今日の企業は、ネットワークが保護されているだけでは十分ではないセキュリティ モデルに移行しています。企業の最も安全なアセットを確実に保護し、従業員が適切な環境で生産性を高めるようにするには、最新のアプローチが必要です。
BeyondCorp Enterprise は、この新しいアプローチを可能にすることで組織を支援することを目的とした Google のツールです。ユーザーの情報をデバイスとロケーションのコンテキストに結び付けることで、企業は豊富なアクセス決定を行い、セキュリティ ポリシーを適用できます。
BeyondCorp Enterprise には 2 つの主な目標があります。
- 脅威からのデータ保護は、コピーと貼り付けなどの情報漏洩のリスクからユーザーを保護し、DLP 保護をブラウザに拡大して、マルウェアが企業の管理対象デバイスに侵入するのを防止しつつ、エンタープライズ デバイスを安全に保護します。
- より高度なアクセス制御により、エンドユーザーのリクエストのコンテキストを使用して、各リクエストが認証、承認され、可能な限り安全が確保される方法で、セキュアなシステム(アプリケーション、仮想マシン、API など)へのアクセスを保護します。
ユーザーにとってのメリット
BeyondCorp Enterprise には、アプリとデバイスの両方に高度なセキュリティ体制とポリシーを実現できるセキュリティ モデルが用意されています。一方、エンドユーザーには、デバイスにアクセスする場所や使用するデバイスのタイプに関係なく、高い利便性が提供されます。
- 管理者に対するメリット:
- ユーザーのコンテキストの動的な変更を考慮してセキュリティ体制を強化します。
- エンドユーザーがアクセスするべきリソースだけにアクセス境界を縮小します。
- 従業員、請負業者、パートナー、顧客に対して、誰がデバイスを管理するかどうかに関係なく、デバイス セキュリティ体制を適用できます。
- ユーザー単位のセッション管理と多要素認証でセキュリティ基準を拡張します。
- エンドユーザーに対するメリット:
- セキュリティを犠牲にすることなく、すべてのエンドユーザーの生産性を維持できます。
- コンテキストに基づいて、業務アプリケーションに対する適切なレベルのアクセス権を許可します。
- きめ細かいアクセス ポリシーに基づいて個人所有デバイスへのアクセスのロックを解除できます。
- セグメント化されたネットワークによってスロットリングされることなく、内部アプリケーションにアクセスできます。
一般的なユースケース
エンドユーザーはオフィス以外の場所で頻繁に業務に取り組み、さまざまな種類のデバイスを使用するため、企業にはすべてのユーザー、デバイス、アプリケーションへの適用に適した一般的なセキュリティ モデルが存在します。
- 従業員以外のユーザーが、VPN を使用する必要なしに、Google Cloud や他のクラウド サービス プラットフォームにデプロイされた単一のウェブ アプリケーションにアクセスできます。
- 従業員が最低限のセキュリティ方針を満たしている限り、個人のデバイスやモバイル デバイスからのデータへのアクセスを許可します。
- 従業員がセンシティブ データをコピーしてメールに貼り付けたり、Google ドライブなどの個人用ストレージに保存したりできないようにします。
- 企業が管理するデバイスに特定の重要なシステムへのアクセスのみを許可します。
- 企業データに対する DLP 保護を提供します。
- ユーザーのロケーションに基づくゲートアクセス。
- Google Cloud と他のクラウド サービス プラットフォームまたはオンプレミス リソースを併用するハイブリッド デプロイメントにおいて、アプリケーションを保護します。
一般的なシグナル
BeyondCorp Enterprise では、企業が以下を含むポリシーを決定する際に考慮できる一般的なシグナルを提供しています。
- ユーザーまたはグループの情報
- ロケーション(IP または地理的リージョン)
- デバイス
- エンタープライズ管理対象デバイス
- 個人所有のデバイス
- モバイル デバイス
- BeyondCorp Alliance のパートナーから送信されるサードパーティ デバイスのシグナル。
- Check Point
- CrowdStrike
- Lookout
- Tanium
- VMware
- リスクスコア
BeyondCorp Enterprise を利用する方法
このフォームに記入して、BeyondCorp Enterprise へのアップグレードに関する詳しい情報を確認してください。
BeyondCorp Enterprise と Google Cloud の比較
BeyondCorp Enterprise は、基本的な保護に加えて、エンタープライズ セキュリティ機能を提供します。この機能の重点は、Google Cloud のベースライン機能である認証と認可によるアプリケーションの保護です。BeyondCorp Enterprise は、こうした保護を(実行場所を問わず)アプリケーションとデータにまで拡張し、エンドユーザーの保護と機能が豊富なアクセス ポリシーの保護を実現します。
次の表に、Google Cloud のお客様が使用できるベースライン機能と BeyondCorp Enterprise で利用できる機能の違いを示します。| アプリケーションとリソースへのアクセス | GCP ベースライン | BeyondCorp Enterprise Essentials | BeyondCorp Enterprise |
|---|---|---|---|
| Google Cloud Platform 上のウェブ アプリケーションへのアクセス制御 | |||
| GCP 上の VM の SSH、RDP、TCP ポートに対するアクセス制御 | |||
| Google Cloud Platform API に対するアクセス制御 | |||
| Google Cloud コンソールへのアクセス制御 | |||
| GCP の内部ロード バランシングに関するウェブ アプリケーションへのアクセス制御 | |||
| お客様の施設のウェブ アプリケーションへのアクセス制御 | |||
| シック クライアント / クライアント サーバー アプリケーションに対するアクセス制御 | |||
| AWS や Azure 上のウェブ アプリケーションへのアクセス制御 | |||
| SAML ベースのアプリケーションへのアクセス制御(ログイン時間) | |||
| Google Workspace 管理コンソールへのアクセス制御 | |||
| アクセス ポリシーと詳細設定 | GCP ベースライン | BeyondCorp Enterprise Essentials | BeyondCorp Enterprise |
| ユーザーを使用したアクセスレベル | |||
| IP アドレスと位置情報を使用したアクセスレベル | |||
| 日時制限を使用したアクセスレベル | |||
| ログイン認証情報の安全度を使用したアクセスレベル | |||
| エンタープライズ証明書を使用したアクセスレベル | |||
| デバイスのセキュリティ対策を使用したアクセスレベル | |||
| Chrome のセキュリティ対策を使用したアクセスレベル | |||
| サードパーティ パートナーのシグナルを使用したアクセスレベル | |||
| 高度な式言語を使用したアクセスレベル | |||
| HTTP オプションでの同一オリジン ポリシー構成 | なし | ||
| カスタムの認証ドメインと 403 ページ | なし | ||
| ユーザー、脅威、データ保護 | GCP ベースライン | BeyondCorp Enterprise Essentials | BeyondCorp Enterprise |
| 定義済みまたはカスタム検出項目によるデータ損失防止(Chrome) | |||
| 高度なサンドボックス化を使用したマルウェア対策(Chrome) | |||
| フィッシングと悪意のある URL の対策(Chrome) | |||
| 脅威対策とデータ保護のアラートとレポート(Chrome) |
次のステップ
- 詳しくは、アクセス保護の制御をご覧ください。
- 詳しくは、脅威からのデータ保護についての記事をご覧ください。