BeyondCorpとは？Googleが提唱するゼロトラストの特徴やメリットなど解説

近年の国内DX(※1)は劇的に進み、第四次産業革命もいよいよ大詰めに差し掛かる勢いでしょうか。企業は、これまでのスタンダードであった境界型セキュリティやVPNに依存したネットワーク構築からゼロトラストセキュリティを根本としたZTNA(※2)を組み込む過渡期に直面しています。

今回は、拠点間VPNを張らずに実現するGoogle流のゼロトラストセキュリティ「BeyondCorp」と、ByondCorpのアーキテクチャを実現する「BeyondCorp Enterprise」についてお話したいと思います。

ゼロトラストセキュリティとは、2010年にフォレスター・リサーチ社が提唱した新しいセキュリティモデルのことです。
従来の境界型セキュリティでは、社内は安全、社外は危険という考え方に基づき、社内と社外の境界線に対してセキュリティ対策を講じていました。
ゼロトラストセキュリティでは全てのアクセスを信頼しない（zero trust）ことを基軸に、ユーザやデバイス、フロー毎に通信の検証を行い、接続許可を判断しています。
テレワークの浸透などによるクラウドの利活用が進むにつれ、社内／社外の境界線があいまいになっている現代においては最適なセキュリティ概念になります。
ゼロトラストについて詳しく解説した記事はこちら

ゼロトラストには大きく3つの特徴があります。

会社のデータや特定のWebサイトへアクセスができるユーザを必要最小限にすることで、情報漏えいのリスクを低減させることができます。閲覧できるファイルに制限をかけたり、信頼性の低いWebサイトの閲覧を制限します。

これは従業員に限らず、顧客や出入りの業者など、そのシステムにアクセスが必要な全てのユーザが精査対象です。システムごとにアカウント管理が散在していては管理が難しくなりますので、SSO（シングルサインオン）等で一元管理するべきです。またアクセス制御については、動的にコンテキストベースなポリシー設定をする事を推奨します。

アプリケーションやデータへのアクセス時に、多要素認証を活用してより精度の高い本人確認を行います。例えば一例としては、生体認証（顔認証や指紋認証）などを併用することで、何らかの方法でIDとパスワードを奪取した本人以外の不正アクセスを防ぐことが可能になります。
また理想は「何も信頼せず、すべてを検証する」というゼロトラストの基盤に沿い、ユーザーのコンテキストに何らかの変更が生じた場合は、認証と認可の確認を再度要求する事も重要です。これにより、一度認証を得たユーザであっても新たなアクセスが発生する際には（接続先コンテキストが変更になるので）再度認証を要することになります。これらをユーザに負荷がかからない形で行うことでスムーズなアクセスを実現する事が出来ます。

事業や使用しているデバイス、ネットワーク環境によって、セキュリティ対策を強化するべきポイントは企業ごとに異なるかもしれません。

また、ゼロトラストなネットワーク構築を一つのサービスでまかなうことは難しく、必要なポイント・強化したいポイントごとにセキュリティサービスを導入する必要があります。
自社の業務や環境を把握し、セキュリティ対策を講じるべきポイントはどこなのかを定義しなおしてみるといいでしょう。

今の世の中に浸透しているニューノーマルな働き方ではリモートアクセスが不可欠となり、ネットワーク外部にあるデバイス（個人のスマホやタブレット、自宅PC等）もビジネスシーンで多く利用されています。

リモートワークする従業員が増える中、「社内LANに入れば安全」という従来の境界型ネットワークを貫くとVPN網で処理しなければいけないデータ量も比例して増加します。
そのトラフィックすべてを処理するとなると従来のVPN網では負荷がかかります。
2020年時点で多くの企業がその事実を認識し、その内46%がVPN利用の増加による通信遅延を問題視していました（フォレスター・コンサルティング社による2020年の調査に基づく）。

従業員が求めるパフォーマンス(高利便性＆高レスポンスであること)を従来のネットワーク構成で実現するには無理が生じてきている...というのが現状です。
ゼロトラストネットワークはVPNの高負荷を解消し、各拠点ひいては各デバイスから業務に必要なアプリケーションに直接アクセスさせる為のセキュリティが考慮されたネットワークの形です。

ゼロトラストネットワークを構築し境界型セキュリティから脱すれば、従業員のセキュリティを確保しながらそれまで以上に生産性を向上させることができます。

そんな中Googleは、「BeyondCorp」と題して過去10年にわたり独自のやり方でその取り組みを続けてきました。BeyondCorpは全世界10 万人以上のGoogle社員の利用実績が裏付けしたゼロトラストセキュリティのGoogle版モデル（=Google流の実現方法）といえるでしょう。

ゼロトラストセキュリティを叶えるためにBeyondCorpに備わっている3つの特徴について解説します。

BeyondCorpでは、社内ネットワークと社外ネットワークを行き来する通信をアクセスプロキシーを経由させることにより、ユーザのアクセス場所・デバイス等のコンテキスト情報を参照してアクセスの制御を行っています。
他にも外部からの脅威やDDoS攻撃の検知・対策、アプリケーションのステータスチェック機能も備わっています。
従来、社内ネットワークへのアクセス制御はVPNで行うことが多く、VPNはあくまでも社内ネットワークへマルウェアの侵入を防ぐものであり、被害最小化の機能としてはやや不足しているといったこともありました。
アクセスプロキシーはセキュリティインシデントの被害最小化にも寄与するため、ゼロトラストの考え方に叶う役割を担っています。

BeyondCorpのユーザ認証には多要素認証が採用されている他、スマホやPCなどのデバイスには、それぞれを識別するために電子証明書を使います。その証明書を使うことで、ファイルやアプリケーションへのアクセスを制御することができます。
また、管理エージェントを使用すればデバイス毎のOSやセキュリティソフトのバージョンが最新になっているかどうか等のインベントリ情報も管理することができます。
アクセス制御だけでなく、IT資産管理、異常の検出にも役立つのです。

アプリケーションへのアクセスを制御することができるシステムをアクセスコントロールエンジンといいます。
デバイスインベントリなどで集めた情報とチームや部署、プロジェクトなど別途管理されるユーザ情報との照合を基にアプリケーションがユーザに対してアクセス制御を行うことが可能です。アプリ毎に必要最低限のユーザへアクセスを許可するという運用をすることでデータ漏えいリスクを低減する事が出来ます。

BeyondCorpを導入するメリットは大きく3つあります。

何と言っても導入のしやすさは大きなメリットです。
1ユーザあたり6＄で利用できますし、会社規模（ユーザ数）に応じてコストは最小限で済みます。
またBeyondCorpを導入する上で新たに購入しなければいけない機器なども発生しない為、既存システムやアプリケーションの構成変更などが最小限でよいことから、契約から実際の運用開始までも比較的短期間で済むという点も導入のしやすさにつながっています。

前述した通り、社内／社外のネットワークの境界が曖昧になりつつある現代において、従来のVPNよりも高いセキュリティを享受することができます。
インシデント発生時の被害最小化に寄与できるところも大きなメリットでしょう。

ネットワークの境界でセキュリティを講じるのではなく、ユーザ毎やアプリ毎にセキュリティを講じる為、従業員の働く場所を問わず、セキュリティレベルを保つことが可能です。
そしてVPNを経由しないという選択は、VPN網を経由する事での通信遅延も回避できたり、管理しきれなかったシャドーITの抑制にも高い効果を発揮することでしょう。

BeyondCorpは「Google流ゼロトラスト」であり、これは概念でしかありません。この考え方に則って作られたソリューションが「BeyondCorp Enterprise」です。
BeyondCorp Enterpriseのアーキテクチャを見てみると、エンドポイント領域、ネットワーク領域、クラウド領域において、ゼロトラストネットワークを構成するにあたって重要となるセキュリティ要素を駆使していることが分かりました。

GoogleのID管理1つで、予め指定されたルールと条件を満たさない限り、該当のリソース（アプリケーション）にアクセスできないという制御を実行します。ネットワークレベルでリソースを保護するのではなく、個々のデバイスやユーザに対してアクセス制御が行われる為、既存のVPNが不要（または負荷が軽減）になり、よりセキュアな環境で業務を遂行することができるのです。

ユーザはGoogle ChromeというWebブラウザを使用し、アカウントはIdentify and Access Management（IAM）というGoogle CloudのID管理と認証サービスで管理します。認証に値するアカウントであるかの評価などを細かく設定する事が出来ます。
また、デバイスはEndpoint Verificationで管理します。従業員がGoogle Chromeの拡張機能であるEndpoint Verificationをインストールすることで、その従業員がGoogle Cloudリソースへのアクセスに使用したデバイスに関する情報（OSバージョン、ストレージの暗号化の有無、パスワードが設定されているか等の詳細な情報）が集積されるサービスです。管理者は、Google Chrome拡張機能から収集された詳細情報を使用して、組織のデータにアクセスするChrome OSとChromeブラウザ搭載デバイスの台帳を作成できます。

ユーザーのアクセスは全てGoogle ネットワークを経由します。200 を超える国や地域で利用でき、エッジロケーションが 144 か所に及ぶGoogleのネットワーク基盤であれば大容量トラフィックにも耐えられます。また、ユーザのトラフィックはプロキシなどで保護され、DDoS攻撃にも対応することが出来ます。

アクセス先であるアプリケーションはAccess Context Managerにて管理します。アクセスレベルやアクセスポリシー等のルールを設定し、きめ細かなアクセス制御を確立する事が出来ます。IDや端末はもちろんのこと、位置情報やアクセス時刻、セッション経過時間などをみてアクセス可否を選択できます。
また、Identify-Aware Proxy（IAP）でアクセス経路が管理される事によって、従業員がVPNを利用せずに信頼できないネットワーク（自宅やコワーキングスペース、カフェ等）から会社のアプリやリソースにアクセスできるようになります。
Access Context Managerで制御した条件を基にIdentify-Aware Proxy（IAP）を用いてアプリケーションへのアクセスをしているということです。

これまでの境界線型セキュリティでは、「どこから(IPアドレス)どこへ(IPアドレス)アクセスするか」をベースに考えられたものであり、アクセス制御は、「誰が(アカウント)どこへ(IPアドレス)」をベースに考えられたものでした。しかし働き方が多様化し、サイバー攻撃が進化した現在では、接続元に制限をかける事は生産性低下を意味します。生産性を保持するにはマルチデバイス、マルチロケーションを許容する必要がある為、アクセスしてきた誰か(アカウント)が正しくセキュリティポリシーをクリアしているかどうかまでを管理しないとセキュリティリスクが高まります。
BeyondCorp Enterpriseであれば、接続元と接続先の両方に高度なセキュリティ体制とポリシーを実現できるセキュリティモデルが用意されており、従業員は仕事をする場所や使用するデバイスのタイプに関係なく、高い利便性を確保する事が出来るのです。
また、既にGoogle Workspaceユーザーである企業の場合、既存のIDやグループポリシーなどが適用できるので導入のハードルも低いかもしれません。

新型コロナウィルスにより、物理的にも精神的にも窮屈さを感じる日常を強いられてきました。
その中で、働き方も大きく変化し、サイバー攻撃者の攻撃手法も変化を遂げています。
情報システム担当者が、これまでの考え方や設備を貫いていくには難しい世の中でしょう。
脱VPNしなければ、と焦る必要はありません。
しかし、GoogleのBeyondCorpの概念のようにセキュリティポリシーの組み立てから刷新する必要があるのは間違いないと思います。
ゼロトラストネットワークにおいて、BeyondCorp Enterpriseは数ある選択肢のうちの一つに過ぎません。導入や運用工数を抑えてBeyondCorpを実現したい、そう考える企業様の参考になれば幸甚です。