Googleと同じ仕組みのゼロトラストセキュリティ、「BeyondCorp Enterprise」一般提供
目次を開く
クラウド時代は「ゼロトラストセキュリティ」で
境界型セキュリティは、従来からあるネットワーク重視型のセキュリティ対策です。ファイアウォールとVPNを組み合わせ、通信環境をサイバー攻撃から保護しようとするものです。
しかしクラウドの普及により防ぎきれないことが増え、「ゼロトラスト」あるいは「エンドポイントセキュリティ」という新しい考え方が重視されるようになりました。
境界型セキュリティの問題点
在宅勤務する場合、自宅PC内のデータだけだと仕事を終えられないことがあります。社外へ持ち出せないデータも少なくないので、企業ネットワークにリモート接続し、そこのシステムやデータを使う作業が生じます。テレワークでは、こうしたインターネット経由の通信を安全に行う仕組みの構築が欠かせません。
安全確保の手段としては、企業ネットワークへの接続をファイアウォールで制限し、外部から[仮想プライベートネットワークVPNでファイアウォールを通過して内部へアクセスする、という境界型セキュリティ方式が多いでしょう。
VPN接続すると、ネットワーク外部のPCでも、ネットワーク内のPCと同じ扱いになります。たとえば、VPN接続した自宅のPCは、企業ネットワーク内に存在するとみなされます。その結果、社内のシステムやデータが自宅PCから使えるようになるのです。
この方式は、ファイアウォールが何らかの攻撃で突破されたら無力です。また、企業ネットワークへ接続せず、外部のクラウドサービスを使うワークフローだと、境界型セキュリティの枠外になってしまいます。そのため、現在のICT環境は、ファイアウォールとVPNだと十分なセキュリティを確保できない場面に遭遇します。
ゼロトラストでエンドポイントを保護
そこで推奨されるのが、PCやサーバー、アプリケーションといったエンドポイントのセキュリティを重視し、エンドポイントごとにユーザー認証とデバイス認証を確実に行う「エンドポイントセキュリティ」です。
境界型セキュリティと違い、すべてを信頼できないものとして扱います。そのうえで、ユーザーやデバイスの動作、状態、接続場所などを随時監視し、疑わしければアクセスを妨げて防御する、という考え方です。
ユーザーやデバイス、ネットワークをすべて疑ってかかることから、「ゼロトラストセキュリティ」などと呼ばれます。
グーグルが包括的ゼロトラストセキュリティ発表
ゼロトラストセキュリティは、SaaSのようなクラウドサービスを多用したり、自宅やカフェなどオフィス以外の場所から接続したりする、近ごろの働き方に合っています。ただし、既存の企業ネットワークをVPNで拡張する方式と異なり、システムを全体的に見直す必要があり、一朝一夕の実施は困難です。
これに対し、グーグルがゼロトラストサービス「BeyondCorp Enterprise」の提供を開始しました。現代的なICT環境に適した最新のセキュリティ対策を、一気に導入できるかもしれません。
VPN代わりになる「BeyondCorpリモートアクセス」
BeyondCorp Enterpriseは、グーグルが2020年4月に発表した「BeyondCorp Remote Access(リモートアクセス)」をベースに、さまざまなテレワーク向けセキュリティ機能を一括提供するサービスです。そこで、まずBeyondCorpリモートアクセスについて説明しましょう。
BeyondCorpリモートアクセスは、VPNを使わず、どこからでも安全にウェブアプリやクラウドをアクセス可能にするサービスです。企業の従業員や許可された外部の人に対し、業務用のアプリやデータを安全に提供できます。
アクセスを許可するかどうかは、プロキシの「Identity-Aware Proxy(IAP)」を介すことで、ユーザーIDのほか、使用しているデバイスの種類や所在地など「コンテキスト」と呼ぶ多くの条件を検証して決めます。OSやアプリのバージョンなど、細かな条件を組み合わせたアクセス制御も可能です。
出典:グーグル / Keep your teams working safely with BeyondCorp Remote Access
Chrome Enterpriseでセキュリティ機能を追加
BeyondCorpリモートアクセスで構築できるのは、ゼロトラストセキュリティに対応した、安全性の高いリモートアクセス環境です。グーグルは、さらに強固なゼロトラストセキュリティを実現させるためのサービスとして、BeyondCorpリモートアクセスを拡張したBeyondCorp Enterpriseの提供を始めました。
安全確保の仕組みはBeyondCorpリモートアクセスと変わりません。IAP経由でユーザーとコンテキストを監視することで、不正アクセスを阻止します。
加えてBeyondCorp Enterpriseではエンドユーザー保護機能も使えるようになりました。これにより、ユーザーはマルウェアやフィッシングといったサイバー攻撃から守られます。さらに、データ漏えい防止(DLP)やSSL証明書管理、アプリケーション保護といった機能も追加されました。こうして、ユーザーからアプリまでのエンドツーエンドが包括的に保護されます。
なお、BeyondCorp Enterpriseを利用するユーザーは、企業向けChromeである「Chrome Enterprise」を使わなくてはなりません。というのも、BeyondCorp Enterpriseで追加された各種保護機能が、Chrome Enterpriseで実現されているからです。
逆に考えれば、慣れているChromeを使うだけで、BeyondCorp Enterpriseの恩恵が得られます。特別なエージェントソフトウェアなどのインストールや設定は、一切不要です。在宅勤務のテレワークでウェブアプリやSaaS、クラウドなどを頻繁に使う今の働き方に、適したセキュリティサービスではないでしょうか。
出典:グーグル / BeyondCorp Enterprise: Introducing a safer era of computing
グーグルと同レベルのセキュリティを
BeyondCorp Enterpriseは、グーグルが以前から社内で運用してきたセキュリティシステムを、一般向けに提供するものです。つまり、グーグルが導入しているものと同レベルの、堅牢なゼロトラストセキュリティが利用可能になります。
緊急事態宣言の延長が決まり、新型コロナウイルス感染症(COVID-19)対策としての在宅勤務は、必要性がますます高まっています。同時に、エンドポイントセキュリティやゼロトラストセキュリティを確保する重要性も増す一方です。
BeyondCorp Enterpriseの詳細は、2月下旬に開催されるウェブセミナーで解説されるそうです。これを参考に、導入可能かどうか、導入すべきかどうかなどを検討しましょう。
