かつて、企業のセキュリティ対策といえば「社内ネットワーク（内側）は安全、インターネット（外側）は危険」という前提で、その境界に強固な壁（ファイアウォール）を築くのが一般的でした。しかし、この「境界防御」という考え方は、今や過去のものとなりつつあります。

クラウドサービスの普及やリモートワークの定着により、従業員はどこからでも業務システムにアクセスするようになりました。こうした「境界のない時代」において、注目されている、「ゼロトラスト」という概念の礎となったのが、Google の提唱した「BeyondCorp」です。

そこで今回は、「BeyondCorp とは？」をテーマに、現在のサービス形態である「Chrome Enterprise Core／Premium」との関係性まで、分かりやすく解説します。ぜひ参考にしてください。

<この記事でわかること>

BeyondCorp を理解する上で欠かせないのが、2010年頃に提唱された「何も信頼しない」というセキュリティの考え方である「ゼロトラスト（Zero Trust）」です。

従来の境界型セキュリティでは、社内は安全・社外は危険という考え方に基づき、社内と社外の境界線に対してセキュリティ対策を講じていました。ゼロトラストセキュリティでは全てのアクセスを信頼しない（zero trust）ことを基本とし、ユーザーやデバイス、フロー毎に通信の検証を行い、接続許可を判断しています。

テレワークの浸透などによるクラウドの利活用が進むにつれ、社内・社外の境界線があいまいになっている現代においては最適なセキュリティ概念と言えます。

BeyondCorp とは、Google が提唱するゼロトラストセキュリティの考え方です。

従来のセキュリティ（境界防御）が「社内LANに繋がっているから安全」という「場所」を根拠にしていたのに対し、BeyondCorp は「どこから接続しても、ユーザーとデバイスが正当であると証明されなければ、アクセスは許可しない」というスタンスを徹底しています。

BeyondCorp の設計思想は、以下の3つの基本原則によって支えられています。

ユーザーがオフィスのデスクにいても、カフェのからアクセスしていても、セキュリティの強度は変わりません。社内ネットワークを特別な領域とせず、すべてのアクセスを等しく「インターネットからの接続」として扱います。

BeyondCorp では、「IDとパスワード」のみでは不十分と考え、アクセス権限を付与する際に、以下のような「コンテキスト（状況）」を動的に判定します。

これらを組み合わせて、初めてアクセス権限が付与されます。

特定のサーバーやアプリケーションへのアクセスは、リクエストごとに毎回検証されます。一度ログインすれば中を自由に歩き回れる「VPN」とは異なり、各サービスの前でその都度「検問」が行われ、通信は常に暗号化されます。

BeyondCorp は以下の2つのラインナップで展開されていました。

「まずはVPNを廃止して、安全に社内リソースへアクセスしたい」という企業向けに、主要なアクセス制御機能に絞って低コストで提供されていたプランです。

強力なデータ保護（DLP）や、マルウェア対策、Google Cloud のインフラを活用した高度なアクセス制御を備えた、いわば「全部入り」のプランです。

Google は2024年4月、ゼロトラストセキュリティの先駆けであった BeyondCorp の機能を Chrome ブラウザとより密接に連携させるためにリブランドを行いました。

かつて BeyondCorp Enterprise が提供していた強力なセキュリティ機能は、現在すべて Chrome Enterprise Premium に引き継がれています。

BeyondCorp Enterprise が持っていた強力な機能は、そのまま「Chrome Enterprise Premium」に引き継がれています。

「誰が」「どのデバイスで」「どこから」アクセスしているかを瞬時に判断し、VPNなしで社内アプリやSaaSへの接続を許可・ブロックします。

アプリケーションの手前に認証の壁（プロキシ）を置くことで、インターネット上に公開されているアプリでも、認可されたユーザーのみが安全に利用できるようにします。

アクセス元のPCが会社支給のものか、OSは最新かといった情報をチェックし、脆弱な端末からの接続を遮断します。

統合によって、BeyondCorp の機能に加え、Chrome ブラウザ独自の高度な保護機能がシームレスに統合されました。

例えば、「生成AIに機密情報を貼り付ける」「個人用ストレージに業務ファイルをアップロードする」といったブラウザ上の動作を検知し、警告やブロックを行うことができます。

アクセスしようとしているサイトがフィッシング詐欺ではないか、ダウンロードしようとしているファイルに未知のマルウェアが含まれていないかをリアルタイムでスキャンします。

PCに特別なソフトウェアをインストールしなくても、Chrome ブラウザさえあればこれら全ての機能が利用できる点です。これにより、導入スピードが格段に上がり、従業員のPCの動作が重くなることもありません。

現在は、前章で解説した Chrome Enterprise Premium と無料版の Chrome Enterprise Core の2つのプランがあります。

Chrome Enterprise Core は、ブラウザ管理の基本プランです。管理コンソールから組織内の全 Chrome に対して「特定の拡張機能を禁止する」「自動アップデートを強制する」といった制御が可能になります。これだけでもシャドーIT対策として非常に有効ですが、BeyondCorp の核心である「動的なアクセス制御」は含まれません。

まずブラウザ環境の現状把握と統制を優先したい企業には、無料版の Core が向いていると言えるでしょう。一方で、BeyondCorp の真髄であるゼロトラスト環境の構築や、最新のITリスクへの対応を重視する企業には、有料版の Premium が最適です。

実務上の大きなポイントは、Google Cloud（旧GCP）の基盤に統合されているという点です。

Chrome Enterprise Premium の課金は、Google Cloud コンソールを通じて管理されます。すでに Google Cloud を利用している企業であれば、既存の請求アカウントに統合できます。