近年の国内DX(※1)は劇的に進み第四次産業革命もいよいよ大詰めに差し掛かる勢いでしょうか。企業は、これまでのスタンダードであった境界型セキュリティやVPNに依存したネットワーク構築からゼロトラストセキュリティを根本としたZTNA(※2)を組み込む過渡期に直面しています。

今回は、拠点間VPNを張らずに実現するGoogle流のゼロトラストセキュリティ「BeyondCorp」と、ByondCorpのアーキテクチャを実現する「BeyondCorp Enterprise」についてお話したいと思います。

※1 DXとは...Digital Transformation(デジタルトランスフォーメーション)の略語。企業がデジタル技術を活用し、ビジネスモデルや企業自体を変革していくこと

※2 ZTNA(Zero Trust Network Access)とは...全てのアクセスを信頼しないゼロトラストの考え方を取り入れたセキュリティソリューションのこと

BeyondCorpとは?

今の世の中に浸透しているニューノーマルな働き方ではリモートアクセスが不可欠となり、ネットワーク外部にあるデバイス(個人のスマホやタブレット、自宅PC等)もビジネスシーンで多く利用されています。

リモートワークする従業員が増える中、「社内LANに入れば安全」という従来の境界型ネットワークを貫くにはVPN網で処理しなければいけないデータ量も比例して増えます。
そのトラフィックすべてを処理するとなると従来のVPN網では負荷がかかります。
昨年時点(2020年)で多くの企業がその事実を認識し、その内46%がVPN利用の増加による通信遅延を問題視していました(フォレスター・コンサルティング社による2020年の調査に基づく)


従業員が求めるパフォーマンス(高利便性&高レスポンスであること)を従来のネットワーク構成で実現するには無理が生じてきている...というのが現状です。
ゼロトラストネットワークはVPNの高負荷を解消し、各拠点ひいては各デバイスから業務に必要なアプリケーションに直接アクセスさせる為のセキュリティが考慮されたネットワークの形です。

ゼロトラストネットワークを構築し境界型セキュリティから脱すれば、従業員のセキュリティを確保しながらそれまで以上に生産性を向上させることが出来ます。

そんな中Googleは、「BeyondCorp」と題して過去10年にわたり独自のやり方でその取り組みを続けてきました。BeyondCorpは全世界10 万人以上のGoogle社員の利用実績が裏付けしたゼロトラストセキュリティのGoogle版モデル(=Google流の実現方法)といえるでしょう。

BeyondCorp Enterpriseとは?

BeyondCorpに則って作られたソリューションが「BeyondCorp Enterprise」です。
BeyondCorp Enterpriseのアーキテクチャを見てみると、エンドポイント領域、ネットワーク領域、クラウド領域において、ゼロトラストネットワークを構成するにあたって重要となるセキュリティ要素を駆使していることが分かりました。

GoogleのID管理1つで、予め指定されたルールと条件を満たさない限り、該当のリソース(アプリケーション)にアクセスできないという制御を実行します。ネットワークレベルでリソースを保護するのではなく、個々のデバイスやユーザに対してアクセス制御が行われる為、既存のVPNが不要(または負荷が軽減)になり、よりセキュアな環境で業務を遂行することができるのです。

エンドポイント領域

ユーザはGoogle ChromeというWEBブラウザを使用し、アカウントはIdentify and Access Management(IAM)というGoogle CloudのID管理と認証サービスで管理します。認証に値するアカウントであるかの評価などを細かく設定する事が出来ます。
また、デバイスはEndpoint Verificationで管理します。従業員がGoogle Chromeの拡張機能であるEndpoint Verificationをインストールすることで、その従業員がGoogle Cloudリソースへのアクセスに使用したデバイスに関する情報(OSバージョン、ストレージの暗号化の有無、パスワードが設定されているか等の詳細な情報)が集積されるサービスです。管理者は、Google Chrome拡張機能から収集された詳細情報を使用して、組織のデータにアクセスするChrome OSとChromeブラウザ搭載デバイスの台帳を作成できます。

ネットワーク領域

ユーザーのアクセスは全てGoogle ネットワークを経由します。200 を超える国や地域で利用でき、エッジロケーションが 144 か所に及ぶGoogleのネットワーク基盤であれば大容量トラフィックにも耐えられます。また、ユーザのトラフィックはプロキシなどで保護され、DDoS攻撃にも対応することが出来ます。

クラウド領域

アクセス先であるアプリケーションはAccess Context Managerにて管理します。アクセスレベルやアクセスポリシー等のルールを設定し、きめ細かなアクセス制御を確立する事が出来ます。IDや端末はもちろんのこと、位置情報やアクセス時刻、セッション経過時間などをみてアクセス可否を選択できます。
また、Identify-Aware Proxy(IAP)でアクセス経路が管理される事によって、従業員がVPNを利用せずに信頼できないネットワーク(自宅やコワーキングスペース、カフェ等)から会社のアプリやリソースにアクセスできるようになります。
Access Context Managerで制御した条件を基にIdentify-Aware Proxy(IAP)を用いてアプリケーションへのアクセスをしているということです。

BeyondCorp Enterpriseの必要性やメリット

これまでの境界線型セキュリティでは、「どこから(IPアドレス)どこへ(IPアドレス)アクセスするか」をベースに考えられたものであり、アクセス制御は、「誰が(アカウント)どこへ(IPアドレス)」をベースに考えられたものでした。しかし働き方が多様化し、サイバー攻撃が進化した現在では、接続元に制限をかける事は生産性低下を意味します。生産性を保持するにはマルチデバイス、マルチロケーションを許容する必要がある為、アクセスしてきた誰か(アカウント)が正しくセキュリティポリシーをクリアしているかどうかまでを管理しないとセキュリティリスクが高まります。
BeyondCorp Enterpriseであれば、接続元と接続先の両方に高度なセキュリティ体制とポリシーを実現できるセキュリティモデルが用意されており、従業員は仕事をする場所や使用するデバイスのタイプに関係なく、高い利便性を確保する事が出来るのです。
また、既にGoogle Workspaceユーザーである企業の場合、既存のIDやグループポリシーなどが適用できるので導入のハードルも低いかもしれません。

まとめ

新型コロナウィルスにより、物理的にも精神的にも窮屈さを感じる日常を強いられてきました。
その中で、働き方も大きく変化し、サイバー攻撃者の攻撃手法も変化を遂げています。
情報システム担当者が、これまでの考え方や設備を貫いていくには難しい世の中でしょう。脱VPNしなければ、と焦る必要はありません。
しかし、GoogleのBeyondCorpの概念のようにセキュリティポリシーの組み立てからから刷新する必要があるのは間違いないと思います。
ゼロトラストネットワークにおいて、BeyondCorp Enterpriseは数ある選択肢のうちの一つに過ぎません。導入や運用工数を抑えてBeyondCorpを実現したい、そう考える企業様の参考になれば幸甚です。

この記事に関連するお役立ち資料はこちら

Google Workspace 、 Microsoft 365 の導入者も必見!
コロナによりクラウド利用が急増 これからのネットワーク構成に欠かせない「ゼロトラストネットワーク」

テレワークが定着したことでネットワークの境界線は曖昧になりつつあります。そのような背景で、従来ファイアウォールで分けていた「社内」「社外」という境界にフォーカスしたセキュリティ対策では対応できなくなってきています。そこで生まれた「ゼロトラスト」という考え方について解説します。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス