セキュリティ & アイデンティティ

BeyondCorp Enterprise を使用した SaaS アプリケーションへのより安全なアクセス

2021年4月16日

https://storage.googleapis.com/gweb-cloudblog-publish/images/beyond_corp_ent.max-2600x2600.jpg

Google Cloud Japan Team

※この投稿は米国時間 2021 年 4 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

この 10 年で SaaS アプリケーションが急増したことにより、現代の企業のセキュリティ環境は根本から変化しました。クラウドセキュリティ脅威レポート¹によると、平均的な組織は数百から 1,000 種類もの SaaS アプリケーションを使用していて、これらの多くは IT 部門から承認されておらず、その数は増え続ける一方であることが予想されています。現在、多くの組織が最新の SaaS アプリケーションを従来のネットワークベースのアプローチで保護しようとしています。このアプローチでは、ユーザーが企業ネットワーク上にいるときか、VPN を介して接続している場合にのみアクセスが許可されます。しかし、どのネットワークからリソースにアクセスしているかは、信頼できるアクセスかどうかの確実な指標ではなくなり、従来の「城と堀」のセキュリティ戦略はもはや適切ではなくなりました。

このパラダイムシフトにより、あらゆるユーザー、デバイス、ネットワークは本質的に信頼できないとみなすゼロトラストモデルの採用が増加しました。ゼロトラストモデルにおいて信頼を獲得し、アプリケーションや情報へのアクセス権を得るには、管理者によって設定されたポリシーを通じて、ID やその他の要素などの条件を満たしていることを示す必要があります。

ゼロトラストモデルへの移行は簡単ではありません。そこで Google では先日、BeyondCorp Enterprise をリリースして、お客様がこの課題に対処できるようにしました。BeyondCorp Enterprise を使用すると、ユーザーは Google で使用されているものと同じ原則をベースにしたゼロトラストアプローチを実装して、Google Cloud、その他のクラウド、オンプレミスでホストされている SaaS アプリケーションへのアクセスを管理できます。現在、リモートワークが増加しているため、アプリケーションへの安全なアクセスがこれまで以上に重要になっています。

BeyondCorp Enterprise を使用すると、ユーザー ID、組織グループ、デバイスの状態、暗号化ステータス、アクセス元の地域、認証方式などに基づいたきめ細かいアクセスポリシーを簡単に適用できます。しかし、アプリケーションアクセスは Google のゼロトラストアプローチの一部にすぎません。ユーザーがアプリにアクセスすると、そのユーザーのデータの保護も行われます。BeyondCorp Enterprise には、ユーザーのセキュリティをさらに強化できる、脅威からのデータ保護サービスが新たに追加されています。これらのサービスは、エージェントを使用することなくブラウザに直接統合できます。

ゼロトラストモデルへの移行は一筋縄では行かないこともありますが、Google のソリューションなら素早く簡単に取り掛かることができます。ゼロトラストモデルを実現する一つの方法は、現在の SaaS アプリのデプロイ状況を考慮し、ターゲットを絞ったアプローチをとることです。具体的には、保護する特定のユーザーグループや SaaS アプリ群から開始します。たとえば、フロントラインワーカーが POS アプリケーションにしかアクセスしない場合や、組織に大規模なカスタマーサービス部門があり、その担当従業員がコールセンターソフトウェアにしかアクセスしない場合があります。このようなシンプルなユースケースでは VPN の使用が不要であることがほぼ確実なので、最初に着手するターゲットとして最適です。

Google Cloud の新しいホワイトペーパー「Secure access to SaaS applications with BeyondCorp Enterprise」（BeyondCorp Enterprise を使用した SaaS アプリケーションへのアクセス保護）では、IT リーダーが考慮すべき一般的なシナリオについて説明し、各シナリオへのアプローチ方法を示しています。他の新しいデプロイメントと同様に、組織が検討すべきセキュリティ要素がいくつかあります。以下はその例です。