コンテンツに移動
セキュリティ & アイデンティティ

BeyondCorp リモート アクセスを利用してチームが安全に働ける環境を確保する

2020年4月23日
Google Cloud Japan Team

※この投稿は米国時間 2020 年 4 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。

COVID-19(新型コロナウイルス感染症)のパンデミックは、さまざまな形で組織に影響を与えています。新型コロナウイルスに直接対峙する病院や政府機関はもちろんですが、企業にも影響が及んでおり、在宅勤務体制を迅速に整える必要に迫られています。この数週間、Google では、新しい働き方を導入する組織への支援や、そのような環境におけるデータ保護について、お客様と何度も話し合ってきました。

そこで多く聞かれたのが、リモート ユーザーの数が短期間の間に急増したことを受けて、主要な社内アプリケーションへのアクセスを提供できる簡単な方法が必要だという声です。カスタマー サービス システムやコールセンター アプリケーション、ソフトウェアのバグトラッカー、プロジェクト管理ダッシュボード、社員用ポータルなど、多数のウェブアプリには、職場の企業ネットワーク上でブラウザを使ってアクセスするのが一般的です。そのため、社員はこのようなリソースにアクセスできなくなります。

お客様がこの問題を解決し、社員に必要なアクセスを提供できるよう、今回は BeyondCorp リモート アクセス をご紹介します。このクラウド ソリューションは、Google が約 10 年にわたり社内で使用してきたゼロトラストのアプローチに基づくもので、社員や外部の人員は、デバイスや場所にほとんど関係なく、従来のリモート アクセス VPN を使用しなくても社内向けウェブアプリにアクセスできます。将来的には、ユーザーがアクセスする必要のあるほぼ全てのアプリケーションやリソースに対し、同様の機能や制御、追加の保護機能を提供する予定です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/BeyondCorp_Remote_Access.max-1400x1400.jpg

BeyondCorp リモート アクセスのアーキテクチャの概要

それでは、リモート アクセスの課題とその対処方法や解決策を詳しく見ていきましょう。

VPN の問題

組織が通常使用しているリモート アクセス VPN には根本的な問題があります。従来の VPN インフラストラクチャでは、短期間にあまりにも多くの新規ユーザーが集中してしまうと展開や管理が難しく、負荷がかかって IT チームは苦戦を強いられることになります。

ユーザー側では、特にこれまで VPN を使ったことがない場合、複雑で使いにくいと感じてしまうかもしれません。この問題は、組織が契約社員や臨時従業員、パートナーなどの外部の人員に VPN アクセスを展開すると、さらに困難なものとなります。また VPN によって、社内のアプリとデータを保護するために従来使用してきた組織のネットワークの境界が拡張することになるため、リスクが増大してしまう可能性もあります。

リモート アクセスに対する Google のアプローチ

Google では、より良いリモート アクセスの方法があるのではないかと考えています。COVID-19 の感染拡大に伴い、最近ではほとんどの Google の社員と外部の人員に在宅勤務を要請していますが、アプリへのアクセスと業務の遂行に目立った影響は出ていません。しかし、この新しい働き方を支える機能を最近展開したわけではありません。2011 年、Google は BeyondCorp と名付けたゼロトラストのアクセス アプローチの導入に向けた取り組みを開始しました。目指したのは、Google の社員や外部の人員がクライアント側の VPN を使用しなくても、多様なデバイスを使って信頼されていないネットワークから支障なく働ける環境を整えることでした。

https://storage.googleapis.com/gweb-cloudblog-publish/images/BeyondCorps_high-level_architecture.max-900x900.jpg
BeyondCorp のアーキテクチャの概要

しかし、BeyondCorp は、よりシンプルでモダンな VPN の代わり以上のものを提供しています。BeyondCorp により、適正なユーザーのみが適切な状況で適切な情報にアクセスできる環境も確保できます。例えば、「契約している HR 採用担当者は、自宅から個人のパソコンを使いウェブベースのドキュメント管理システムのみアクセスが可能ですが、最新バージョンの OSを使用し、セキュリティキーなどのフィッシングに強い認証を使用している場合に限られます」や「タイムカード・アプリケーションは、時間給従業員全員が、どのデバイスからでも、どこからでも安全に利用できるものでなければなりません」といったポリシーを適用することが可能です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Defining_access_policies.max-1800x1800.jpg
管理コンソールでのアクセス ポリシーの定義例

確かなソリューションから始める

Google では長年にわたってこのゼロトラストのアクセス アプローチを使い続けてきましたが、このようなデプロイを一晩で完了できる組織はほとんどないでしょう。しかし、特定のユーザーが社内向けのウェブアプリにリモート アクセスする際の問題を解決するという目的であれば、すぐにでも使い始めることができます。

BeyondCorp リモート アクセスを利用すれば、アプリケーションがクラウドでホストされているか、データセンターにデプロイされているかに関係なく、従来の VPN ソリューションであれば展開に数か月かかったところを、数日で展開できるようになります。Google は Deloitte の業界トップレベルのサイバー部門と協力し、お客様のゼロ トラストへの道のりをサポートするエンドツーエンドのアーキテクチャーや設計、導入サービスを提供しています。

ソリューションのコンポーネントは、フィードバックに基づいて改良されているうえ、ニューヨーク市サイバー コマンド(NYC3)など、多数のお客様による本番環境でのテストで実証済みです。

ニューヨーク市サイバー コマンドの副 CISO である Colin Ahern 氏は次のように語っています。「米国最大の都市のサイバー防衛を主導するのが我々の使命です。状況や場所に関係なく、当局の職員が重要なアプリケーションにアクセスできることが不可欠です。Google の BeyondCorp を利用することで、信頼されていないネットワークからでもすばやく安全に必要なリソースにアクセスできるゼロトラスト環境を構築できました。」

現在は、リモート アクセスを迅速に展開するという差し迫ったニーズに対応しなければなりません。Google は、このような状況を支援するだけでなく、将来的には最新のゼロトラスト アクセスモデルを展開する安全な基盤を構築していただけるよう取り組んで参ります。このソリューションの活用をご検討の場合は、ぜひお問い合わせください

- By Google Cloud バイス プレジデント兼ゼネラル マネージャー Sunil Potti、Google Cloud PM ディレクター Sampath Srinivas

投稿先