コンテキストアウェア アクセスの概要

このページでは、コンテキストアウェア アクセスの基本コンセプトについて説明します。

コンテキストアウェア アクセスは、BeyondCorp セキュリティ モデルに基づき、Google Cloud のさまざまなサービスを利用して、ユーザーの ID とリクエストのコンテキストに基づくきめ細かなアクセス制御を適用するアプローチです。

たとえば、ポリシーの構成に応じて、重要なアプリやリソースで次のことを行うことができます。

  • 従業員が信頼できる会社のデバイスを使用して、会社のネットワークからアクセスした場合に、その従業員にアクセスを許可する。
  • リモート アクセス グループの従業員が信頼できる会社のデバイスを使用し、このデバイスに安全なパスワードが設定され、最新のパッチレベルが適用されている場合は、アクセス元のネットワークに関係なく、その従業員にアクセスを許可する。
  • URL パスが /admin で始まる場合、特権アクセス グループの従業員にのみアクセスを許可する。

コンテキストアウェア アクセスを使用する場面

使用されるデバイスや IP アドレスなど、幅広い属性と条件に基づくきめ細かなアクセス制御を確立する場合は、コンテキストアウェア アクセスを使用します。企業のリソースをコンテキストアウェアにすることで、セキュリティ体制が向上します。

G Suite アプリにコンテキストアウェア アクセスを適用することもできます。G Suite でコンテキストアウェア アクセスを実装する方法の詳細については、G Suite の概要をご覧ください。

コンテキストアウェア アクセスの仕組み

コンテキストアウェア アクセスの実装には、ゼロトラスト モデルが必要です。すべてのルールと条件を満たさない限り、誰もリソースにアクセスできません。 ネットワーク レベルでリソースを保護するのではなく、個々のデバイスやユーザーに対してアクセスを制御します。

IAP はコンテキストアウェア アクセスの基本であり、メンバーに HTTPS アプリとリソースへのアクセスを許可できます。IAP の背後でアプリとリソースを保護すると、より高度なルールが必要となるため、組織はコンテキストアウェア アクセスを段階的に拡張できます。拡張コンテキストアウェア アクセス リソースでは、ユーザー デバイス属性、時刻、リクエストパスなどのプロパティに基づいてアクセスを制限できます。

コンテキストアウェア アクセスは、次の 4 つの Google Cloud サービスを活用して動作します。

  • Identity-Aware Proxy(IAP): 従業員が VPN を使用せずに信頼できないネットワークから会社のアプリやリソースにアクセスできるようになります。

  • Identity and Access Management(IAM): Google Cloud の ID 管理と承認サービス。

  • Access Context Manager: きめ細かなアクセス制御を有効にするルールエンジン。

  • エンドポイントの確認: ユーザーのデバイスの詳細情報を収集する Google Chrome 拡張機能。

コンテキストアウェア アクセスのフロー

デバイス情報の収集

エンドポイントの確認では、暗号化のステータス、OS、ユーザーの詳細など、従業員のデバイス情報が収集されます。G Suite Google 管理コンソールで有効にすると、Endpoint Verification Chrome 拡張機能を会社のデバイスにデプロイできます。従業員は管理対象のデバイスに個人のアプリをインストールすることもできます。 この拡張機能では、デバイス情報を収集して報告し、常に G Suite と同期します。最終的には、会社のリソースにアクセスする会社と個人のすべてのデバイスのインベントリです。

アクセスの制限

Access Context Manager を使用して、アクセスルールを定義するためのアクセスレベルが作成されます。IAM Conditions でリソースに適用されるアクセスレベルでは、さまざまな属性に基づいてきめ細かなアクセス制御が適用されます。

アクセスレベルは、次の属性に基づいてアクセスを制限します。

デバイスベースのアクセスレベルを作成すると、エンドポイントの確認によって作成されたデバイスのインベントリを Access Context Manager が参照します。たとえば、アクセスレベルを使用すると、暗号化されたデバイスを使用している従業員のみにアクセスを制限できます。IAM 条件を組み合わせることで、午前 9 時から午後 5 時までアクセスを許可するように制限し、このアクセスレベルをさらに細かく指定できます。

IAP によるリソースの保護

IAP では、Google Cloud リソースに IAM 条件を適用することによって、すべてが結び付けられます。IAP を使用すると、HTTPS トラフィックと SSH/TCP トラフィックによってアクセスされる Google Cloud リソースの一元的な承認レイヤを確立できます。IAP を使用すると、ネットワーク レベルのファイアウォールに頼らずに、リソースレベルのアクセス制御モデルを確立できます。リソースを保護すると、アクセスルールや条件を満たす従業員がどのデバイスからでもアクセスできます。

IAM 条件の適用

IAM Conditions を使用すると、Google Cloud リソースに対する条件付き、属性ベースのアクセス制御を定義して適用できます。

IAM Conditions では、構成された条件が満たされた場合にのみメンバーに権限を付与できます。IAM Conditions では、アクセスレベルを含めてさまざまな属性でアクセスを制限できます。

条件は、リソースの IAM ポリシーの IAP ロール バインディングで指定されます。条件が存在している場合、条件式が true に評価される場合にのみロールが付与されます。各条件式は一連の論理ステートメントであり、そこで 1 つまたは多数の属性を指定して検査できます。

次のステップ