セキュリティ & アイデンティティ

BeyondCorp Enterprise の Policy Troubleshooter が一般提供へ

2022年1月5日

https://storage.googleapis.com/gweb-cloudblog-publish/images/beyond_corp_ent.max-2600x2600.jpg

Google Cloud Japan Team

※この投稿は米国時間 2021 年 12 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。

COVID-19（新型コロナウイルス感染症）の拡大を受けて、企業のリソースと情報にリモートから安全にアクセスすることが多くの組織にとって不可欠となっています。しかし、少なくない数の従業員が、このようなアクセスは常にシームレスにできているわけではないと考えています。アクセスできるはずのアプリやリソースにアクセスできずにブロックされたことがある方は、特にそう感じているかもしれません。このようなストレスに加え、IT サポートに問い合わせて状況と理由を特定するという問題もあります。これは、リモート環境ではさらに困難になるでしょう。

Google Cloud のゼロトラストアクセスソリューションである BeyondCorp Enterprise の目的は、ユーザーと管理者にスムーズなエクスペリエンスを提供することです。本日は、BeyondCorp Enterprise の Policy Troubleshooter が一般提供となったことをお知らせいたします。これは、ブロックされたアクセスイベントに優先順位を付けてユーザーのブロック解除を容易に行えるよう、管理者を支援する機能です。

BeyondCorp Enterprise は、各種のクラウドやデバイスからアプリケーションへのシンプルかつ安全なアクセスを可能にします。管理者は、機密性の高い企業のリソースへのアクセスを管理するためにきめ細かいルールを構成して適用できます。こうしたポリシーはゼロトラストモデルの一部としてトラストをどのように設定および維持するかを定義するものですが、ルールがレイヤ化されることで、アプリケーションやリソースにアクセスできない理由をエンドユーザーが把握しにくくなることもあります。

管理者は、Policy Troubleshooter 機能を有効化し、拒否されたイベントに対して、トラブルシューティングの URL を Identity-Aware Proxy（IAP）リソースごとにリアルタイムで生成できます。ブロックされたエンドユーザーには「Troubleshooter URL」が表示されます。エンドユーザーはこれをコピーして、メールで管理者に送ります。管理者はこの情報を使用して迅速にエラーを診断してアクセスリクエストが失敗した理由を特定できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_Policy_Troubleshooter.max-1400x1400.jpg

アクセスが拒否されたときに BeyondCorp Enterprise ユーザーに表示されるトラブルシューティング情報

Policy Troubleshooter を使用すると、管理者は環境全体でのアクセスイベントについて不可欠な可視性を得られます。BeyondCorp Enterprise の Troubleshooter 分析ページにアクセスすると、さまざまな形で情報を確認できます。概要ビューでは、すべての関連ポリシーとメンバーシップに関する情報がまとめて表示されます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_Policy_Troubleshooter.max-1200x1200.jpg

管理者に提示されるトラブルシューティング情報の概要ビュー

また、Identity and Access Management（IAM）ポリシービューでは、有効な IAM バインディング評価結果とアクセス付与の有無の一覧、および問題が発生した場所の概要が表示されます。管理者は、ユーザーとデバイスのコンテキストを記載した表も参照できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3_Policy_Troubleshooter.max-1100x1100.jpg

管理者は、IAM ポリシービューに切り替えてバインディング詳細を表示することも可能

https://storage.googleapis.com/gweb-cloudblog-publish/images/4_Policy_Troubleshooter.max-1800x1800.jpg

管理者は、バインディング詳細をさらに調査して問題の発生場所を特定可能

管理者はこの情報をもとに、グループメンバーシップの登録状況、時間や所在地の制約、デバイスルール（許可されていないデバイスからのアクセス試行）など、アクセス失敗に関する詳細な情報をエンドユーザーに提供できます。Policy Troubleshooter では、保証されている場合にアクセスを許可するようにポリシーを更新することも可能です。

https://storage.googleapis.com/gweb-cloudblog-publish/images/5_Policy_Troubleshooter.max-1800x1800.jpg

アクセスレベルと条件の詳細なトラブルシューティング

管理者は、Policy Troubleshooter を使用して架空のイベントやシナリオをテストし、新しいセキュリティポリシーが与え得る影響について分析情報を得ることや可視化することもできます。架空のリクエストに対して事前にトラブルシューティングを行うことで、ユーザーがリソースへの適切なアクセス許可を保持しているかを検証し、アクセス中断を予防して IT サポートスタッフへの問い合わせをなくすことができます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/6_Policy_Troubleshooter.max-700x700.jpg

管理者は、BeyondCorp Enterprise ランディングページの Policy Troubleshooter に移動して、架空のリクエストに対し事前にトラブルシューティングすることが可能

BeyondCorp Enterprise の Policy Troubleshooter は、さまざまなユーザーグループに対して複数のリソースに複数のルールを適用する必要のある組織にとって有用なツールです。従業員がリモートであるかどうかにかかわらず、管理者が迅速にアクセス失敗イベントに優先順位を付けてユーザーのブロックをすみやかに解除できることは、組織の生産性において絶対に不可欠です。

もっと詳しくお知りになりたい場合、まずは Google のドキュメントをご覧ください。この新しい機能は、12 月 15 日の Google Cloud Security Talks でも紹介する予定です。デモをご覧になるには、こちらの無料イベントにご登録いただき、ライブかオンデマンドでぜひご参加ください。お客様のゼロトラスト導入をサポートするため Google が行っているすべての取り組みをご確認いただけます。

- Google Cloud セキュリティ担当プロダクトマネージャー Tanisha Rai

投稿先