネットインフラの提供を事業ドメインとして、 ⼤阪、東京、⽯狩の3地域に5つのデータセンターを展開 1996年12⽉に現社⻑の⽥中邦裕が、 舞鶴⾼専在学中に学内ベンチャーとして創業。 1999年8⽉17⽇に株式会社を設⽴。 10⽉には、第1号となるデータセンターを ⼤阪市中央区に開設。 2005年10⽉に東京証券取引所 マザーズ市場に上場。
2011年11⽉ 北海道⽯狩市に国内最⼤級の 郊外型⼤規模データセンターを開設。 ⽯狩データセンター開設 2011 東証マザーズ上場 2005 1996 1999 株式会社を設⽴ 2015年11⽉に東京証券取引所 市場第⼀部に市場変更。 東証⼀部に市場変更 2015 さくらインターネット創業 最初のデータセンター開設 2016 創業20周年 本 社 所 在 地 ⼤阪府⼤阪市北区⼤深町4-20 グランフロント⼤阪タワーA 35F 創 業 年 ⽉ ⽇ 1996年12⽉23⽇ (会社設⽴: 1999年8⽉17⽇) 上 場 年 ⽉ ⽇ 2005年10⽉12⽇(マザーズ) 2015年11⽉27⽇(東証⼀部へ市場変更) 資 本 ⾦ 22億5,692万円 従 業 員 数 連結634名(2018年12⽉末) グ ル ー プ 会 社 アイティーエム株式会社(旧エヌシーアイ株式会社) 株式会社S2i 櫻花移動電信有限公司 ゲヒルン株式会社 株式会社Joe'sクラウドコンピューティング ビットスター株式会社 プラナスソリューションズ株式会社 IzumoBASE株式会社 2017 ⼤阪本社オフィス移転 福岡事務所開設
6
7 ハウジングからホスティングまで幅広いサービスを提供 VPS・クラウド データセンター 新サービス レンタルサーバ さくらのレンタルサーバ さくらのマネージドサーバ 1台を共有 1台を占有
1台のサーバを複数の契約 者でサーバを共有または占 有することができ、管理は さくらインターネットに任 せて使うサービス 仮想化技術を⽤い、 1台の物理サーバ 上に複数の仮想 サーバを構築し、 仮想専⽤サーバと して分けた領域の 占有サービス ⾼性能サーバと拡 張性の⾼いネット ワークを圧倒的な コストパフォーマ ンスで利⽤できる IaaS型パブリッ ク・クラウド・ サービス ⾼性能で拡張性と信頼性の ⾼いサーバをまるごと独占 して利⽤することができ、 ⾃由にカスタマイズして利 ⽤可能なサービス 1台〜複数台 ハウジング リモートハウジング データセンター内にお客様 専⽤のハウジングスペース を確保し、ネットワーク機 器やサーバなどの機材を⾃ 由に置けるサービス 通信モジュールから提供することで、セキュアで 通信環境とデータの保存や処理システムを⼀体型 で提供するIoTプラットフォームサービス Dockerコンテナをマネージドされた環境へ ⼿軽・シンプルにプロビジョニング可能なサービス さくらの VPS 機械学習、データ解析、⾼精度シミュレーション ⽤途に特化したGPU搭載の専⽤サーバサービス 専⽤サーバ さくらのセキュアモバイルコネクト クラウドにダイレクトに接続し、セキュアであり つつ任意のネットワークへ接続可能なSIMを 提供する、IoT向けモバイルサービス IoT AI ⼈⼯知能 マイクロ サービス IoT 【サービスの主な利⽤⽤途】 ウェブサイト運営、ブログ インターネット・メール ネットビジネス、電⼦商取引 動画・⾳楽配信、開発環境 会員制サイト、キャンペーン・サイト SNS、ウェブ・アプリケーション SaaS、ASP エンタープライズ ※マネージドサーバの⼀部も ⽯狩データセンターにて収容
在宅勤務やリモートワーク • さくらインターネットではどこでも仕事が可能 • ⼈事制度「さぶりこ どこでもワーキング」 • 現在、出社不要な⼈の⼤半が在宅勤務をしている • コロナウイルスをきっかけに、全社リモートワークに⽅針転換
• 93%が在宅勤務 (2020年4⽉末時点) • ネットワークチームのおかげでVPNに⼤きな不満はない • VPN接続による遅延、帯域幅の減少が多少観測されるが、 許容範囲内 2020/7/18 ©SAKURA internet Inc. 8
VPN
さくらインターネット社内教育資料より
VPNに繋がっていない時に起きうる問題 • DNS応答改竄による中間者攻撃 • 本来はVPN内にあるはずのサーバに通信しようとする • TLSを利⽤していない社内システムにおいて攻撃可能 • パスワードが漏洩する結果に •
VPN繋いでるつもりで繋がらないイライラ 2020/7/18 ©SAKURA internet Inc. 11
VPN接続されたクライアントによるリスク • マルウエアに感染したクライアントがVPN接続されると… • VPN越しに他の端末に感染が広がる可能性がある • ユーザーにとって必要なサーバ以外のサーバにも攻撃ができる • そもそも影響範囲が広⼤に 2020/7/18
©SAKURA internet Inc. 12
ゼロトラスト・セキュリティ 定義は⾊々あるので細かいことは⾔いません
さくらインターネット社内教育資料より
さくらインターネット社内教育資料より
さくらインターネット社内教育資料より
根本的な考え⽅ • クライアントが社内ネットワーク以外で常⽤される前提に⽴つ • マルウエアに感染したり、侵⼊されたりする可能性があるという前提に⽴つ • ネットワーク認証ではなくセッションで認証する • できるだけ細かい単位で認証を⾏う •
端末、ブラウザ・セッション・サービスなど • ⾼度なユーザー認証 • パスワード以外の情報による認証を組み合わせる • 2FA (⼆要素認証・多要素認証) • アクセス元のクライアント種別、接続元ネットワーク、地域など 2020/7/18 ©SAKURA internet Inc. 17
VPN通さないと⼼配…? • 思い出してみよう: Gmail、Office 365、Dropbox、etc… • 超重要な情報を保管している • VPNなしでも安全性を確保 •
インターネット上のどこからでも、ブラウザだけでアクセスできる • ⼆要素認証や、状況に応じた再認証確認のしくみで保護されている • セッション単位でユーザを認証することが、より重要 2020/7/18 ©SAKURA internet Inc. 18
さくらにおけるゼロトラスト
以前から導⼊されていたこと • SSOの導⼊ • Slack、GitHub.com、Office 365、などSaaS利⽤のもの
以前から導⼊されていたこと • TOTPとFIDOに対応
コロナ後に⾏ったこと① インターネットから社内システムへの直接接続を可能に • 認証⽅式を強化 • 既存のSSOシステムを活⽤ • インターネットからの利⽤では、⼆要素認証を必須とした • おもな対象システム
• Confluence、サイボウズ Garoon、購買在庫システム、etc… →「VPNがなくても在宅勤務できる社員」も出てきた 2020/7/18 ©SAKURA internet Inc. 22
SSOによる社内システムのゼロトラスト化 SAML IdP 認証サーバ sso.example.com SAML SP 兼 リバースプロキシ hoge.example.com
アクセスしたい 社内サービス 192.168.1.123 社内ネットワーク
SAML SP 兼 リバースプロキシ • Nginx と Nginx Lua で構築
• 弊社社員が過去に実装していた hnakamur/nginx-lua-saml-service-provider を活⽤ • いくつかの課題を解決する実装を追加 • SAMLで認証し、リバースプロキシするだけのシンプルな構成 • 既存システムへの変更は最⼩限 2020/7/18 ©SAKURA internet Inc. 24
コロナ後に⾏ったこと② • TOTPの物理トークンを調達し、希望者に郵送 • TOTP/FIDOを活⽤してもらうため • スマホアプリなどの操作なしに2FAが利⽤可能 • 利⽤感・課題を検証・洗い出し、本格導⼊に向けた検討材料とする •
FIDO U2FだけでなくFIDO2にも対応 • パスワードレスで認証可能に • TouchID + Chrome では、指紋認証のみでログイン可能 2020/7/18 ©SAKURA internet Inc. 25
TOTP物理トークン • 1ユーザあたり100円未満で物理トークンを導⼊ • 製造メーカーと Alibaba.com と直接取引し、割安品を調達 • 社内の認証システムを完全に内製していたため、柔軟に対応できた 2020/7/18
©SAKURA internet Inc. 26
TOTP物理トークン • Microsoft Forms で希望者(有志者)を募集、郵送送付 • 希望者に封筒に詰めて発送
TOTP物理トークン • 使⽤者⾃⾝が、受領した物理トークンを、認証システムに登録 2020/7/18 ©SAKURA internet Inc. 28
FIDO2によるパスワードレス認証 • FIDO U2F • ユーザー名&パスワード認証との組み合わせでのみ利⽤できる • FIDO2 • ⽣体認証でログインが可能
• ユーザー名&パスワードの⼊⼒が不要 • ハードウエアキーにサービス情報やユーザー情報を区別して保存する ことが可能になった 2020/7/18 ©SAKURA internet Inc. 29
FIDO2によるパスワードレス認証 アカウントの選択肢はChromeが表⽰する 2020/7/18 ©SAKURA internet Inc. 30
スムーズに導⼊するためには • 社内ネットワーク/VPNアクセスでは、これまで通り利⽤可能 • 導⼊のタイミングで利⽤できなくなる⼈が発⽣しないように配慮 • 暫定的に、SSOなしのアクセスを許容した • TOTPの物理トークンを調達し、希望者に送付 •
ボタンひとつでワンタイムパスワードを確認し、2FAが利⽤可能 • スマホアプリなどの導⼊なし • 70個程度が稼働中 (2020年7⽉時点) 2020/7/18 ©SAKURA internet Inc. 31
スムーズに導⼊するためには • 情報セキュリティ部⾨で社内教育資料を作成 2020/7/18 ©SAKURA internet Inc. 32
TOTP/FIDOを利⽤する社員が増加 施策前の利⽤率 30% 程度 → 65% 程度に 2020/7/18 ©SAKURA internet
Inc. 33
2FAを実装する場合の注意 • TOTPやFIDOデバイスは複数登録できるようにすべき • 紛失した場合の登録解除が本⼈によってできる • ⼀個しか登録できないと不便 • 不便だと利⽤されないか、使い回しが発⽣してリスクが増える •
物理トークンに内蔵された リアルタイムクロック(RTC)のスキューに注意 • トークン内の時刻がずれる(NTP等で同期しているわけではない) • 物理トークン登録時にRTC時刻のズレを検証し、考慮する 2020/7/18 ©SAKURA internet Inc. 34
今後の課題 • 全システムにおいて、TOTPやFIDOを必須にしたい • ゼロトラスト化されていないシステムのゼロトラスト化 • 個⼈情報保護などのため、より⾼度な対策が必要 • FIDO2においても、条件によってはパスワード認証を⾏う •
「オフィス ネットワーク」の廃⽌ • オフィスにおいても、⾃宅同様にインターネット接続を提供 • セッション単位で社内システムの利⽤を認証する仕組みに統⼀ 2020/7/18 ©SAKURA internet Inc. 35
2020/7/18 ©SAKURA internet Inc. 36 エンジニアリングラボでは プライベートコンテナレジストリを提供しています Private Docker Container
Registryサービスを作った話 https://qiita.com/chibiegg/private/746e0825c602f947ab1c
2020/7/18 ©SAKURA internet Inc. 37 FPGAで10GワイヤレートなNTPサーバを作りました FPGA ベース・ハードウェアNTPサーバ(Stratum1)特設実験サイト https://elab.sakura.ad.jp/ntp-trial/