BeyondCorp Google

概要

BeyondCorpは、Googleが自社の内部ネットワークセキュリティを再構築するために開発し、現在ではゼロトラストセキュリティモデルの事実上の標準として世界中の企業に採用されているセキュリティフレームワークである。このモデルは、ネットワークの場所（社内か社外か）に関わらず、すべてのアクセス試行を疑い、厳密な認証と認可を経た上でアクセスを許可するという「信頼しない（Never Trust）、常に検証する（Always Verify）」というゼロトラストの原則を具現化している。特に大規模なクラウド環境や、分散した働き方に対応するための先進的な解決策として注目されている。

具体的な使用例・シーン

BeyondCorpの最も具体的な使用シーンは、企業の社員が社内外問わず、様々なデバイスを使用して企業リソース（アプリケーション、データ、サーバーなど）へアクセスするあらゆる状況に適用される。

例えば、社員が自宅のPCから企業の顧客情報データベースにアクセスしようとする場合、従来の境界防御モデルではVPN接続を確立し、社内ネットワークに入ることができれば、その後のアクセスは比較的緩やかになることが多かった。しかし、BeyondCorpモデルでは、以下のような厳格なステップが動的に実行される。

1. ユーザー認証: ユーザーは多要素認証（MFA）を用いて厳密に認証される。
2. デバイス健全性チェック: アクセスに使用されているデバイス（PCやスマートフォン）が、企業のセキュリティ基準を満たしているか（例：最新のOSパッチが適用されているか、ディスク暗号化されているか、マルウェア対策ソフトが有効か）が確認される。このチェックはリアルタイムで行われる。
3. コンテキスト評価: アクセスする時間帯、地理的な場所、アクセスしようとしているリソースの機密性といったコンテキスト情報が評価される。
4. 動的ポリシー適用: 上記の要素すべてがポリシーエンジンによって評価され、「このユーザーが、このデバイスから、この時間帯に、このアプリケーションにアクセスすることを許可するか否か」が決定される。

これにより、たとえば「人事部のユーザーが、企業支給のPCで、勤務時間内に人事システムにアクセスする場合のみ許可する」といった、きめ細かく、かつ動的なアクセス制御が可能となる。もしデバイスが最新のパッチを適用していないと判断された場合、アクセスは拒否されるか、限定的な機能のみの使用に制限される。これは、VPNを介して一度ネットワークに入れば多くのリソースにアクセスできてしまう境界防御モデルと比較して、セキュリティリスクを大幅に低減させる。

メリット・デメリット (または 特徴)

メリット

BeyondCorpを採用する最大のメリットは、セキュリティ体制の劇的な強化である。ゼロトラスト原則に基づいているため、ネットワークの内部に侵入されたとしても、個々のリソースへのアクセスは依然として厳しく制限されるため、横展開攻撃のリスクを最小化できる。

また、リモートアクセス環境の簡素化も重要な利点である。VPNの複雑なインフラストラクチャやライセンス管理が不要となり、ユーザーは場所を問わず一貫した方法で安全に業務アプリケーションにアクセスできる。これは、グローバルな分散オフィスや恒常的なリモートワーク環境において、運用効率とユーザー体験を向上させる。さらに、リソースへのアクセス制御がユーザーとデバイスの属性に結びついているため、クラウドサービス利用時においてもオンプレミス環境と同等以上の厳密なアクセス管理が可能となる。

デメリット

BeyondCorpアーキテクチャの導入には、高度な計画と大規模な初期投資が必要となる。特に、既存のレガシーシステムやオンプレミスのアプリケーションをこの新しいアクセスモデルに対応させるためには、アプリケーションレイヤーでの改修やプロキシ機能の導入が不可欠である場合が多い。

また、継続的な運用負荷も無視できない。BeyondCorpは、アクセスポリシーがユーザー、デバイスの状態、およびコンテキストに基づいて絶えず変化するため、これらの要素を正確に把握し、ポリシーを継続的に管理・更新し続ける専門チームが必要となる。導入初期段階でのデバイス健全性チェックシステムの構築や、すべての社員に対する新しい認証プロセスへの教育も、大きな課題となることがある。

関連する概念

ゼロトラスト・ネットワーク・アクセス（ZTNA）

BeyondCorpは、ゼロトラストモデルを実践するための具体的なアーキテクチャの実装例であり、その製品化された形態や概念はZTNA（Zero Trust Network Access）として広く知られている。ZTNAは、特定のアプリケーションへのリモートアクセスを、ユーザーとデバイスの状態に基づいて動的に許可する技術であり、BeyondCorpの主要な要素を構成する。

アイデンティティ・アウェア・プロキシ（IAP）

BeyondCorpの中心的な要素の一つとして、アイデンティティ・アウェア・プロキシ（Identity-Aware Proxy, IAP）がある。これは、すべてのアプリケーションアクセスを中継し、アクセス試行がネットワークレベルではなく、アイデンティティとコンテキストに基づいて認可されていることを保証する役割を担う。Google Cloud Platformでは、この機能がサービスとして提供されており、企業のアプリケーションを保護するために利用されている。

SASE（Secure Access Service Edge）

SASEは、ネットワーク機能（WAN）とセキュリティ機能（CASB, SWG, ZTNAなど）をクラウドベースで統合し、エッジコンピューティング環境で提供する新しいセキュリティ概念である。BeyondCorpの設計思想は、ZTNAコンポーネントとしてSASEアーキテクチャの主要な柱の一つを形成しており、リモートユーザーや分散環境における一元的なポリシー適用を実現する鍵となっている。企業が境界を持たないクラウド時代に移行する中で、BeyondCorpはこれらの先進的なセキュリティ概念の基礎として機能している。

由来・語源

BeyondCorpの開発は、2000年代後半から2010年代初頭にかけて発生した重大なセキュリティインシデント、特に2009年にGoogleが受けた標的型攻撃「Operation Aurora」に深く関連している。この攻撃において、Googleは従来の境界防御型セキュリティモデルの限界を痛感した。すなわち、一度外部の脅威が社内ネットワークの「境界」を突破してしまうと、内部では自由に横展開（ラテラルムーブメント）が可能となり、機密情報が容易に盗み出されるリスクがあるという点である。

この危機的な経験に基づき、Googleは「社内ネットワークは安全である」という従来の前提を完全に放棄し、いかなるアクセスもインターネット経由で発生するものとして扱う方針を決定した。これがBeyondCorpの根本思想であり、名称自体が「企業ネットワークの境界（Corporate Perimeter）を超越する（Beyond）」ことを意味している。

Googleは2011年頃からこの構想の実現に着手し、社内VPNの利用を廃止するとともに、すべてのアプリケーションアクセスをポリシーエンジンを介した認証・認可プロセスによって制御するように設計を転換した。このアーキテクチャの実現には、ユーザーのアイデンティティ、デバイスの健全性、アクセスのコンテキストを継続的に評価するための高度なインフラストラクチャが必要とされた。BeyondCorpは単なる技術製品ではなく、Googleの組織全体におけるセキュリティ文化と運用プロセスを変革する取り組みとして推進されてきた歴史を持つ。

使用例

(記述募集中)

関連用語

• (なし)