【DeNA TechCon 2025】 パブリッククラウドの DeNA 的管理手法 (社外アクセス制限編)

パブリッククラウドの DeNA 的管理⼿法 社外アクセス制限編 平⽥智紀 1 © DeNA Co., Ltd.

⾃⼰紹介 ● 平⽥智紀 (ひらた とものり) ● 2021 年に新卒⼊社 ● IT 本部 IT 基盤部所属のインフラエンジニア ○ 全世界向けの⼤規模ゲームタイトルの運⽤ ○ パブリッククラウド管理チーム 2 © DeNA Co., Ltd.

セキュリティ対策は考えることが多い セキュリティインシデント 外部不正 ● ● ● 3 ランサムウェア DDoS 攻撃 … 内部不正 ● ● ● 機密情報持ち出し データ改ざん‧破壊 … © DeNA Co., Ltd.

内部不正の脅威 ● 適切に対策しないと甚⼤な影響を及ぼす可能性 ○ 個⼈情報の漏洩 ○ 損害賠償による経済的損失 ○ 会社の信頼性低下‧業績悪化‧倒産リスク 本番データを持ち出して、 悪⽤してやろう... 本番データベース 4 © DeNA Co., Ltd.

内部不正 (機密情報持ち出し) への対策 利便性的に採⽤しない 厳重なセキュリティ管理‧権限管理を徹底する ● 特定の⼈‧場所 (例: セキュリティルーム) からのみ機密情報へのアクセスを許可する 誰が、何の機密情報を持ち出したか追跡できるようにする ● ● 【クラウド側】 監査ログを適切に記録‧保管する 【クライアント側】 端末の操作ログを適切に記録‧保管する ○ 会社⽀給の業務端末には操作ログが残るが、私物端末は残らない 私物端末からクラウドアカウントへのアクセスを排除したい 5 © DeNA Co., Ltd.

私物端末アクセス制限の⽅針 (端末認証) クラウド型ID管理、SSO などを提供す る統合認証基盤サービス 端末認証 コストが⾮常にかかる... 6 © DeNA Co., Ltd.

私物端末アクセス制限の⽅針 (社外 IP 制限) 追加費⽤はかからないが、運⽤コストは上がる 7 © DeNA Co., Ltd.

本⽇話すこと AWS と Google Cloud 私物端末からクラウドアカウントへのアクセスを排除したい ● DeNA で採⽤したアクセス制限の⼿法 ● 実際に導⼊して得られた結果 ● 残された課題 Google Cloud で多くの混乱が発⽣した... 特にその経験についてお伝えしたい！ 8 © DeNA Co., Ltd.

私物端末アクセス制限 (AWS 編) AWS アカウントへのアクセスフロー ● 9 https://speakerdeck.com/dena_tech/paburitukukuraudoakauntofalse-dena-deguan-li-shou-fa-quan-ti-bian-dena-techcon-2022?slide=20 © DeNA Co., Ltd.

• https://speakerdeck.com/dena_tech/paburitukukuraudoakauntofalse-dena-de-

私物端末アクセス制限 (AWS 編) AWS アカウントへのアクセスフロー アクセス制限を 適⽤できる箇所 ● 10 https://speakerdeck.com/dena_tech/paburitukukuraudoakauntofalse-dena-deguan-li-shou-fa-quan-ti-bian-dena-techcon-2022?slide=20 © DeNA Co., Ltd.

• https://speakerdeck.com/dena_tech/paburitukukuraudoakauntofalse-dena-de-

私物端末アクセス制限 (AWS 編) アクセス制限箇所 (1) ● Okta Login 時に社外 IP 制限を適⽤する ○ AWS 以外のアプリケーションにも Login できなくなるので採⽤しない ※ BYOD … Bring Your Own Device の略。私物デバイスを仕事に持ち込むこと。 11 © DeNA Co., Ltd.

私物端末アクセス制限 (AWS 編)

アクセス制限箇所 (2)
● AWS Login 時に社外 IP 制限する
○

Login (Assume Role) する IAM Role に IP 制限を適⽤
{

}

"Effect": "Deny",
"Principal": {
"AWS": "arn:aws:iam::${StepAccountID}:role/Step_dena-XXX-aws_AdministratorAccess"
},
"Action": "sts:AssumeRole",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [ // ここに社内 IP リストを列挙
"XXX.XXX.XXX.XXX/24",
"YYY.YYY.YYY.YYY/23"
]
}
}

社内 IP リスト更新時に、多数の IAM Role の更新が必要
12

© DeNA Co., Ltd.

私物端末アクセス制限 (AWS 編) アクセス制限箇所 (3) ● AWS ⽤の Okta アプリの利⽤条件に社外 IP 制限を追加する Okta の設定のみで社内 IP リストを管理 (更新) 可能！ 13 © DeNA Co., Ltd.

私物端末アクセス制限 (AWS 編) 制限⽅法まとめ (1) 制限方法 14 (3) (2) 評価 (1) Okta Login 時に IP 制限 ● ● ◯ 費用がかからない × 他アプリケーションへの影響 (2) Assume Role 時に IP 制限 ● ● ◯ 費用がかからない △ IP 管理の運用コストが (3) と比較してかかる (3) AWS 用の Okta アプリ 利用時に IP 制限 ● ● ◯ 費用 / 運用コストがかからない ◯ 導入コストも低い © DeNA Co., Ltd.

私物端末アクセス制限 (AWS 編) 安全に導⼊を進めるために 1. IP 制限あり / なし 両⽅の Okta アプリを並⾏稼働 ○ 2. 並⾏稼働期間中に IP 制限ありの⽅を利⽤者に使ってもらう IP 制限なしの Okta アプリを削除 ○ 混乱なく全社導⼊が完了！！ 従来 (IP 制限なし) の AWS Okta アプリ 15 IP 制限あり の AWS Okta アプリ © DeNA Co., Ltd.

私物端末アクセス制限 (AWS 編) AWS 編のまとめ ● ◎ 無事故で混乱なく安全に導⼊完了！ ● ◎ 本番影響もなし！ ● ◎ 追加の費⽤なし！ ● ◎ 運⽤コストもかからない！ 16 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Google Cloud プロジェクトへのアクセスフロー ● 17 https://speakerdeck.com/dena_tech/paburitukukuraudoakauntofalse-dena-de-guan-li-shou-fa-quan-ti-b ian-dena-techcon-2022?slide=19 © DeNA Co., Ltd.

• https://speakerdeck.com/dena_tech/paburitukukuraudoakauntofalse-dena-de-guan-li-shou-fa-quan-ti-b

私物端末アクセス制限 (Google Cloud 編) Google Cloud プロジェクトへのアクセスフロー ここで制限をかけると 他のアプリ (Google Workspace 含む) に影響が発⽣する 18 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Google Cloud プロジェクトへのアクセスフロー 実際に Google Cloud にアクセスした タイミングで制限をかける 19 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Access Context Manager 20 ● Google Cloud コンソール / API に対して接続元 IP 制限が可能 ● 無料かつ簡単に導⼊可能 ● Google Cloud 組織単位で設定 (プロジェクトごとの設定は不可) © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Access Context Manager を⽤いた IP 制限の仕様 21 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Access Context Manager を⽤いた IP 制限の仕様 22 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Access Context Manager を⽤いた IP 制限の仕様 仕様にクセはあるが、許容範囲内 23 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 安全に導⼊を進めるために (1) 問題発⽣時にすぐ IP 制限を外せるように準備 24 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 安全に導⼊を進めるために (2) 2週間後 部⾨ X (我々) ⽤ の Google Group を追加 2週間後 部⾨ Y ⽤ の Google Group を追加 … 全社員⽤の Google Group を追加 段階的に制限導⼊し、⼀気に混乱が起こることを防ぐ 25 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) しかし、想定以上の混乱 / 不具合が発⽣した... 26 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 不具合(1): 社内 VPN 接続時の IP 制限の挙動が不安定である ② VPN を接続してリロード ① 社外ネットワークからのアクセスで 制限に引っかかる ②-1 VPN を接続して、 かつキャッシュをクリアしてリロード ③ なぜか制限に引っかかる.. ②-3 再度リロード ②-2 コンソールにアクセスできた 27 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 不具合(1): 社内 VPN 接続時の IP 制限の挙動が不安定である 原因 ● Google に対するアクセスはデフォルトで VPN を迂回する設定が⼊っている ● VPN と QUIC (HTTP3) の相性が悪い (なぜか VPN を迂回してしまう) 対策 ● Google に対するアクセスも VPN を通すように設定 ● QUIC の無効化 ワークアラウンド可能 28 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 不具合(2): VM インスタンス や GAS, Colab から Google Cloud APIs が叩けない 29 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 不具合(2): VM インスタンス や GAS, Colab から Google Cloud APIs が叩けない 対策 サービス アカウント経由で Google Cloud APIs を叩く ● ○ サービス アカウント経由でのアクセスは制限対象外 課題 ● 同⼀インスタンス上で複数サービス アカウントを使い分けがし⾟い ● GAS, Colab からサービス アカウントを扱う場合はキーを払い出す 必要がある (セキュリティ的な懸念) ワークアラウンド可能だが、 より良い解決⼿段を模索する必要がある 30 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 不具合(3): Cloud NAT の IP アドレスをアクセス許可対象に含められない 31 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) 不具合(3): Cloud NAT の IP アドレスをアクセス許可対象に含められない 原因 ● Google Cloud APIs にアクセスする場合は、Cloud NAT を使⽤している場合でも、 限定公開の Google アクセス経由で転送される [1] ● 限定公開の Google アクセスはアクセスレベルの許可 IP に含められない [1] https://cloud.google.com/nat/docs/overview?hl=ja 32 © DeNA Co., Ltd.

• https://cloud.google.com/nat/docs/overview?hl=ja

私物端末アクセス制限 (Google Cloud 編) 不具合(3): Cloud NAT の IP アドレスをアクセス許可対象に含められない 対策 ● Cloud NAT をやめて、⾃前の NAT インスタンスを構築する ○ 対策に⼯数がかかる... 簡単かつ効果的なワークアラウンドを 今後も模索していく 33 © DeNA Co., Ltd.

私物端末アクセス制限 (Google Cloud 編) Google Cloud 編のまとめ ● × 導⼊時に混乱は招いた ● ◯ オペレーションの最適化を実施した ○ 即時に制限除外できる仕組み ● ◎ 追加の費⽤なし！ ● ◯ 運⽤コストは許容範囲内 まだまだ改善すべき点はある ... 今後もより良い改善に取り組んでいく！ 34 © DeNA Co., Ltd.

まとめ AWS と Google Cloud 私物端末からクラウドアカウントへのアクセスを排除したい ● DeNA で採⽤したアクセス制限の⼿法 ○ ● ● 実際に導⼊して得られた結果 ○ AWS は無事故で制限導⼊完了 ○ Google Cloud は混乱を招いた 残された課題 ○ 35 社外 IP 制限 Google Cloud で⽣じた不具合を改善すること © DeNA Co., Ltd.