Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Onli...

ゼロトラストでもっと便利に、もっと安全に @ LOCAL Developer Day Online ’20 Security / Zero trust security model in SAKURA internet Inc.

chibiegg

July 18, 2020
Tweet

More Decks by chibiegg

Other Decks in Technology

Transcript

  1. ゼロトラストで もっと便利に、もっと安全に 2020-07-18 @ LOCAL Developer Day Online ʼ20 /Security

    さくらインターネット株式会社 技術推進担当 執⾏役員 & CISO 江草 陽太
  2. 2 【所属等】 さくらインターネット株式会社 新卒⼊社 執⾏役員 技術推進統括担当 兼 CISO IzumoBASE株式会社 取締役

    【開発】 • さくらのVPS API/DB/制御システム担当 • sakura.io ハードウエア仕様、ファームウエア開発 システム設計、開発、インフラ設計、構築 • 社内システム/データセンター⾃動化 • さくらのエンジニアリングラボ 【その他】 • CSAJ U22プログラミング・コンテスト審査員 • Home NOC Operators’ Group (AS59105) @chibiegg
  3. 3 【経歴】 • ロボカップジュニア (中学・⾼校) / NHK⼤学ロボコン • ⼤阪⼤学⼯学部電⼦情報⼯学科情報通信⼯学専攻 •

    個⼈事業主 • ⼤阪⼤学⼤学院⼯学研究科中退 • SECCON CTF 2014 国内4位 • ISUCON5/ISUSON7/ISUCON8本戦、ISUCON9問題作成 • ICTSC7 ⼤⼈チーム 【専⾨】 • ソフトウエアエンジニア • NW/SC/DBスペシャリスト • 回路設計/組み込みソフトウエア 【趣味】 旅⾏/温泉/写真/電⼦⼯作/プログラミング/かわいい服 @chibiegg
  4. 5 インターネットインフラの提供を事業ドメインとして、 ⼤阪、東京、⽯狩の3地域に5つのデータセンターを展開 1996年12⽉に現社⻑の⽥中邦裕が、 舞鶴⾼専在学中に学内ベンチャーとして創業。 1999年8⽉17⽇に株式会社を設⽴。 10⽉には、第1号となるデータセンターを ⼤阪市中央区に開設。 2005年10⽉に東京証券取引所 マザーズ市場に上場。

    2011年11⽉ 北海道⽯狩市に国内最⼤級の 郊外型⼤規模データセンターを開設。 ⽯狩データセンター開設 2011 東証マザーズ上場 2005 1996 1999 株式会社を設⽴ 2015年11⽉に東京証券取引所 市場第⼀部に市場変更。 東証⼀部に市場変更 2015 さくらインターネット創業 最初のデータセンター開設 2016 創業20周年 本 社 所 在 地 ⼤阪府⼤阪市北区⼤深町4-20 グランフロント⼤阪タワーA 35F 創 業 年 ⽉ ⽇ 1996年12⽉23⽇ (会社設⽴: 1999年8⽉17⽇) 上 場 年 ⽉ ⽇ 2005年10⽉12⽇(マザーズ) 2015年11⽉27⽇(東証⼀部へ市場変更) 資 本 ⾦ 22億5,692万円 従 業 員 数 連結634名(2018年12⽉末) グ ル ー プ 会 社 アイティーエム株式会社(旧エヌシーアイ株式会社) 株式会社S2i 櫻花移動電信有限公司 ゲヒルン株式会社 株式会社Joe'sクラウドコンピューティング ビットスター株式会社 プラナスソリューションズ株式会社 IzumoBASE株式会社 2017 ⼤阪本社オフィス移転 福岡事務所開設
  5. 6

  6. 7 ハウジングからホスティングまで幅広いサービスを提供 VPS・クラウド データセンター 新サービス レンタルサーバ さくらのレンタルサーバ さくらのマネージドサーバ 1台を共有 1台を占有

    1台のサーバを複数の契約 者でサーバを共有または占 有することができ、管理は さくらインターネットに任 せて使うサービス 仮想化技術を⽤い、 1台の物理サーバ 上に複数の仮想 サーバを構築し、 仮想専⽤サーバと して分けた領域の 占有サービス ⾼性能サーバと拡 張性の⾼いネット ワークを圧倒的な コストパフォーマ ンスで利⽤できる IaaS型パブリッ ク・クラウド・ サービス ⾼性能で拡張性と信頼性の ⾼いサーバをまるごと独占 して利⽤することができ、 ⾃由にカスタマイズして利 ⽤可能なサービス 1台〜複数台 ハウジング リモートハウジング データセンター内にお客様 専⽤のハウジングスペース を確保し、ネットワーク機 器やサーバなどの機材を⾃ 由に置けるサービス 通信モジュールから提供することで、セキュアで 通信環境とデータの保存や処理システムを⼀体型 で提供するIoTプラットフォームサービス Dockerコンテナをマネージドされた環境へ ⼿軽・シンプルにプロビジョニング可能なサービス さくらの VPS 機械学習、データ解析、⾼精度シミュレーション ⽤途に特化したGPU搭載の専⽤サーバサービス 専⽤サーバ さくらのセキュアモバイルコネクト クラウドにダイレクトに接続し、セキュアであり つつ任意のネットワークへ接続可能なSIMを 提供する、IoT向けモバイルサービス IoT AI ⼈⼯知能 マイクロ サービス IoT 【サービスの主な利⽤⽤途】 ウェブサイト運営、ブログ インターネット・メール ネットビジネス、電⼦商取引 動画・⾳楽配信、開発環境 会員制サイト、キャンペーン・サイト SNS、ウェブ・アプリケーション SaaS、ASP エンタープライズ ※マネージドサーバの⼀部も ⽯狩データセンターにて収容
  7. 在宅勤務やリモートワーク • さくらインターネットではどこでも仕事が可能 • ⼈事制度「さぶりこ どこでもワーキング」 • 現在、出社不要な⼈の⼤半が在宅勤務をしている • コロナウイルスをきっかけに、全社リモートワークに⽅針転換

    • 93%が在宅勤務 (2020年4⽉末時点) • ネットワークチームのおかげでVPNに⼤きな不満はない • VPN接続による遅延、帯域幅の減少が多少観測されるが、 許容範囲内 2020/7/18 ©SAKURA internet Inc. 8
  8. VPN

  9. 根本的な考え⽅ • クライアントが社内ネットワーク以外で常⽤される前提に⽴つ • マルウエアに感染したり、侵⼊されたりする可能性があるという前提に⽴つ • ネットワーク認証ではなくセッションで認証する • できるだけ細かい単位で認証を⾏う •

    端末、ブラウザ・セッション・サービスなど • ⾼度なユーザー認証 • パスワード以外の情報による認証を組み合わせる • 2FA (⼆要素認証・多要素認証) • アクセス元のクライアント種別、接続元ネットワーク、地域など 2020/7/18 ©SAKURA internet Inc. 17
  10. VPN通さないと⼼配…? • 思い出してみよう: Gmail、Office 365、Dropbox、etc… • 超重要な情報を保管している • VPNなしでも安全性を確保 •

    インターネット上のどこからでも、ブラウザだけでアクセスできる • ⼆要素認証や、状況に応じた再認証確認のしくみで保護されている • セッション単位でユーザを認証することが、より重要 2020/7/18 ©SAKURA internet Inc. 18
  11. SAML SP 兼 リバースプロキシ • Nginx と Nginx Lua で構築

    • 弊社社員が過去に実装していた hnakamur/nginx-lua-saml-service-provider を活⽤ • いくつかの課題を解決する実装を追加 • SAMLで認証し、リバースプロキシするだけのシンプルな構成 • 既存システムへの変更は最⼩限 2020/7/18 ©SAKURA internet Inc. 24
  12. FIDO2によるパスワードレス認証 • FIDO U2F • ユーザー名&パスワード認証との組み合わせでのみ利⽤できる • FIDO2 • ⽣体認証でログインが可能

    • ユーザー名&パスワードの⼊⼒が不要 • ハードウエアキーにサービス情報やユーザー情報を区別して保存する ことが可能になった 2020/7/18 ©SAKURA internet Inc. 29
  13. 2FAを実装する場合の注意 • TOTPやFIDOデバイスは複数登録できるようにすべき • 紛失した場合の登録解除が本⼈によってできる • ⼀個しか登録できないと不便 • 不便だと利⽤されないか、使い回しが発⽣してリスクが増える •

    物理トークンに内蔵された リアルタイムクロック(RTC)のスキューに注意 • トークン内の時刻がずれる(NTP等で同期しているわけではない) • 物理トークン登録時にRTC時刻のズレを検証し、考慮する 2020/7/18 ©SAKURA internet Inc. 34
  14. 今後の課題 • 全システムにおいて、TOTPやFIDOを必須にしたい • ゼロトラスト化されていないシステムのゼロトラスト化 • 個⼈情報保護などのため、より⾼度な対策が必要 • FIDO2においても、条件によってはパスワード認証を⾏う •

    「オフィス ネットワーク」の廃⽌ • オフィスにおいても、⾃宅同様にインターネット接続を提供 • セッション単位で社内システムの利⽤を認証する仕組みに統⼀ 2020/7/18 ©SAKURA internet Inc. 35