Googleが導入するゼロトラスト「BeyondCorp」とは何か？主な機能・メリットを詳しく紹介

BeyondCorpとは何か

BeyondCorpとは、Google社がサービス提供するいわゆるゼロトラストアクセスソリューションです。

Google社では、近年大きく変わる企業アクセス・セキュリティのあり方を踏まえ、ユーザーから寄せられたアイデアやリクエストなどを取り入れ、BeyondCorpを開発しました。

BeyondCorpはアクセスするユーザー・端末・アプリケーションなどあらゆる接続に対して信頼できない（ゼロトラスト）とすることで、一つずつの通信やアクセス条件をチェックして、アクセス許可をするか判断します。
従来の社内ネットワークであれば信頼する、といった境界型セキュリティではなく、常にすべてのアクセスにおいてIPアドレスやシリアルやユーザー属性などが動的にチェックがなされます。

Chromeブラウザを通したものであれば、中核となるアプリケーションやGoogle Cloud アプリ・API・VM 環境・Google Cloud以外のアプリに対しても、セキュリティ対象とできるといった特徴もあります。

BeyondCorpを利用すれば、これまでVPN接続で社内ネットワークとしてアクセスして働いていた従業員が、VPNを介さずとも、よりセキュリティ高く、シンプルに業務データにアクセスできる環境で業務できるでしょう。

BeyondCorpが登場した背景

BeyondCorpは、企業のシステムやデータを守るための新しいセキュリティの考え方です。

これまで、企業は社内と社外の境界を設け、社内にいる人やデバイスを信頼し、社外からのアクセスを防ぐことでセキュリティを守ってきました。しかし、この境界型セキュリティでは、一度社内に入った人やデバイスが信頼できるかどうかのチェックが不十分であるため、ウイルスや攻撃などの被害を受ける可能性があります。

BeyondCorpでは、社内外の境界を気にせずに、すべての人やデバイス、アプリケーションに対して、アクセス制御を厳格に行います。従業員であっても、その人が信頼できるかどうかは常にチェックされます。また、通信ごとにセキュリティのチェックを行うほか、一度通過した場合でも定期的に再チェックを行います。

このようにBeyondCorpは従来の境界型セキュリティに比べ、より厳格で安全なセキュリティを提供することができます。多くの企業がBeyondCorpに注目しているのはそのためです。

BeyondCorpの主な機能

BeyondCorpの主な機能について、以下4点を説明します。

• シングルサインオン
• アクセス制御ポリシー
• プロキシへのアクセス
• デバイスベースの認証と承認

シングルサインオン

1つ目の機能は、シングルサインオンです。

シングルサインオンは、SSOとも呼ばれています。従業員が一度認証してシステムにログインすれば、関連する複数のシステムに対してもログインすることなく、シームレスに利用可能となる仕組みのことです。

シングルサインオンが実装されていれば、従業員はシステム毎にID/パスワードを覚える必要もなく、情報漏洩対策にも繋がります。

BeyondCorpには、Google社開発のプロキシ「IAP」が実装されています。従業員はIAPで一度認証するだけで、Google社が提供しているクラウドサービス (GCP : Google Cloud Platform) に対しても、そのままログイン操作することなく利用可能です。

アクセス制御ポリシー

2つ目の機能は、アクセス制御ポリシーです。

BeyondCorpでは、サービスにアクセスする従業員や端末などに対して、以下属性を元に、きめ細かなアクセス制御を実施可能です。

• IPアドレスや サブネットマスクなどのネットワーク
• 接続元の地域
• プリンシパル（ユーザーIDや組織の役割など)
• デバイス ポリシー（組織のセキュリティポリシー適用しているか）

たとえば、組織が管理している暗号化されたデバイスのみに接続を許可する、指定した時間のみ（9時 - 18時の間など）に端末からのアクセスを許可するなど、細かな制御ができます。

プロキシへのアクセス

3つ目の機能は、プロキシへのアクセスです。

BeyondCorpでは、IAP(Google社開発のプロキシ) を使用してアプリケーションやリソースを保護します。従業員がIAPで保護された社内リソース（ファイルなど）にアクセスを試みると、IAPが認証し、認可するかを判断します。

境界型のセキュリティであるファイアウォールでは、通信経路（例えばポート番号）などネットワークレベルで設定していましたが、BeyondCorpでは、ネットワークレベルに頼らずに、アプリケーションレベルでのアクセス設定が可能です。

デバイスベースの認証と承認

4つ目の機能は、デバイスベースの認証と承認です。

BeyondCorpではデバイスからの接続に対して、一つずつ認証・承認するかを判断します。デバイスが適切な証明書を保持していないと、社内のデータへのアクセス・アプリケーションへのログインも制限されます。

従業員や社外ユーザーが保護されたデバイス機器を使用しているかを常にチェックし、信頼できるデバイスのみの接続を承認します。一度承認したデバイスにおいても、一定時間で再チェックが行われます。

BeyondCorpが企業にもたらすメリット

BeyondCorpが企業にもたらす主なメリットとして、以下3点を挙げて説明します。

• セキュリティ対策の強化
• 導入のハードルの低さ
• 多様な働き方の実現

セキュリティ対策の強化

1つ目のメリットは、セキュリティ対策強化です。

BeyondCorpは従来の境界型セキュリティであるVPNやファイアウォールと比較しても、高度なセキュリティ対策といえます。

なぜなら、従来型セキュリティ対策では、境界内にいるものは全て信頼できる、とされていましたが、BeyondCorpでは境界に関係なく一つひとつの通信（ユーザー・デバイス・アプリケーションなど）に対して、信頼できるかそうでないかをチェックするからです。チェックを通過した後も、一定時間後に再チェックすることで、セキュリティを強化しています。

BeyondCorpを利用することで、従来よりもセキュリティ対策を強化できるでしょう。

導入のハードルの低さ

2つ目のメリットは、導入ハードルの低さです。

クラウド環境を利用しているため、SaaSなどのクラウドサービスとの相性もよく、柔軟性も高いことから、クラウドサービスを利用している企業に対して導入しやすいネットワークセキュリティ対策とi

言えるでしょう。ハードウェアなどの構築が不要な点も導入ハードルの低さの1つです。

さらにBeyondCorpは、GCP(Google Cloud Platform) のサービスと連携しているため、GCPのセキュリティ対策もIAPを通じて行え、コスト削減が可能です。

多様な働き方の実現

3つ目は、多様な働き方の実現です。

BeyondCorpを利用すれば、従業員が働く場所を限定せず、どこにいても安定したセキュリティレベルを保つことが可能です。また、社内・社外などといった境界を分けることもありません。

ユーザー・デバイス・アプリケーション、それぞれの通信を一つずつチェックし、信頼できる対象だけを承認するため、従業員は場所や雇用形態などに捉われず、安定したセキュリティ環境で安心して働けるでしょう。

BeyondCorpのプラン

BeyondCorpのプランについて、以下2点を紹介します。

• BeyondCorp Enterprise
• BeyondCorp Enterprise Essential

BeyondCorp Enterprise

BeyondCorp は「Google 流ゼロトラスト」という概念であり、BeyondCorpの概念の元に誕生したゼロトラストソリューションが BeyondCorp Enterpriseです。

各企業はBeyondCorp Enterpriseを導入することで、セキュリティ体制を従来よりも強化できるでしょう。例えば、エンドユーザーは、必要なリソースのみに限定された環境でアクセスできるようになるため、他の機密性の高いリソースをしっかりと保護できるようになります。

また、デバイスにおいてもデバイスを管理する担当者に関係なく、セキュリティポリシー・設定の適用も可能です。従業員以外のユーザーであっても、デバイスがセキュリティ方針を満たしていれば、VPNを使用することなくGoogle Cloudなどの サービス・リソースにアクセスできます。個人のデバイス・モバイル デバイスも同様です。

GCP (Google Cloud Platform) にも基本的なセキュリティ機能が搭載されていますが、BeyondCorp Enterpriseを展開することで、各企業に対して、ネットワークセキュリティをこれまで以上に強化できるでしょう。

BeyondCorp Enterpriseは中核であるアプリケーションはもちろん、Google Cloudアプリ・API・VM環境・Google Cloud以外のアプリもゼロトラストの対象とすることが可能です。

BeyondCorp Enterprise Essentials

BeyondCorp Enterprise Essential は、BeyondCorp Enterpriseの豊富な機能を、必要最小限に絞ったプランです。企業で中核としているアプリケーションのみを対象に、ゼロトラストを提供します。

できることとして、SaaSベースのアプリケーションとSAML (シングルサインオンを実現する一つの機能) を基準としたアプリケーションに対して、ユーザーID・地域・デバイスなどの属性に基づいたアクセス制御があります。

また、マルウェアとランサムウェアなど、外部脅威からの保護、Googleセーフブラウジング（ユーザーがウイルス感染などの危険がありそうなWebページ・コンテンツを閲覧する際に表示される警告機能のこと）に基づく、フィッシングからの保護があります。

さらに、ファイルアップロード・ダウンロード・コンテンツの貼り付けによるデータ損失防止なども可能です。

BeyondCorp Enterprise Essentialでは、中核となるアプリケーションのみがセキュリティの対象であり、Google Cloudアプリ・API・VM環境・Google Cloud以外のアプリは含まれません。それらを対象としたい場合は、BeyondCorp Enterpriseを利用する必要があります。

BeyondCorpを利用したいならChrome Enterprise Premiumがおすすめ

Googleのゼロトラストセキュリティモデル「BeyondCorp」を最大限に活用するには、Chrome Enterprise Premiumの導入がおすすめです。従来のVPNに依存せず、ユーザーやデバイスの状態に基づいて安全なアクセスを提供するBeyondCorpを導入すれば、企業のセキュリティレベルを大きく引き上げます。

ここでは、Chrome Enterprise Premiumで得られる主なメリットを紹介します。

• ブラウザのセキュリティ強化
• 管理機能強化
• 安全なSaaS・クラウド利用

ブラウザのセキュリティ強化

Chrome Enterprise Premiumでは、セーフブラウジングによるマルウェア・フィッシング対策や拡張機能の制御により、安全なブラウザ環境を実現できます。DLP（データ損失防止）機能を活用すれば、センシティブな情報の流出を防ぎ、企業の情報資産を守れるからです。URLフィルタリング・パスワード保護機能も搭載されており、内部・外部、どちらの脅威にも対策できます。

管理機能強化

Chrome Enterprise Premiumでは、無料版のChrome Enterprise Coreの基本機能に加え、高度な管理・レポート機能が利用可能です。例えばアプリや拡張機能の利用状況、バージョンの統計などが一目で確認でき、クラウドベースでポリシーの適用や設定変更もスムーズに行えます。複数のOS環境でも一貫性のある管理ができるようになるのです。

安全なSaaS・クラウド利用

Chrome Enterprise Premiumは、Google CloudやSaaSアプリ、社内のウェブアプリなどへのアクセスを状況に応じて制御することができます。BeyondCorpのゼロトラストポリシーと連携し、より細やかなアクセス制御とセキュリティの高い環境を構築でき、安全性の高いSaaSとしてクラウド環境を利用できます。

BeyondCorpを検討しているなら吉積情報までご相談を

本記事では、BeyondCorpについて、概要・登場した背景・主な機能・メリット・種類・Chrome Enterprise Premiumを紹介しました。

BeyondCorpは、Google社が実装したゼロトラストモデルで、ソリューションとして外部企業に展開していくのがBeyondCorpEnterpriseです。

BeyondCorpを実装すれば、VPNなど、従来の境界型ネットワークセキュリティで抱えていた課題を解決できるでしょう。

不正アクセスやランサムウェアなど外部からの脅威が高度化する近年、今後企業が高度なセキュリティ対策を実装していくためには、全ての通信に対して一つずつ信頼できるかチェックするゼロトラストソリューションが必須です。

BeyondCorpはGoogle社が実装している安全性の高いゼロトラストモデルのネットワークセキュリティです。コストを抑えて始められます。Chrome Enterprise Premiumも使えば、ブラウザのセキュリティ・管理機能を強化し、安全にSaaS環境を利用できるといったメリットもあります。ぜひ導入を検討してみてください。