Beyond Corp とは何か
Beyond Corp とは、Google 社がサービス提供するいわゆるゼロトラストアクセスソリューションです。
Google 社では、近年大きく変わる企業アクセス・セキュリティのあり方を踏まえ、ユーザーから寄せられたアイデアやリクエストなどを取り入れ、Beyond Corp を開発しました。
Beyond Corp はアクセスするユーザー・端末・アプリケーションなどあらゆる接続に対して信頼できない(ゼロトラスト)とすることで、一つずつの通信やアクセス条件をチェックして、アクセス許可をするか判断します。
従来の社内ネットワークであれば信頼する、といった境界型セキュリティではなく、常にすべてのアクセスにおいてIPアドレスやシリアルやユーザー属性などが動的にチェックがなされます。
Chromeブラウザを通したものであれば、中核となるアプリケーションや Google Cloud アプリ・API・VM 環境・Google Cloud 以外のアプリに対しても、セキュリティ対象とできるといった特徴もあります。
Beyond Corp を利用すれば、これまで VPN 接続で社内ネットワークとしてアクセスして働いていた従業員が、VPN を介さずとも、よりセキュリティ高く、シンプルに業務データにアクセスできる環境で業務できるでしょう。
Beyond Corp が登場した背景
Beyond Corp は、企業のシステムやデータを守るための新しいセキュリティの考え方です。
これまで、企業は社内と社外の境界を設け、社内にいる人やデバイスを信頼し、社外からのアクセスを防ぐことでセキュリティを守ってきました。しかし、この境界型セキュリティでは、一度社内に入った人やデバイスが信頼できるかどうかのチェックが不十分であるため、ウイルスや攻撃などの被害を受ける可能性があります。
Beyond Corp では、社内外の境界を気にせずに、すべての人やデバイス、アプリケーションに対して、アクセス制御を厳格に行います。従業員であっても、その人が信頼できるかどうかは常にチェックされます。また、通信ごとにセキュリティのチェックを行うほか、一度通過した場合でも定期的に再チェックを行います。
このように Beyond Corp は従来の境界型セキュリティに比べ、より厳格で安全なセキュリティを提供することができます。多くの企業が Beyond Corp に注目しているのはそのためです。
Beyond Corp の主な機能
Beyond Corp の主な機能について、以下4点を説明します。
- シングルサインオン
- アクセス制御ポリシー
- プロキシへのアクセス
- デバイスベースの認証と承認
シングルサインオン
1つ目の機能は、シングルサインオンです。
シングルサインオンは、SSO とも呼ばれています。従業員が一度認証してシステムにログインすれば、関連する複数のシステムに対してもログインすることなく、シームレスに利用可能となる仕組みのことです。
シングルサインオンが実装されていれば、従業員はシステム毎に ID / パスワードを覚える必要もなく、情報漏洩対策にも繋がります。
Beyond Corp には、Google 社開発のプロキシ「 IAP 」が実装されています。従業員は IAP で一度認証するだけで、Google 社が提供しているクラウドサービス (GCP : Google Cloud Platform) に対しても、そのままログイン操作することなく利用可能です。
アクセス制御ポリシー
2つ目の機能は、アクセス制御ポリシーです。
Beyond Corp では、サービスにアクセスする従業員や端末などに対して、以下属性を元に、きめ細かなアクセス制御を実施可能です。
- IP アドレスや サブネットマスクなどのネットワーク
- 接続元の地域
- プリンシパル(ユーザー ID や組織の役割など)
- デバイス ポリシー(組織のセキュリティポリシー適用しているか)
たとえば、組織が管理している暗号化されたデバイスのみに接続を許可する、指定した時間のみ(9時 - 18時の間など)に端末からのアクセスを許可するなど、細かな制御ができます。
プロキシへのアクセス
3つ目の機能は、プロキシへのアクセスです。
Beyond Corp では、IAP (Google 社開発のプロキシ) を使用してアプリケーションやリソースを保護します。従業員が IAP で保護された社内リソース(ファイルなど)にアクセスを試みると、IAP が認証し、認可するかを判断します。
境界型のセキュリティであるファイアウォールでは、通信経路(例えばポート番号)などネットワークレベルで設定していましたが、Beyond Corp では、ネットワークレベルに頼らずに、アプリケーションレベルでのアクセス設定が可能です。
デバイスベースの認証と承認
4つ目の機能は、デバイスベースの認証と承認です。
Beyond Corp ではデバイスからの接続に対して、一つずつ認証・承認するかを判断します。デバイスが適切な証明書を保持していないと、社内のデータへのアクセス・アプリケーションへのログインも制限されます。
従業員や社外ユーザーが保護されたデバイス機器を使用しているかを常にチェックし、信頼できるデバイスのみの接続を承認します。一度承認したデバイスにおいても、一定時間で再チェックが行われます。
Beyond Corp が企業にもたらすメリット
Beyond Corpが企業にもたらす主なメリットとして、以下3点を挙げて説明します。
- セキュリティ対策の強化
- 導入のハードルの低さ
- 多様な働き方の実現
セキュリティ対策の強化
1つ目のメリットは、セキュリティ対策強化です。
Beyond Corp は従来の境界型セキュリティである VPN やファイアウォールと比較しても、高度なセキュリティ対策といえます。
なぜなら、従来型セキュリティ対策では、境界内にいるものは全て信頼できる、とされていましたが、Beyond Corp では境界に関係なく一つひとつの通信(ユーザー・デバイス・アプリケーションなど)に対して、信頼できるかそうでないかをチェックするからです。チェックを通過した後も、一定時間後に再チェックすることで、セキュリティを強化しています。
Beyond Corp を利用することで、従来よりもセキュリティ対策を強化できるでしょう。
導入のハードルの低さ
2つ目のメリットは、導入ハードルの低さです。
クラウド環境を利用しているため、SaaS などのクラウドサービスとの相性もよく、柔軟性も高いことから、クラウドサービスを利用している企業に対して導入しやすいネットワークセキュリティ対策とi
言えるでしょう。ハードウェアなどの構築が不要な点も導入ハードルの低さの1つです。
さらに Beyond Corp は、GCP (Google Cloud Platform) のサービスと連携しているため、GCP のセキュリティ対策も IAP を通じて行え、コスト削減が可能です。
多様な働き方の実現
3つ目は、多様な働き方の実現です。
Beyond Corp を利用すれば、従業員が働く場所を限定せず、どこにいても安定したセキュリティレベルを保つことが可能です。また、社内・社外などといった境界を分けることもありません。
ユーザー・デバイス・アプリケーション、それぞれの通信を一つずつチェックし、信頼できる対象だけを承認するため、従業員は場所や雇用形態などに捉われず、安定したセキュリティ環境で安心して働けるでしょう。
Beyond Corp のプラン
Beyond Corp のプランについて、以下2点を紹介します。
- BeyondCorp Enterprise
- BeyondCorp Enterprise Essential
BeyondCorp Enterprise
BeyondCorp は「 Google 流ゼロトラスト」という概念であり、Beyond Corp の概念の元に誕生したゼロトラストソリューションが BeyondCorp Enterprise です。
各企業は BeyondCorp Enterprise を導入することで、セキュリティ体制を従来よりも強化できるでしょう。例えば、エンドユーザーは、必要なリソースのみに限定された環境でアクセスできるようになるため、他の機密性の高いリソースをしっかりと保護できるようになります。
また、デバイスにおいてもデバイスを管理する担当者に関係なく、セキュリティポリシー・設定の適用も可能です。従業員以外のユーザーであっても、デバイスがセキュリティ方針を満たしていれば、VPN を使用することなく Google Cloud などの サービス・リソースにアクセスできます。個人のデバイス・モバイル デバイスも同様です。
GCP (Google Cloud Platform) にも基本的なセキュリティ機能が搭載されていますが、Beyond Corp Enterprise を展開することで、各企業に対して、ネットワークセキュリティをこれまで以上に強化できるでしょう。
BeyondCorp Enterprise は中核であるアプリケーションはもちろん、Google Cloud アプリ・API・VM 環境・Google Cloud 以外のアプリもゼロトラストの対象とすることが可能です。
BeyondCorp Enterprise Essentials
BeyondCorp Enterprise Essential は、BeyondCorp Enterprise の豊富な機能を、必要最小限に絞ったプランです。企業で中核としているアプリケーションのみを対象に、ゼロトラストを提供します。
できることとして、SaaS ベースのアプリケーションと SAML (シングルサインオンを実現する一つの機能) を基準としたアプリケーションに対して、ユーザー ID・地域・デバイスなどの属性に基づいたアクセス制御があります。
また、マルウェアとランサムウェアなど、外部脅威からの保護、Google セーフブラウジング(ユーザーがウイルス感染などの危険がありそうな Web ページ・コンテンツを閲覧する際に表示される警告機能のこと)に基づく、フィッシングからの保護があります。
さらに、ファイルアップロード・ダウンロード・コンテンツの貼り付けによるデータ損失防止なども可能です。
BeyondCorp Enterprise Essential では、中核となるアプリケーションのみがセキュリティの対象であり、Google Cloud アプリ・API・VM 環境・Google Cloud 以外のアプリは含まれません。それらを対象としたい場合は、BeyondCorp Enterprise を利用する必要があります。
Beyond Corp を検討しているなら当社へご相談を
本記事では、Beyond Corp について、概要・登場した背景・主な機能・メリット・種類について紹介しました。
Beyond Corp は、Google 社が実装したゼロトラストモデルで、ソリューションとして外部企業に展開していくのが Beyond Corp Enterprise です。
Beyond Corp を実装すれば、VPN など、従来の境界型ネットワークセキュリティで抱えていた課題を解決できるでしょう。
不正アクセスやランサムウェアなど外部からの脅威が高度化する近年、今後企業が高度なセキュリティ対策を実装していくためには、全ての通信に対して一つずつ信頼できるかチェックするゼロトラストソリューションが必須です。
Beyond Corp は Google 社が実装している安全性の高いゼロトラストモデルのネットワークセキュリティです。コストを抑えて始められますので、ぜひ導入を検討してみてください。