BeyondCorp

概要

BeyondCorpは、組織のセキュリティアーキテクチャにおけるパラダイムシフトを象徴する概念である。これは、社内ネットワークという概念そのものから脱却し（Beyond Corporate Network）、アクセスを試みるユーザー、デバイス、アプリケーションの全てを信頼せず、常に検証することを基本原理とする。クラウド時代において、従来のファイアウォールを中心とした境界防御が限界に達したことへのGoogleによる応答であり、後の業界全体のセキュリティ戦略に多大な影響を与えた。

由来・歴史的背景

BeyondCorpが誕生した背景には、2009年末から2010年初頭にかけてGoogleが受けた大規模なサイバー攻撃「オーロラ作戦（Operation Aurora）」がある。この攻撃は、ターゲット型マルウェアを利用し、既存の境界防御を突破して社内ネットワークに侵入、知的財産の窃取を試みたものであった。Googleはこの事件を通じて、社内ネットワーク内部への侵入を前提としたセキュリティ対策の必要性を痛感した。

従来の防御モデル（境界型防御、ペリメーター・ディフェンス）では、外部の脅威から内部を守ることに注力しており、「一度境界線（ファイアウォール）を越えれば信頼される」という性善説に基づいていた。しかし、オーロラ作戦は、内部に一度侵入を許してしまうと、ネットワーク内では正規のアクセスとして振る舞えてしまうという、この防御モデルの根本的な脆弱性を露呈させたのである。

この深刻な反省から、Googleは2011年頃からアーキテクチャの大幅な見直しに着手した。彼らの結論は、ネットワークの場所（内部か外部か）をセキュリティ判断の基準とすることをやめ、全てのアクセスをインターネット上のアクセスと同等に扱うというものであった。これが2014年に「BeyondCorp」として公式に提唱・公開され、実装が進められた。BeyondCorpは、企業が物理的なオフィス境界を超えてクラウドサービスやリモートワークを本格的に採用するための、技術的・哲学的な礎を築いたと言える。

BeyondCorpの技術的アーキテクチャと原則

BeyondCorpのアーキテクチャは、従来のVPNベースのアクセスモデルとは一線を画し、ゼロトラストの原則を具現化している。基本的な技術的原則は、以下の要素を中心に構築される。

1. ネットワーク境界の排除

物理的なネットワークの場所（社内LAN、自宅、カフェなど）はセキュリティ判断の要素とはしない。すべてのリソースはインターネット経由でのアクセスを前提とし、アクセス制御はネットワーク層ではなくアプリケーション層またはアイデンティティ層で行われる。

2. デバイス検証（Device Inventory & Access Control）

アクセスするデバイスが、企業が定めるセキュリティポリシーを完全に満たしているかを厳密に検証する。デバイス証明書や専用のエージェントを用いて、OSのバージョン、パッチ適用状況、マルウェア対策ソフトの有効性、ディスク暗号化の有無などを継続的にモニタリングする。デバイスの状態が基準を満たさない場合、アクセスは拒否されるか、または限定的な権限しか与えられない。このデバイスの状態の把握と管理はBeyondCorpの中核をなす。

3. ユーザー認証と認可の統合

強力な多要素認証（MFA）を必須とし、ユーザーのIDとデバイスの状態の両方に基づいて、リソースへのアクセス権を動的に決定する。認証認可システムは、ユーザーIDだけでなく、「誰が（ユーザーID）」「どのデバイスから（デバイス証明書と状態）」アクセスしているかをリアルタイムで評価する。アクセス制御の決定は、単なるネットワークアドレスではなく、この包括的なコンテキストに基づいて行われる。

4. リソースアクセス制御の分散

アクセス制御の決定権を、従来のネットワークエッジ（境界防御のファイアウォール）ではなく、アプリケーションやリソースに極めて近い場所（認証プロキシまたはゲートウェイ）に分散させる。これにより、リソースごとに独立したポリシーを設定できるマイクロセグメンテーション（最小権限の原則）が実現される。ユーザーは、アクセス権限を持つリソース以外には、ネットワーク的に到達できないよう設計されている。

この継続的な検証プロセス（Continuous Monitoring and Validation）こそが、環境が変化しやすいリモートワーク時代において、高いセキュリティ水準を維持する鍵となる。アクセスが一度許可された後も、デバイスの状態が変化したり、ポリシーに違反したりした場合は、リアルタイムでセッションが切断される。

メリットと課題

メリット

BeyondCorp最大のメリットは、セキュリティと利便性の高度な両立にある。

セキュリティ向上: 境界防御の脆弱性、すなわち内部侵入後の横展開リスクを大幅に低減する。アクセス元を信頼しないため、たとえ攻撃者が認証情報を盗み出したとしても、不正な状態のデバイスからは重要なリソースへのアクセスを阻止できる可能性が高まる。また、VPNのような複雑なネットワークインフラ管理が不要になり、セキュリティポリシーを一元的に管理できるようになる。

生産性の向上: 従業員はVPN接続の手間なく、場所を問わず、セキュアな環境で社内リソースへアクセスできる。これは、グローバルな分散オフィス環境や、パンデミック以降に定着したリモートワークを技術的に支える不可欠な基盤となっている。

クラウドとの親和性: リソースの場所（オンプレミス、クラウド）を問わず一貫したアクセス制御を適用できるため、企業がクラウドサービスやSaaSへの移行を加速させる上で、セキュリティ上のボトルネックを解消する。

課題

BeyondCorpの導入には、いくつかの重大な課題が存在する。

導入コストと複雑性: BeyondCorpはアーキテクチャ全体の根本的な再構築を要求するため、導入には莫大なコストと時間がかかる。特に、デバイスのインベントリ（台帳）管理、証明書の発行、そして継続的なセキュリティ状態の検証を実現するためのインフラ構築は複雑であり、高度な専門知識が必要となる。

レガシーシステムとの互換性: 既存のレガシーシステムや古いプロトコルで動作するアプリケーションは、BeyondCorpが前提とする認証・認可の仕組み（OIDCやOAuthなど）に適合しない場合が多く、改修が必要となる。この互換性の問題が、大規模組織における導入を遅らせる主要因となる。

運用負荷と従業員のプライバシー: 強固なデバイス管理ポリシー（MDMやエンドポイントセキュリティ）の徹底が前提となるため、従業員のデバイスに対する監視レベルが上がる。これにより、プライバシーや運用の面で新たな複雑性を生み、従業員の受け入れ態勢を確保する必要がある。

関連する概念

ゼロトラスト (Zero Trust: ZT)

BeyondCorpは、NIST SP 800-207などで標準化された「ゼロトラストアーキテクチャ（ZTA）」の最も成功した先行事例として位置づけられる。2010年にフォレスターリサーチのジョン・キンダーバーグが提唱したゼロトラストの概念に対し、BeyondCorpはGoogleという巨大企業が実際にこれを実現し、運用していることを示した具体的な実装モデルである。BeyondCorpの設計原則は、今日のゼロトラストモデルの多くの要素（アイデンティティ主導のアクセス、最小権限の原則など）に直接的に影響を与えている。

SASE (Secure Access Service Edge)

SASE（サッシー）は、ネットワーク機能（SD-WANなど）とセキュリティ機能（CASB、FWaaS、ZTNAなど）をクラウドエッジで統合する概念である。BeyondCorpが提唱した「場所を問わない安全なアクセス」という目標を、外部のクラウドサービスとして提供するための現代的なソリューションと言える。

ZTNA (Zero Trust Network Access)

ZTNAは、SASEの主要なコンポーネントの一つであり、BeyondCorpの機能を提供する具体的なサービスまたは製品カテゴリである。ZTNAは、企業が所有するリソースへのアクセスを、特定のユーザーとデバイスの状態に基づいて、細かく制御されたセキュアなトンネルを通じてのみ許可する技術である。これは従来のVPN接続に代わるものとして普及が進んでいる。

BeyondCorp Enterprise

Googleは、自社のセキュリティアーキテクチャを外部企業向けにクラウドサービスとして提供しており、これをBeyondCorp Enterpriseと呼ぶ。これは、Google Cloud Platform（GCP）のユーザーが、BeyondCorpの原則に基づいたアクセス制御を容易に実現できるように設計されたマネージドサービスである。これにより、導入コストの高さが課題であったBeyondCorpモデルが、より多くの企業にとって利用可能となっている。

由来・語源

(記述募集中)

使用例

(記述募集中)

関連用語

• (なし)