BeyondCorp Enterprise の概要

今日の企業は、ネットワークが保護されているだけでは十分ではないセキュリティ モデルに移行しています。企業の最も安全なアセットを確実に保護し、従業員が適切な環境で生産性を高めるようにするには、最新のアプローチが必要です。

BeyondCorp Enterprise は、この新しいアプローチを可能にすることで組織を支援することを目的とした Google のツールです。ユーザーの情報をデバイスとロケーションのコンテキストに結び付けることで、企業は豊富なアクセス決定を行い、セキュリティ ポリシーを適用できます。

BeyondCorp Enterprise のフロー

BeyondCorp Enterprise には 2 つの主な目標があります。

  • 脅威からのデータ保護は、コピーと貼り付けなどの情報漏洩のリスクからユーザーを保護し、DLP 保護をブラウザに拡大して、マルウェアが企業の管理対象デバイスに侵入するのを防止しつつ、エンタープライズ デバイスを安全に保護します。
  • より高度なアクセス制御により、エンドユーザーのリクエストのコンテキストを使用して、各リクエストが認証、承認され、可能な限り安全が確保される方法で、セキュアなシステム(アプリケーション、仮想マシン、API など)へのアクセスを保護します。

ユーザーにとってのメリット

BeyondCorp Enterprise には、アプリとデバイスの両方に高度なセキュリティ体制とポリシーを実現できるセキュリティ モデルが用意されています。一方、エンドユーザーには、デバイスにアクセスする場所や使用するデバイスのタイプに関係なく、高い利便性が提供されます。

  • 管理者に対するメリット:
    • ユーザーのコンテキストの動的な変更を考慮してセキュリティ体制を強化します。
    • エンドユーザーがアクセスするべきリソースだけにアクセス境界を縮小します。
    • 従業員、請負業者、パートナー、顧客に対して、誰がデバイスを管理するかどうかに関係なく、デバイス セキュリティ体制を適用できます。
    • ユーザー単位のセッション管理と多要素認証でセキュリティ基準を拡張します。
  • エンドユーザーに対するメリット:
    • セキュリティを犠牲にすることなく、すべてのエンドユーザーの生産性を維持できます。
    • コンテキストに基づいて、業務アプリケーションに対する適切なレベルのアクセス権を許可します。
    • きめ細かいアクセス ポリシーに基づいて個人所有デバイスへのアクセスのロックを解除できます。
    • セグメント化されたネットワークによってスロットリングされることなく、内部アプリケーションにアクセスできます。

一般的なユースケース

エンドユーザーはオフィス以外の場所で頻繁に業務に取り組み、さまざまな種類のデバイスを使用するため、企業にはすべてのユーザー、デバイス、アプリケーションへの適用に適した一般的なセキュリティ モデルが存在します。

  • 従業員以外のユーザーが、VPN を使用する必要なしに、Google Cloud や他のクラウド サービス プラットフォームにデプロイされた単一のウェブ アプリケーションにアクセスできます。
  • 従業員が最低限のセキュリティ方針を満たしている限り、個人のデバイスやモバイル デバイスからのデータへのアクセスを許可します。
  • 従業員がセンシティブ データをコピーしてメールに貼り付けたり、Google ドライブなどの個人用ストレージに保存したりできないようにします。
  • 企業が管理するデバイスに特定の重要なシステムへのアクセスのみを許可します。
  • 企業データに対する DLP 保護を提供します。
  • ユーザーのロケーションに基づくゲートアクセス。
  • Google Cloud と他のクラウド サービス プラットフォームまたはオンプレミス リソースを併用するハイブリッド デプロイメントにおいて、アプリケーションを保護します。

一般的なシグナル

BeyondCorp Enterprise では、企業が以下を含むポリシーを決定する際に考慮できる一般的なシグナルを提供しています。

  • ユーザーまたはグループの情報
  • ロケーション(IP または地理的リージョン)
  • デバイス
    • エンタープライズ管理対象デバイス
    • 個人所有のデバイス
    • モバイル デバイス
  • BeyondCorp Alliance のパートナーから送信されるサードパーティ デバイスのシグナル。
    • Check Point
    • CrowdStrike
    • Lookout
    • Tanium
    • VMware
  • リスクスコア

BeyondCorp Enterprise を利用する方法

このフォームに記入して、BeyondCorp Enterprise へのアップグレードに関する詳しい情報を確認してください。

BeyondCorp Enterprise と Google Cloud の比較

BeyondCorp Enterprise は、基本的な保護に加えて、エンタープライズ セキュリティ機能を提供します。この機能の重点は、Google Cloud のベースライン機能である認証と認可によるアプリケーションの保護です。BeyondCorp Enterprise は、こうした保護を(実行場所を問わず)アプリケーションとデータにまで拡張し、エンドユーザーの保護と機能が豊富なアクセス ポリシーの保護を実現します。

次の表に、Google Cloud のお客様が使用できるベースライン機能と BeyondCorp Enterprise で利用できる機能の違いを示します。
アプリケーションと VM のアクセス ベースライン機能 有料機能
ID によるアプリケーションと VM の保護
IP とロケーション ルールによるアプリケーションと VM の保護
デフォルトのエラー メッセージとログインフロー
デバイスのステータスのキャプチャ(エンドポイントの確認)
オンプレミスやその他のクラウド サービス プラットフォームで稼働するアプリケーション  
内部 HTTP 負荷分散の背後にデプロイされたアプリケーション  
デバイスの属性と ID によるアプリケーションと VM の保護  
自動 SSO リダイレクトおよびカスタムのエラー メッセージ  
詳細なポリシー設定 ベースライン機能 有料機能
IP とロケーション ルール
デバイスベースのルール  
カスタムルール  
アクセス ポリシーにおけるパートナーのシグナル  
プラットフォーム機能 ベースライン機能 有料機能
IP またはロケーションに基づいて、組織のユーザーによる Google Cloud Console と Google Cloud APIs へのアクセスを制限する
ロギング(Cloud Logging を使用)
デバイス属性に基づいて、組織のユーザーによる Cloud Console と Google Cloud APIs へのアクセスを制限する  
BeyondCorp Enterprise の Policy Troubleshooter(プレビュー)  
脅威からのデータ保護 ベースライン機能 有料機能
フィッシング、マルウェア、データ損失からの保護  

次のステップ