好きな所から読む
GoogleのゼロトラストであるBeyondCorpとは?
Googleが約8年の歳月をかけて製品化したゼロトラストモデルのセキュリティネットワークです。Googleの全従業員がBeyondCorpを活用して、業務を行っています。
Beyondcorpの特徴は、VPN(Virtual Private Network)を利用しなくてもテレワークを実現できる点です。BeyondCorpはアクセスプロキシーを用いて、内外部との通信を安全に行っています。
アクセスプロキシーには、外部からの不正アクセスやマルウェアを検知・ブロックするだけでなく、アクセス元を隠せる機能もあります。また、全てのデータ通信のやりとりは、暗号化されています。従来のVPNに比べて、BeyondCorpは不正アクセスの侵入リスクを大幅に軽減することが可能です。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ゼロトラストとは?
ゼロトラストは「全てのアクセスにリスクが潜んでいる」との考え方で、ユーザーやデバイス機器、アクセス場所に関係なく毎回認証を要求します。テレワークや在宅勤務で社外でのアクセス機会も増えているので、場所にとらわれずに本人認証と安全性の実証をすることが目的です。
安全性を確認できたアクセスしか社内のデータファイルやアプリにはログインできません。同時に認証が確認できたアクセスは「どのユーザーが、どの機器を使って、いつ、どのデータファイルにログインした」といった、アクセスの監視を行うことが可能です。
働く場所や時間を問わずに快適で安全な作業環境を実現できるセキュリティソリューションとして、ゼロトラストが注目されています。
ゼロトラストの3つの特徴とは?
アクセス権の最小化、精度の高い認証機能、複数のセキュリティツールの導入といった3つの特徴があります。
アクセス権を最小化
社員に付与するデータファイルやWebサイトのアクセス権を最小化します。所属している部署に関連しないデータファイルや信頼性の低いWebサイトの閲覧を制限・禁止することで、情報漏洩のリスクを減らします。
データファイルの閲覧範囲を限定することで、内部漏洩への抑止力につながります。仮に情報の内部流出が起きた場合、犯人を限定できるからです。例えば、あなたが技術部に所属している社員だとしましょう。
業務で使用する図面や部品表、顧客との商談時での議事録などは閲覧できますが、営業マンが使用する売上実績、見積書、経理部が使用する従業員データや入出金記録などは閲覧できません。
技術部のデータファイルを閲覧できる社員は限られるので、内部流出が起きた場合はすぐに犯人が特定されます。企業にとって、内部流出は毎年企業の機密情報を脅かす脅威です。内部流出を防ぐ難しさは、対策が立てづらいのが特徴です。
社員の普段の行動を隅々まで把握することは難しく、近年は在宅勤務やテレワークを導入している企業が増えて、一層普段の行動が見えづらくなりました。
監視の目が行き届かないので、待遇や人間関係に不満を抱えている社員がいた場合、企業への復讐や多額の金銭的見返りのために、情報を持ち出して転売してもおかしくありません。
ゼロトラストの導入によりユーザーの行動が監視されるので、何か異変があればすぐに見つかります。
認証機能を強化
アプリやデータのログイン時に毎回認証を求めるだけでなく、多要素認証を組み合わせることでより精度の高い本人認証を実現します。指紋認証や顔認証といったユーザー特有の生体機能を活かした認証は、第3者からデータを盗まれる心配は非常に低いです。第3者からの不正アクセスのリスクを軽減しています。
複数のセキュリティツールの組み合わせ
ゼロトラストはあくまで概念であり、単一のセキュリティツールを導入して終わりではありません。複数のセキュリティツールを導入してセキュリティレベル向上と効率的なセキュリティの運用を実現できます。
例えば、EDR(Endpoint Detection and Response)は、社員の使用するスマートフォンやノートPCをエンドポイントと位置づけ、端末内のセキュリティ監視を行います。
端末内に脅威やマルウェアを検知した場合は隔離して、被害を最小限におさえます。また、脅威が侵入した感染経路の把握・分析を行うことで、脆弱性を突かれての二次災害を防ぐことが可能です。
EDRには、脅威の予防と被害を受けてからの対処機能を備えており、サイバー攻撃やセキュリティホールの発見といったセキュリティインシデントの被害を最小限に抑えられます。
一方、効率的なセキュリティ運用には、SOC(Security Operation Center)やSOAR(Security Orchestration, Automation and Response)の導入がおすすめです。
SOCは、ファイアウォールや侵入検知システムなどのネットワーク機器の解析を行い、企業のネットワークに異変や異常がないか確認します。
デバイス機器やアプリを一元的に管理するシステムを保有しているため、セキュリティインシデントが起きた際も迅速に対処可能です。
また、SOCは365日24時間企業のネットワーク上におけるセキュリティ監視を行い、在籍するスタッフもセキュリティ知識が豊富なプロフェッショナル集団です。企業のセキュリティ監視を一任でき、管理者の業務負担軽減や人材不足を補えます。
そして、SOARの場合は、セキュリティインシデントに関する情報の自動検知と自動対処が特徴です。導入しているセキュリティツールから情報を集め、対処すべき順番を位置付け対処方法をユーザーに示します。
ユーザーが行うべき処理は簡単に処理できるものに限定され、複雑な処理はSOARが自動スクリプトで対応します。業務負担を軽減するだけでなく、セキュリティ分野への知識や経験が浅い社員でも、対処方法を見ながら業務を行えるため、人材育成の部分でも企業にメリットがあります。
BeyondCorpの3つの特徴とは?
アクセスプロキシーを利用したネットワーク体制、アクセスコントロールエンジン、デバイスインベントリーといった3つの特徴があります。
VPNを利用せずにテレワークを実現
ユーザーのアクセス地点やデバイス機器のステータスを基にアクセス制御を行い、アクセスプロキシーが、内外とのネットワークの中継サーバー的な役割を果たします。つまり、社内外へのアプリやデータファイルには、全てアクセスプロキシーを経由しなくてはなりません。
アクセスプロキシーには外部からの脅威をブロック、DDoS攻撃の検知、アプリのステータスチェックといった機能も備わっているので、セキュリティインシデントの被害を最小化することが可能です。
従来のVPNは、脆弱性に課題を抱えていました。VPNは特定の拠点間同士をつなぐためのもので、社内ネットワークへのアクセスの際には、必ずVPNゲートウェイを経由します。VPNゲートウェイは1か所しか設置されず、広範囲からのアクセスを受け入れるため、社外に広く公開する形を取っていました。
そのため、攻撃者からは侵入口が見えやすく、不正アクセスのリスクが高まります。さらに、従来のセキュリティモデルであった境界線型セキュリティでは、社内と社外を明確に境界線型で区切るセキュリティモデルでした。
「社内=安全」、「社外=危険」との考え方で、いかに社内ネットワークに脅威の侵入を防ぐかといった点に重点が置かれていました。反面、「セキュリティインシデントの被害を最小化するか」といった対策は、やや不十分です。
そのため、一度社内ネットワークへの侵入を許すと被害が拡大する傾向にありました。Beyondcorpでは、脅威の予防と侵入後への素早いアプローチを備えているため、セキュリティインシデントの被害を最小限に抑えられます。この辺りの考え方は、SDPやZTNAに通ずるものと言えます。
アクセスコントロールエンジン
アプリへのアクセス権限を付与するシステムです。BeyondCorpの特徴は、アプリがユーザーへのアクセス制限を与える点にあります。アクセスコントロールエンジンが、デバイスインベントリーやユーザーデータベースで集めた情報をアプリに提供します。
アクセス制限は与えられた情報に基づいて細かく設定されており、アプリごとの個別設定も可能です。アプリを利用できるユーザーを限定することで、情報漏洩のリスクを軽減します。
デバイスインベントリー
スマートフォンやノートPCには、個体を認識するための電子証明書が入っており、適切な証明書を持っていないと、データファイルやアプリにログインできません。また、管理エージェントを使用することで、OSやセキュリティソフトが最新のバージョンか、定期的にアップデートをされているかなど、デバイス情報を収集します。
適切な状態でデバイス機器を使用しているか常にチェックすることで、デバイス機器内の異常を感知します。
BeyondCorpを導入する4つのメリットとは?
情報資産を守るセキュリティレベルの向上、短納期&低コストでの導入可能、テレワークを加速させるといったメリットがあります。
セキュリティレベルの向上
従来のVPNよりもセキュリティレベルの向上が期待できるので、情報資産を守るシステムを強化できます。仮にセキュリティインシデントが起きた際も、被害を最小化できるソリューションを備えているので、被害を最小化できます。
短納期での導入が可能
追加で導入するオンプレミスや既存のシステムやアプリ構成の変更が最小限で済むため、スムーズに導入ができます。設定変更や構成の変更箇所が多い場合は、社員への業務負担の増加や業務の停滞を招くので、企業にとっても負担が軽いでしょう。
コストが安い
1ユーザーあたり月額650円(6ドル)で利用ができます。セキュリティ分野への資金確保が難しい企業でも、十分に導入可能な値段です。勿論国内製品であれば1ID辺り200円程度ともっと安価ではありますが、それでも安価な方でしょう。
近年は中小企業を狙ったサプライチェーン攻撃も増加しています。セキュリティ対策が不十分で情報流出が起きた場合、経済的損失や取引先からの社会的信用の損失は計り知れません。段階的に導入してセキュリティ対策を強化していきましょう。
表に、Google Cloudで使用できるベースライン機能と BeyondCorp Enterprise で使用できる機能の違いを示します。BeyondCorp Enterpriseを導入することで、ポリシー設定にカスタムルールを加えられることや、セキュリティ対策が実現できることがわかります。
| アプリケーションと VM のアクセス | ベースライン機能 | BeyondCorp Enterprise
による有料機能 |
| ID によるアプリケーションと VM の保護 | ○ | ○ |
| IP とロケーション ルールによるアプリケーションと VM の保護 | ○ | ○ |
| デフォルトのエラー メッセージとログインフロー | ○ | ○ |
| デバイスのステータスのキャプチャ(エンドポイントの確認) | ○ | ○ |
| オンプレミスやその他のクラウド サービス プラットフォームで稼働するアプリケーション | ○ | |
| 内部 HTTP 負荷分散の背後にデプロイされたアプリケーション | ○ | |
| デバイスの属性と ID によるアプリケーションと VM の保護 | ○ | |
| 自動 SSO リダイレクトおよびカスタムのエラー メッセージ | ○ | |
| 詳細なポリシー設定 | ||
| IP とロケーション ルール | ○ | ○ |
| デバイスベースのルール | ○ | |
| カスタムルール | ○ | |
| アクセス ポリシーにおけるパートナーのシグナル | ○ | |
| プラットフォーム機能 | ||
| IP またはロケーションに基づいて、組織のユーザーによる Google Cloud Console と Google Cloud APIs へのアクセスを制限する | ○ | ○ |
| ロギング(Cloud Logging を使用) | ○ | ○ |
| デバイス属性に基づいて、組織のユーザーによる Cloud Console と Google Cloud APIs へのアクセスを制限する | ○ | |
| 脅威からのデータ保護 | ||
| フィッシング、マルウェア、データ損失からの保護 | ○ |
テレワークの導入を加速
社外からのアクセスでもセキュリティ性が高く保たれているので、テレワークの導入を加速させます。Beyondcorpではユーザーのアクセス地点が重要なのではなく、適切なデバイス機器を保持しているか、本人認証が取れるかといった点を確認しています。
そのため、働く場所は関係がなく、社外アクセスにおいてもセキュリティ性は保たれるので、現在テレワークの導入ができていない企業でも導入が進むでしょう。
テレワークの導入は、社員と企業の双方にメリットを与えます。テレワークの導入で得られるメリットをまとめました。
| 社員 | 企業 | |
| メリット内容 |
|
|
BeyondCorpの今後は?
Beyondcorpに、エンドポイントセキュリティ機能を加えると発表しています。上記でも少し触れたように、スマートフォンやノートPCのセキュリティ監視を行うエンドポイント対策は、セキュリティインシデントの最小化に非常に有効です。
多様化するサイバー攻撃から情報資産を守るためには、脅威の予防と被害を最小化する両方のアプローチが求められます。Beyondcorpは導入コストも安いため、今後企業の利用はさらに増えていくでしょう。
まとめ
ゼロトラストとBeyondCorpの特徴、メリットを振り返ります。
| ゼロトラストの特徴 | Beyondcorpの特徴 | Beyondcorpの導入メリット | |
| 内容 |
|
|
|
