現在、新型コロナウイルスの影響などでリモートワークなどが増えていることで、「ゼロトラスト」という言葉を聞くことも増えたのではないでしょうか。その中でもGoogleが実装しているゼロトラストモデルについて解説します。
そもそもゼロトラストって?
ゼロトラストとは、その名前の通り「何も信頼しない」という視点から対策を行う新しい考え方のセキュリティ対策モデルです。
従来のセキュリティ対策モデルのことを境界型セキュリティと呼びます。これは内外の境目にファイアウォールなどの機器を設置し、IDやパスワードによって認証することで外部からの侵入を防ぐ方法です。これは、内部ネットワークの中を安全、外を危険とみなす発想に基づいています。
それに対してゼロトラストでは、内部ネットワークに接続するそれぞれの端末や、企業内で働いているスタッフ、稼働しているアプリケーションなど、すべてを危険と考えます。そのため端末、ユーザーなどそれぞれで細かくアクセス制御を行い、認証されたものだけが利用できるようにします。
内部ネットワークを安全と考えない点で、境界型とは決定的に異なる発想を取っています。さまざまゼロトラスト・セキュリティが実現されていますが、基本的には、すべてのユーザー、端末、アプリケーションを毎回確認し、通信ログをすべて監視し、そしてユーザーには、必要最小限のアクセス権限のみ付与する、という点が特徴です。
現在はテレワークのように職場外からネットワークにアクセスすることが増えています。またクラウドサービスを活用している企業も多く、保護すべき資産が社内ネットワークの外にある場合もあります。このように社会環境が変化する中で、従来型のセキュリティ対策では企業の情報資産を守り切れなくなっている状況があり、ゼロトラストが注目されているのです。
こちら「ゼロトラストとは?2020年以降のITセキュリティにとって重要な考え方について解説」記事もご参考にしてください!
Google で実装されているゼロトラストとは
大手IT企業のGoogleでも、ゼロトラストを採用した「BeyondCorp」と呼ばれるセキュリティモデルを開発しています。
これは一言で説明すると、世界中どこからでもGoogleのクラウドを経由し、社内システムにアクセスできるようにしたものです。アクセスは拡張機能を入れたブラウザから行います。
従来のセキュリティでは社内外ネットワークの境界でアクセスを制御していましたが、BeyondCorpではユーザーやデバイスを単位として、それぞれアクセス制御を行います。保護対象がオンプレミスでもクラウドでも、きめ細かくアクセス制御できるのが特徴です。
Googleでは、2020年4月に一般企業向けに「BeyondCorp Remote Access」としてサービスの提供を開始しています。
BeyondCorp Remote Accessの3つの特長
それではBeyondCorp Remote Accessが持つアーキテクチャ(構造)として、以下の3つを紹介します。
1.アクセスプロキシー
プロキシとは、代理でアクセスを行うサーバーのことです。
BeyondCorp Remote Accessでは、クラウド上に配置したアクセスプロキシー(Access Proxy)を経由するようにして、代理でサーバーにリクエストを送信します。
アクセスプロキシーを中継することで、DDoS攻撃の検知や、外部からの脅威と思われるようなアクセスをブロックし、端末を保護します。また、定期的にアプリの状態を診断するステータスチェックといった機能も備わっています。
2.アクセスコントロールエンジン
アクセスコントロールエンジン(Access Control Engine)は、各アプリケーションへのアクセス権限を行う機能を持ちます。
デバイスインベントリーが収集した情報に基づき、「最新のOSを利用している端末のみアクセスを許可する」「開発担当者以外がアクセスした場合は読み取り権限のみを付与」といった細かなアクセス制御を行います。
従来型の対策では、一度許可した端末はアクセス許可されたままになりました。しかしこのアクセスコントロールエンジンでは、条件に一致した場合のみアクセスできるよう設定しておけます。つまりアクセスのたびに、設定された条件にそのアクセスが一致しているか、判定するのです。
3.デバイスインベントリー
インベントリとは、機器やソフトウェアなどの資産をまとめたリストです。デバイスインベントリー(Device Inventory Database)では、各端末に事前にインストールしてある証明書の情報を収集し、正規の証明書を持つ端末のみを認証します。
またそれぞれの機器でどのOS、バージョンを利用しているか、セキュリティソフトのパターンファイルが最新か、アプリケーションやOSが定期的にアップデートされているかなど、さまざまな情報を収集します。
導入するメリット
次に企業でBeyondCorp Remote Accessを導入した場合のメリットについて紹介します。
1.すぐに導入ができる
BeyondCorp Remote Accessはクラウドベースのサービスです。そのため、オンプレミスでのシステム開発や既存システムなどの変更が少なくて済み、その分、導入期間も短くなると期待されます。VPN導入には数ヶ月程度かかることが多いですが、BeyondCorp Remote Accessであれば数日で、リモートアクセスができるようになります。
2.低コスト
運用コストが抑えられる点もメリットです。BeyondCorp Remote Accessは1人あたり月額650円(6ドル)で利用できます。国内の製品であれば、1IDあたり月額200円程度とさらに低価格で導入が可能です。
3.業務最適化
VPNを使わなくても安全に社内システムにアクセス可能となり、テレワークを推進しやすくなります。また、社内の社員同士だけでなく、取引先の企業担当者もこのシステムを導入していれば、社内外をまたいだ業務も最適化が期待できます。
まとめ
増え続けるサイバー攻撃によって、企業の資産は常に危険にさらされています。確かに、ファイアウォール設置やシステムへのアクセス制限などを行っている企業は多いです。しかしそれでも、マルウェア感染、偽造サイトによるパスワード盗難、セキュリティホールをついた攻撃などによるネットワークの不正侵入は、後を絶ちません。
今回ご紹介したゼロトラストは、従来型の対策では補いきれなかった部分をカバーできるため、これからのセキュリティ対策で中核をなすと予測されています。
BeyondCorpのほかにも、導入コストを抑えて利用可能なサービスが国内に存在します。
SaaS認証基盤「HENNGE One」は、GoogleやMicrosoftなどが提供しているクラウドサービスを安全に利用するためのセキュリティパッケージです。
シングルサインオンの機能により各クラウドサービスに1つのアカウントでログイン可能となり、IPアドレスの制限やワンタイムパスワード、2要素認証などの強固なアクセス制御が設定できる点が特徴です。
HENNGE OneのようなSaaS認証基盤を利用することで、テレワークにおいても、万全のセキュリティ体制での業務遂行に臨めるでしょう。
