Google が実装したゼロトラストモデル「 BeyondCorp Enterprise 」について解説
【入場無料】TD SYNNEX主催のIT展示会「Inspire 2024」10/24(木)東京国際フォーラムにて開催!
はじめに
インターネットが広く普及し、社外の「信頼できないネットワーク」から接続する機会が格段に増えており、ゼロトラストに基づくセキュリティを導入するニーズが高まっています。
「 BeyondCorp 」は Google が実装したゼロトラスト モデルです。
VPNを介したネットワーク境界でのアクセス制御やユーザー単位でのアクセス制御を可能にするだけではなく、広い範囲に対応し細やかな設定をすることができます。
この記事では、ゼロトラスト モデルとして提供されている BeyondCorp について紹介します。
BeyondCorp と BeyondCorp Enterprise との違い
混同しやすい BeyondCorp と BeyondCorp Enterprise の2つについて整理します。
BeyondCorp とは前述の通り、Google が実装したゼロトラスト モデルであり、ユーザー単位のアクセス制御によってVPNを介さずに安全に作業できるようにするものです。
BeyondCorp Enterprise とは、統合型の脅威対策とデータ保護を提供するゼロトラスト ソリューションです。
つまり、BeyondCorp をソリューション化したものが BeyondCorp Enterprise ということができます。
ALL GOOGLE の場合はコンテキストアウェア アクセス
コンテキストアウェア アクセスは、Google Workspace の Business Enterprise 以上、Google Workspace for Education Standard、同 Plus のエディションで提供されているアクセス制御のための機能です。
ユーザーとデバイスのコンテキスト情報に基づいたアクセス制御を可能にします。
コンテキスト情報に該当するのは、ユーザー ID、アクセス元の地域、デバイスのセキュリティ状況、IP アドレスといったユーザーの属性です。
こうした属性を条件にアクセス制御ポリシーとして利用できるようになり、より安全なアクセスを確保することが可能となります。
コンテキストアウェア アクセスでは、Google Workspace のコアサービスアプリ(カレンダー、ドライブ、Gmailなどのアプリ)、Looker Studio、Google Play Console、SAML アプリに対してアクセス制御が可能になります。
上記のアプリのみで業務が完結していれば、コンテキストアウェア アクセスによるアクセス制御だけで安全なアクセスを確保できます。
サードパーティーツールを使うなら BeyondCorp Enterprise
BeyondCorp Enterprise は、Google が提供しているゼロトラスト ソリューションであり、Google サービスに含まれないサードパーティーツールに対してもアクセス制御を可能にする機能です。
Google から提供されているサービス以外(サードパーティー)でもユーザーのアクセス制限を行いたい場合、Google Workspace のコンテキストアウェア アクセスだけではセキュアな利用が確保できません。
このように、アクセス制限が Google Workspace の対象範疇外になってしまう場合に役立つのが BeyondCorp Enterprise です。
BeyondCorp Enterprise は、従業員やパートナーがインターネット上でデプロイされたウェブアプリケーションにアクセスする際のアクセス制御を行います。
ここで指すウェブアプリケーションは、Google Cloud はもちろん、Azure や AWS などのクラウドサービス、SaaS のアプリケーション、オンプレミスでホスティングされたアプリケーションも対象であり、Google Workspace で管理できない範囲も含みます。
BeyondCorp Enterprise は、次の4つの Google Cloud サービスを利用して行われており、実装すると、全てのルールと条件を満たさない限りリソースにアクセスすることができなくなります。
- Identity-Aware Proxy(IAP)
Google Cloud リソースに IAM 条件を適用することで、VPNを使用せず、信頼できないネットワークからでも、会社のアプリやリソースにアクセスできるようになります。 - Identity and Access Management(IAM)
リソースに対し、対象のユーザーがどのようなアクセス権(ロール)を持っているのかの定義に基づき、アクセス制御を管理します。 - Access Context Manager
デバイスの種類、OS、IPアドレス、ユーザーIDなど、きめ細やかなアクセス制御を設定します。 IAM 条件を適用された場合、構成された条件が満たされた場合にのみ権限を付与します。 - エンドポイントの確認
暗号化ステータス、OS、ユーザーの詳細などのデバイス詳細情報を取得する Google Chrome 拡張機能です。
これらを利用することで、サードパーティツールを用いた場合でもゼロトラスト モデルを実現できます。
また、BeyondCorp Enterprise を利用すると、BeyondCorp Threat and Data Protection という Chrome を利用した高度なユーザー保護機能が利用可能になります。
この BeyondCorp Threat and Data Protection は、Chrome を利用した高度なユーザー保護機能です。
さまざまなセキュリティ機能を Chrome に統合することで、データ保護を強化します。
具体的には、ウェブベースの脅威に対する追加的な保護対策、データ損失防止(DLP)ルールの適用、セキュリティアラートの設定、レポートツールを利用できるようになります。
より強固なデータ損失対策やマルウェアに対する保護の強化が必要な場合、BeyondCorp Threat and Data Protection は有効です。
BeyondCorp Enterprise の種類
BeyondCorp には、BeyondCorp Enterprise と BeyondCorp Enterprise Essentials の2種類があり、アクセス制御の範囲と費用が異なります。
いずれも、デバイスの保護とアクセスの保護を目的としており、アプリとデバイスに対して高度なセキュリティ体制とポリシーを実現できるセキュリティ モデルを用意しています。
Google Cloud 上の保護をアプリケーションとデータにも拡張することで、より強固な保護を可能にします。
前述の通り、BeyondCorp Enterprise は Google Cloud サービスを利用しています。
ここでは、BeyondCorp Enterprise の機能をわかりやすくするために、GCP ベースラインを比較対象としてみてみます。
GCP ベースラインは、Google Cloud 管理者が設定可能なアクセス制御機能であり、Google Cloud を利用していれば無料で使うことができます。
以下は、GCP ベースライン、BeyondCorp Enterprise Essentials、BeyondoCorp Enterpriseの簡易比較表です。
GCP ベースライン | BeyondCorp Enterprise Essentials | BeyondCorp Enterprise | |
費用 | 無料 (Google Cloudの利用が必要) | 1ユーザーあたり $4 USD/月 (合計最小契約費用$10,000 USD) | 1ユーザーあたり $6 USD/月 (合計最小契約費用 $14,000 USD) |
アプリケーションとリソースへのアクセス | ◯ (Google Cloud のアクセス制御のみ可) | △ (SAMLベースアプリケーションのログイン制御、 Google Workspace 管理コンソールへのアクセス制御のみ可) | ◎ |
アクセスポリシーと詳細設定 | △ (アクセスレベルはユーザー、IPアドレス・位置情報) | ◯ | ◎ |
ユーザー、脅威、データ保護 | × | ◎ | ◎ |
- GCP ベースライン
- Google Cloud の範囲においてアクセス制御を行います。
- アクセス ポリシーと詳細設定、ユーザー、脅威、データの保護については BeyondCorp と比較すると設定可能な内容が限定されています。
- BeyondCorp Enterprise Essentials
- Google Cloud のアプリケーションとリソースへのアクセスは GCP ベースラインより範囲が狭いですが、SAMLベースのアプリケーションや Google Workspace 管理コンソールへのアクセス制御が可能です。
- アクセス ポリシーと詳細設定では、GCP ベースラインではカバーしていない日時制限、ログイン認証情報の強度、サードパーティ パートナーのシグナルを使用したアクセスレベルなどの設定が可能になります。
- BeyondCorp Enterprise
- GCP ベースライン、BeyondCorp Enterprise Essentials で設定できる項目すべてをカバーしており、利用できる機能が最も多くなっています。
- アプリケーションとリソースへのアクセスでは、Google Cloud の内部ロードバランシングに関するウェブアプリケーション、シッククライアント/クライアントサーバー、AWS や Azure 上などのウェブアプリケーションへのアクセス制御が可能になります。
- アクセスポリシーと詳細設定では、BeyondCorp Enterprise Essentials でカバーしていない HTTPオプションないの同一オリジンポリシーの構成と、カスタム認証ドメインと403ページの設定を行うことができます。
(費用と機能の詳細については BeyondCorp Enterprise の料金 をご覧ください。)
Access Context Manager
Access Context Manager とは、IAP や IAM 同様に、BeyondCorp Enterprise を支える重要な Google Cloud の機能の一つです。
IAPは、ユーザー ID を確認し、コンテキストを利用してアクセスを許可する機能で、IAMは、承認を受けたユーザーのみに、特定のリソースに対するアクションの実行を許可する機能です。
そして、Access Context Manager は、IAP で使える機能を拡張し、非 Google Cloud リソースのプロキシ、IAP のカスタマイズ、アクセスレベルでのデバイス属性の使用を可能にします。
利用するためにはアクセスポリシーを定義する必要があります。
ここから、Access Context Manager の詳しい機能について見ていきます。
アクセスポリシー
アクセスポリシーは、すべての Access Context Manager リソースのコンテナであり、アクセスレベルやサービス境界として使用します。
ETag を使用してバージョン管理することができ、特定のバージョンのポリシーを対象に変更を加えることが可能です。
Access Context Manager のアクセスポリシーを使用するには、適切な IAM ロールが設定されている必要があります。
(必要な IAM ロールについての詳細は こちら 、アクセスポリシーの作成方法については こちら をご参照ください。)
アクセスポリシーは、gcloud コマンドラインツールの使用についても、デフォルトのアクセスポリシーを設定することが可能になります。
アクセスレベル
アクセスレベルは、リソースへのアクセスを許可するために使用されます。
複数のレベルを指定することが可能で、標準の IAM ポリシーとは別に適用されます。
機密性の高いリソースにアクセスしたり、高い権限を持っていたりするユーザーを High_Trust のアクセスレベルとし、一般的なグループを Medium_Trustとして執行サービスにリクエスト許可を行います。
アクセスレベルとして使用できるのは、以下のユーザー属性情報です。
IP アドレス
元のリクエストの IP アドレスに基づいてアクセスレベルを付与できます。
企業ネットワーク内のアドレスなど、指定された範囲の IP アドレスのみを許可するアクセスレベルを設定することも可能です。
ただし、プライベート IP 範囲を含めることはできないので注意が必要です。
端末の種類
エンドポイントの確認 を使用して収集されたユーザーデバイスに関する情報に基づいてアクセスレベルを付与できます。
オペレーティング システムやバージョンなどが指定可能です。
ただし、利用には 有料のエンタープライズ セキュリティ サブスクリプション の登録が必要です。
ご希望の場合はTD SYNNEX までご相談ください。
ユーザー ID
特定の個人や組織にアクセスレベルを付与する場合は、発信者のIDによって条件の状況を判断します。
サービスアカウントや VPC Service Controls と組み合わせて使用することが多いです。
ID のみのアクセスレベルの作成と管理は gcloud コマンドライン ツールで行うことができますが、Google Cloud コンソールでは行えないことには注意が必要です。
条件の組み合わせ
アクセスレベルは、条件を AND または OR の演算子で組み合わせて設定することができます。
AND の場合は、全ての条件が満たされた場合に、OR 条件では、条件のうち1つが満たされている場合にアクセスレベルを付与します。
ネスト条件
ある条件が別の条件に依存するように、条件をネストできます。
スタンダードなアクセスレベルと、高度なアクセスレベルがあった場合、高度なアクセスレベルの要件を、「スタンダードなアクセスレベル+他の条件」という設定にすることが可能です。
うまく組み合わせて使うことで、アクセスレベルの管理をより便利に行えるようになります。
高度なアクセスレベルの条件に、許容度の高いアクセスレベルをネストしておけば、将来的にポリシーを更新する際、すべてのアクセスレベルではなく、単一の条件の更新で済むため、手間やミスを軽減することが可能です。
うまく組み合わせて使うことで、アクセスレベルの管理をより簡便化できます。
おわりに
従来型の内と外と分けてセキュリティを担保する考え方が限界に来ている今、安全に・どこからでも・様々な端末を使用して仕事ができ、VPNを使う必要もない BeyondCorp という考え方を Google は提唱しています。
BeyondCorp について更に詳しく知りたい方は、是非 TD SYNNEX までお問い合わせください。
Beyondcorp の考え方を活用したご提案をご希望の販売店様は、Google Cloud(GCP)のリセラー登録が必要です。
登録完了までサポートしておりますので、リセラー登録についてもお気軽にお問い合わせください。