Wayfair が BeyondCorp Enterprise と Microsoft Intune を併用してゼロトラスト環境を構築した経緯

※この投稿は米国時間 2023 年 7 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

セキュリティに対するゼロトラスト アプローチにより、ユーザーやデバイス、アプリ、データを保護することができます。Google Cloud の BeyondCorp Enterprise を使用することで、認証および認可による厳密なコンテキストアウェア アクセス制御を各種デバイスに適用し、それによって全方面でセキュリティ対策を強化することが可能になります。

コンテキストに基づくしっかりしたアクセス ポリシーを作成できるかどうかは、ユーザーやそのデバイス、現在のアクセス コンテキスト（場所など）のシグナルが利用可能かどうかに依存します。Google では BeyondCorp Enterprise を、お客様が他のテクノロジー ベンダーのシグナルを自社のゼロトラスト アクセス ポリシーに統合して組み込める、拡張性の高いソリューションとなるように設計しました。

Google のお客様である Wayfair では、BeyondCorp Enterprise を Microsoft Intune と統合して、自社のゼロトラスト実装を拡大しました。Wayfair がどのようにそれを成し遂げたかをご紹介します。

Intune と統合するメリット

BeyondCorp Enterprise は、脅威からの防御およびデータ保護機能のほか、ブラウザベースのエージェントレスなアプローチによって、デバイス全体のコンテキストアウェア アクセス制御もさらに強化することが可能です。Wayfair ではそれを活かして、Bring Your Own Device やサードパーティ ベンダーによる Wayfair サーバーへの接続の制御を強化しました。

Microsoft Intune はエンドポイント管理ソリューション ツールです。Intune を BeyondCorp Enterprise と統合することで、Intune で管理されるエンドユーザーのデバイス全体にわたるゼロトラストのアクセス ポリシーを作成できます。デバイスの所在地にかかわらず、非公開アプリケーションや SaaS アプリケーションの保護をより強化することが可能です。デバイス情報を活用してアクセスに関する決定ができることは、ゼロトラスト アプローチにおいて重要な要素であり、BeyondCorp Enterprise は Chrome や複数の BeyondCorp Alliance（BCA）パートナーから得たネイティブのデバイス情報を、Intune を含めたセキュリティ スタックの中で Wayfair に提供します。

Microsoft Intune の統合の仕組み

BeyondCorp Alliance Connector が Graph API を使用して Intune からデータを収集して BCE Access Context Manager に送信します。管理者は BCE Access Context Manager をコンテキストアウェア ポリシーに対して使用し、リソースへのアクセスを制限できます。これによって、お客様はそのポリシーを BCE と Google Workspace の両方に一貫して適用できます。BCE と統合することで、カスタムコードを作成して管理する必要性が緩和され、オンボーディングが容易かつ効果的になり、リソースへのスケーラブルなアクセスをサポートできるようになります。

Wayfair の実装

Wayfair では、機密性の高いアプリにアクセスするデバイスが、事前定義された一定のセキュリティ対策基準を満たすようにしたいと考えました。同社のデバイスの対策に関連する情報は、Intune やその他の BCA パートナーから得た関連デバイスの全メタデータを含め、BCE 内で利用可能です。統合の結果、Wayfair は、デバイスは同社所有のもので、特定のアプリケーションにアクセスするためにコンプライアンスを確保しなければならないというポリシーを、短時間で容易に構成し、適用することができました。

ポリシーを適用したことで、Wayfair は不正アクセスやデータの引き出しのリスクを軽減できています。アプリケーションにアクセスする管理対象デバイスや管理対象外のデバイスを詳細に可視化できるだけでなく、アクセスに対するセキュリティ制御を厳格に適用することもできます。たとえば、ディスクの暗号化がオンになっている会社所有のデバイスのみが重要なアプリにアクセスできるようにするなどです。

この統合により、Wayfair のセキュリティ対策も強化されました。Wayfair では、デバイスの対策に関する情報を複数のセキュリティ システムや管理システムから BCE へ集約したことで、一貫したアクセス ポリシーを適用し、コンプライアンス違反のデバイスに事前予防的に対応することが可能です。

以前は、Wayfair では、コードとそのコードを実行するインフラストラクチャを管理するためのカスタム統合を設定する必要がありました。BCE が提供する Intune とのターンキー統合により、カスタムコードを作成する必要性が軽減されます。Wayfair はさらに、今回の統合によって、新しいデバイスのオンボーディングやポリシーの構築にかかる時間を短縮できたと Google に語っています。

さらに重要なこととして、新しい BeyondCorp アライアンス パートナーについても、統合の設定プロセスは同じです。すなわち、Wayfair がさらに詳細なアクセス ポリシーを作成できる新しいシグナル（EDR シグナルなど）を統合する場合でも、同社のチームが新しいプロセスを実行する必要はありません。

実装に関するベスト プラクティス

BCE のデプロイメントに対して Intune を実装するプロセスは、非常にシンプルです。さらに作業を容易にするため、Wayfair では、アプリケーション オーナーと協力して利用可能なシグナルのリストを確認し、さらにそのシグナルに基づいて自社アプリに対するアクセス ポリシーを作成することを推奨しています。この情報と理解の共有によって、実装のプロセスを迅速に完了することが可能になります。

すべての Intune デバイスにデータを確実に入力するため、Wayfair では Intune のシグナルを使用するアクセス ポリシーが組織全体に適用されるまで 24 時間の待機期間を設けることを強く推奨しています。   

Intune との統合の大きなメリットの一つは、なんらかのポリシーが適用される前にデータを取得できるという、Intune のシームレスな性能です。これによってポリシーの作成とテストが容易になり、本番環境へのデプロイの問題が最小限に抑えられます。

次のステップ

詳細については、BeyondCorp Enterprise のウェブページをご覧ください。Microsoft Intune と BeyondCorp Enterprise を統合する手順についても、こちらで説明しています。