BeyondCorp

企業セキュリティに対する新しいアプローチ

研究論文を読む Identity-Aware Proxy の詳細

Google の BeyondCorp

BeyondCorp は、Google での 6 年に及ぶゼロトラスト ネットワークの構築を基に、コミュニティから寄せられた最善のアイデアやベスト プラクティスを加味して設計された企業セキュリティ モデルです。アクセス制御地点をネットワークの境界から個々の端末やユーザーに移すことで、従来のように VPN を介さなくても従業員がどこからでももっと安全に働けるようにします。

Google での BeyondCorp の実装

BeyondCorp は、VPN を使用しなくてもすべての従業員が「信頼できないネットワーク」を通じて働けるようにする Google 社内イニシアチブとして始まりました。BeyondCorp は、Google のコア インフラストラクチャに対するユーザーベースまたはデバイスベースの認証や承認を提供するサービスで、ほとんどの Google 社員によって日常的に使用されています。

BeyondCorp の公開

BeyondCorp は現在、Identity-Aware Proxy(IAP)という GCP サービスとして利用できます。IAP は、GCP にデプロイされたアプリケーションへのアクセスを ID に基づいて保護します。管理者が作成したポリシーによって、GCP でホスティングされているアプリケーションにアクセスできるユーザー ID またはグループ ID が決まります。

BeyondCorp について

BeyondCorp の高レベル コンポーネント
シングル サインオン、アクセス プロキシ、アクセス制御エンジン、ユーザー インベントリ、デバイス インベントリ、セキュリティ ポリシー、トラスト レポジトリ
BeyondCorp の原理
  • 接続元のネットワークによって、ユーザーがアクセスできるサービスが決定されることはありません。
  • サービスへのアクセス権限は、ユーザーとその端末についてサービス提供側が知っている情報に基づいて付与されます。
  • サービスへのすべてのアクセスは認証、承認、暗号化される必要があります。
Google の BeyondCorp ミッション(2011~2017)
Google の全従業員が VPN を使用せずに信頼できないネットワークを介して問題なく働けるようにすることを目指します。
BeyondCorp 商標ガイドライン

下記のガイドラインは BeyondCorp の商標を使用するための指針を提供します。これらの基本的なガイドラインを遵守する場合に限り、事前承認を受けずに BeyondCorp の名称をウェブサイトまたは印刷物で使用することができます。

BeyondCorp の名称の表示または使用は、BeyondCorp に準拠した実装、および次に示す関連用途においてのみ許可されます。準拠した実装、準拠した実装との統合、準拠した実装のサポート、BeyondCorp 対応製品、BeyondCorp に準拠した実装に関連する資料、プレゼンテーション、マーケティング資料との関連において BeyondCorp の名称を表示または使用すること。

Google の書面による事前の同意なしに、このドキュメントに明記されていない方法で、BeyondCorp ロゴまたはその他の Google ブランドを使用することを禁じます(詳しくは Google ブランドの第三者による使用のためのガイドラインをご覧ください)。ご要望は beyondcorp-trademark-external@google.com 宛てにお送りください。

「BeyondCorp のビジョンは疑いなくエンタープライズ IT の未来を見据えています。BeyondCorp は、Google での 6 年に及ぶゼロトラスト ネットワークの構築を基に、コミュニティから寄せられた最善のアイデアやベスト プラクティスを加味して設計された企業セキュリティ モデルです。」

— Steve Pugh 氏 Ionic Security 社 CISO、元ホワイトハウス警護室 CISO