Quais serviços de TI a KGA oferece?

A KGA oferece serviços abrangentes de suporte de TI, incluindo instalação de software, manutenção de sistemas SaaS, configuração de aplicativos, suporte técnico, consultoria digital (incluindo criação de sites), serviços de segurança e gerenciamento de dados e backup.

Quais áreas vocês atendem?

Sediados em Kosai, Shizuoka, oferecemos suporte remoto em todo o Japão. Atendimento presencial concentrado na região de Tokai.

É possível consultar antes de contratar?

Sim, a consulta inicial e orçamentos são completamente gratuitos. Ouviremos seus desafios de TI e proporemos a solução ideal.

Há suporte de emergência?

Sim, o plano Business (mensal) inclui suporte de emergência 24 horas. Os planos Annual Basic e Annual Premium oferecem atendimento prioritário em horário comercial.

Vocês configuram apps de TV internacionais?

Sim, oferecemos suporte para instalação e configuração de aplicativos de TV internacionais e media players. Ajudamos a configurar ambientes para acesso legal a conteúdo internacional.

Oferecem suporte em múltiplos idiomas?

Atendemos em 9 idiomas: japonês, inglês, português, coreano, chinês, malaio, filipino, vietnamita e espanhol.

Existe alguma taxa de setup ou custo oculto?

Não. Todos os preços exibidos são finais e incluem impostos. Não há taxas de setup, cobranças ocultas ou faturas-surpresa. O valor que você vê é exatamente o que paga.

Posso trocar de plano depois?

Sim. Você pode fazer upgrade, downgrade ou cancelar a qualquer momento. Upgrades entram em vigor imediatamente e a diferença é calculada proporcionalmente. Downgrades valem a partir do próximo ciclo de renovação.

Quais formas de pagamento vocês aceitam?

Aceitamos todos os principais cartões de crédito (Visa, Mastercard, JCB, American Express) via Stripe e Komoju, além de transferência bancária e pagamento em lojas de conveniência no Japão. Pagamento via boleto/fatura está disponível para clientes do Business IT Plan.

Vocês oferecem reembolso?

Sim. Oferecemos garantia de reembolso de 14 dias em todos os planos anuais — sem perguntas. Assinaturas mensais do Business IT Plan podem ser canceladas a qualquer momento, com reembolso proporcional do período não utilizado.

Qual a diferença entre os planos anuais e o Business IT Plan?

Os planos anuais cobrem configuração e suporte de apps para indivíduos e pequenas equipes. O Business IT Plan é uma assinatura mensal abrangente para empresas que precisam de desenvolvimento web, gerenciamento de sistemas, automação, segurança e um gerente de conta dedicado.

Vocês oferecem suporte em português?

Sim. Nossa equipe oferece suporte multilíngue completo em japonês, inglês, português, coreano, chinês, malaio, filipino, vietnamita e espanhol — por e-mail, chat e videochamadas agendadas.

ゼロトラストアーキテクチャの実装記録 — KGA Tech Blog

なぜゼロトラストに移行したのか

KGAは2025年初頭までVPN + ファイアウォールベースの従来型セキュリティモデルを使用していた。転機は2024年末のセキュリティインシデントだ。退職者のVPN資格情報が無効化されておらず、退職後3ヶ月間、社内ネットワークへのアクセスが可能な状態だった。幸いデータ漏洩は発生しなかったが、このインシデントが「境界防御モデルの限界」を経営陣に認識させ、ゼロトラストへの移行予算が承認された。

ゼロトラストの原則

ゼロトラストは「何も信頼しない、常に検証する」を原則とするセキュリティモデルだ。GoogleのBeyondCorpが最も有名な実装例。従来の「社内ネットワーク内は安全」という前提を捨て、すべてのアクセスを個別に認証・認可する。

KGAが定めたゼロトラストの5原則。1. ネットワーク上の位置を信頼しない（社内からでもVPNからでも同じ検証を行う）。2. すべてのアクセスを明示的に認証する。3. 最小権限の原則を徹底する。4. すべてのトラフィックを監視・記録する。5. ポリシーを動的に評価する（デバイスの状態、時間帯、アクセスパターン）。

実装アーキテクチャ

KGAのゼロトラスト実装は以下のコンポーネントで構成される。

Identity Provider: Okta。全ユーザーの認証を一元管理。MFA必須（FIDO2/WebAuthn推奨、TOTP許容）。Device Trust: Okta Device Trust + CrowdStrike Falcon。デバイスのセキュリティ状態（OS パッチ、ディスク暗号化、EDRの動作状態）を確認し、基準を満たさないデバイスからのアクセスを拒否。Access Proxy: Cloudflare Access。全社内アプリケーションの前段に配置し、リクエスト単位で認証・認可を実行。VPNを完全に廃止し、全アクセスをCloudflare Access経由に。Microsegmentation: Calico Enterprise（Kubernetes内）。Pod間の通信をNetworkPolicyで制御。デフォルトDenyで、明示的に許可した通信のみ許可。

段階的移行プロセス

全システムを一度にゼロトラストに移行するのは非現実的だ。KGAでは6ヶ月の段階的移行を実施した。

Phase 1（Month 1-2）: Okta導入とSSO統合。既存のLDAP認証をOktaに移行し、全SaaSアプリケーション（GitHub、Slack、Jira等）のSSO設定。MFAの全社展開。Phase 2（Month 3-4）: Cloudflare Access導入。社内Webアプリケーション（10アプリ）をCloudflare Access経由に移行。VPNとの並行運用期間を設け、ユーザーの習熟を待つ。Phase 3（Month 5）: Device Trust実装。Okta Device TrustとCrowdStrikeの連携設定。セキュリティ基準を満たさないデバイスの検出と是正。Phase 4（Month 6）: VPN廃止とMicrosegmentation。VPNを完全廃止。Kubernetes内のNetworkPolicy適用。全トラフィックのログ記録開始。

Device Trustの実装詳細

Device Trustは最も導入に苦労した部分だ。理想は「セキュリティ基準を満たすデバイスのみアクセスを許可」だが、現実には個人所有デバイスの扱い、OSアップデートの遅延、特定ソフトウェアの互換性問題など、多くの例外が発生する。

KGAのDevice Trust基準。必須: OSが最新のメジャーバージョンから1つ以内（例: macOS 15.x or 14.x）。ディスク暗号化有効（FileVault / BitLocker）。CrowdStrike Falconが動作中。画面ロック設定有効（5分以内）。推奨（違反時は警告のみ）: OSの最新パッチ適用。ファイアウォール有効。

基準を満たさないデバイスは「制限付きアクセス」モードとなり、機密性の低いアプリケーション（Slack、Wiki等）のみアクセス可能。機密システム（GitHub、AWS Console、本番DB）へのアクセスは遮断される。

成果と数字

ゼロトラスト移行の成果を定量的に示す。セキュリティインシデント: 移行前月平均2.3件→移行後月平均0.4件（83%削減）。不正アクセス試行の検出: VPN時代は検出困難→Cloudflare Accessのログで100%可視化。アクセス権限の棚卸し: 年1回の手動作業→リアルタイムの自動レビュー。VPN関連のヘルプデスクチケット: 月15件→0件（VPN廃止）。ユーザー体験: VPN接続の手間が不要になり、社外からのアクセスがシームレスに。

コスト

移行プロジェクトの総コスト。Okta: $6/user/month（50ユーザー: $3,600/年）。Cloudflare Access: $7/user/month（$4,200/年）。CrowdStrike Falcon: $15/user/month（$9,000/年）。導入作業（内部工数）: 約400時間（2名x3ヶ月の一部）。合計: 年間約$16,800 + 内部工数。VPN機器のリース・保守費用（年間$12,000）が不要になったため、純増コストは約$5,000/年。セキュリティインシデントの削減効果を考えると、十分なROIだ。

学んだ教訓

最大の教訓は「ユーザー教育が技術実装より重要」ということだ。MFAの設定、Device Trustの基準遵守、新しいアクセス方法への適応。技術的な実装は2ヶ月で完了したが、全ユーザーの行動変容に4ヶ月かかった。早期にチャンピオンユーザー（各チームの技術リーダー）を巻き込み、草の根の普及活動を行うことを強く推奨する。

ゼロトラストアーキテクチャの実装記録