Googleが独自ゼロトラストパッケージ「BeyondCorp Enterprise」の開発に至るまで10年かかった理由:働き方改革時代の「ゼロトラスト」セキュリティ(10)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、Googleが2021年1月27日に発表した、独自ゼロトラストパッケージ「BeyondCorp Enterprise」を紹介します。
働き方改革とともに新型コロナウイルス感染症(COVID-19)対策として、テレワークに対するニーズはこの1年で大きく変化しました。企業では「Microsoft 365」をはじめとしたSaaSの活用やパブリッククラウドをインフラに活用することが進むとともに、従業員のテレワークによりオフィスネットワークの外側での業務が当たり前となりました。
情報セキュリティにおいて守るべき資産は「データ」であり、アクセスするのは「人」です。デジタルな働き方が一気に進んだ現在は、人もデータもオフィスネットワークの中に隔離できる状況ではなくなってきています。
急激なテレワークの推進でさまざまな課題が浮き彫りになる中、さまざまなセキュリティベンダーが新たなセキュリティキーワードとして取り上げたことで注目を集めたのが「ゼロトラスト」や「ゼロトラストアーキテクチャ」です。本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、ゼロトラストの目指す姿や概念について、世界中で議論されているさまざまなアイデアやコンセプトを理解し、ゼロトラストの正しい考え方を学んでいきます。今回は、Googleが2021年1月27日に発表した、独自のゼロトラストパッケージ「BeyondCorp Enterprise(ビヨンドコープエンタープライズ)」についてです。
Googleが作った、Googleによるゼロトラストの姿
BeyondCorpは、2014年にそのコンセプトが発表され、その後も継続的に「Google Cloud Platform」(GCP)上での開発が進み、Google全社に導入されるまでに至っています。現在Googleでは、世界中の約10万人の従業員全てがBeyondCorpの仕組みを利用し、ゼロトラストの考え方に基づいたネットワークシステム環境で業務に当たっています。
世界各国でVPN渋滞が発生した2020年4月には、「BeyondCorpリモートアクセス」として一部の実装を公開していました。
2021年1月27日に発表されたBeyondCorp Enterpriseの中身
本格的なクラウドシフトやさらなるテレワークの推進といった事業環境の変化は、今後もより加速したスピードで進化し続けると考えられます。ネットワークセキュリティへの依存から、ゼロトラストへの移行はこのような背景の下で注目を集めたといえます。
変化し続けるデジタルビジネス環境やサイバー攻撃の進化に耐え得るコンセプトとしてGoogleが過去10年にわたり取り組みを進めてきたBeyondCorpは、一般の組織にとってもとても魅力的なゼロトラストコンセプトです。
2021年1月27日に発表されたBeyondCorp Enterpriseは、現在Googleが使用しているゼロトラストコンセプトであるBeyondCorpを、GCPを使用している組織がサービスとして導入できるように用意されたパッケージです。
Googleが公開したブログ記事の中では、BeyondCorp Enterpriseの3つの重要なメリットとして以下を挙げています。
- 安全でエージェントレスなアーキテクチャによるスケーラブルで信頼性の高いゼロトラストプラットフォームを提供
- エンドツーエンドで継続的かつリアルタイムな保護
- オープンかつ拡張可能なプラットフォームにより、さまざまな補完ソリューションをサポート
- 参考リンク:BeyondCorp Enterprise: より安全なコンピューティング時代の到来 | Google Cloud Blog
この3つのメリットは、既存のBeyondCorpのコンセプトを基に、企業や組織がゼロトラストの導入に求める要素について拡張した内容といえます。
安全でエージェントレスなアーキテクチャによるスケーラブルで信頼性の高いゼロトラストプラットフォームを提供
BeyondCorp Enterpriseでは、利用者のデバイスからのアクセスに「Google Chrome」の利用を推奨しています。Google Chromeは標準的なブラウザとして、全世界の20億人以上に利用されていることから、Chromeを導入していれば新たなソフトウェア(エージェント)を導入せずにゼロトラスト環境にシフトできます。そのため、大量の従業員がさまざまな拠点に分散している場合などでも、最小限の労力でゼロトラストへの移行が可能です。
さらに、ゼロトラストはセキュリティをクラウドにシフトする「Security as a Service」ともいえるコンセプトです。BeyondCorpはGoogleのグローバルネットワークインフラを活用でき、世界中で確実なアクセスを実現しています。
エンドツーエンドで継続的かつリアルタイムな保護
BeyondCorp Enterpriseの大きな特徴として、Chromeに新たなデータ保護の仕組みを組み込み、データの漏えいを防ぐ機能を追加していることが挙げられます(Chrome Enterpriseが対象)。これは、意図しないコピー&ペーストなど、誤った操作によるデータ漏えいの防止、ネットワークからのマルウェア侵入の検知など、エンドポイントで発生するデータにまつわる事故を未然に防ぐ技術です。
さらに、利用者のデバイスと目的のデータを保持するアプリケーションとの間では、ゼロトラストの重要なコンセプトである継続的な認可が行われます。
オープンかつ拡張可能なプラットフォームにより、さまざまな補完ソリューションをサポート
BeyondCorpの大きな特徴として、さまざまなセキュリティベンダーやネットワークベンダーが提供するソリューションとの親和性が挙げられます。BeyondCorp Enterpriseの実現に当たり、Googleは「BeyondCorp Alliance」を発表しました。CrowdStrikeやTaniumなどのEDR(Endpoint Detection and Response)、Citrix SystemsやVMwareといった既存のサービスとの結合をサポートし、よりフレキシブルなセキュリティ環境を実現できます。
GCPの導入が前提ですが、BeyondCorp Enterpriseが今後企業や組織におけるゼロトラストの導入に当たって大きな選択肢となることは間違いありません。
10年の歴史を持つBeyondCorpとGoogleにおけるゼロトラストの取り組み
Googleのゼロトラストコンセプトであり実践的実装でもあるBeyondCorpですが、その歴史は2010年までさかのぼります。
2010年に発生した大規模な攻撃キャンペーン「Operation Aurora」では、Googleも攻撃ターゲットとされ、知的財産の窃取(せっしゅ)などの被害を確認したと報告しています。Googleはこの事件をきっかけとして、それまでの境界型防御に代わるセキュリティモデルの構築の取り組みを開始しました。
2014年には、境界型防御から脱却したセキュリティモデルである「BeyondCorp: : A New Approach to Enterprise Security」を発表しました。当時、Forrester ResearchにいたJohn Kindervag氏が2010年、既にゼロトラストのコンセプトを発表していましたが、この「BeyondCorp: : A New Approach to Enterprise Security」においても、「インターネット・内部ネットワークを区別しない」「インターネット上のアクセスプロキシで一元的にアクセスコントロールする」「さまざまなシグナルを基に認証・認可する」などゼロトラストのコンセプトが取り入れられており、Googleはこれらのコンセプトをどのように実現するかについて言及しています。
続く2016年には「BeyondCorp: Design to Deployment at Google」「BeyondCorp: The Access Proxy」を発表し、アクセスプロキシの実現など具体的なゼロトラストの実装についての取り組みを紹介していました。
2017年にはGoogleが「どのようにしてレガシー環境にBeyondCorpを適用したのか」を「Migrating to BeyondCorp: Maintaining Productivity While Improving Security」で紹介しています。テクニカルな移行方法だけではなく、ゼロトラストに移行する際の組織の管理職やステークホルダーのモチベーションやコミットメントの重要さや、グローバルバーチャルチームによる定期的なビデオ会議の開催など、組織で起こりがちな課題に対して具体的な解決策を取り上げました。技術面でもVLAN(Virtual Local Area Network)を使用して徐々に権限を制約してマイクロセグメンテーションを実現するなど、現場でゼロトラストを推進する際にお手本となる考え方を紹介しました。
また「BeyondCorp: The User Experience」では、「BeyondCorpがどのようなユーザビリティを利用者に提供しているのか」について取り上げました。
その後2020年4月にはBeyondCorpの考え方をリモートワークに限定して提供した「BeyondCorpリモートワーク」、そして2021年にはエンタープライズ組織への適用が可能なBeyondCorp Enterpriseを発表しました。
ゼロトラスト導入とその道のり
今回は2021年1月28日に発表されたBeyondCorp Enterpriseと、Googleにおけるゼロトラストの取り組みを紹介しました。
最後に、「Migrating to BeyondCorp: Maintaining Productivity While Improving Security」の、この言葉を紹介します。
There is always tension between the urgency to improve security and resistance to changing the habits of end users. When infrastructure and workflow changes threaten to impact productivity, this tension only escalates.
Achieving a balance between progress and stability is more art than science.
BeyondCorp's keys to success and acceptance were analysis, adaptive planning, and proactive communications.
(セキュリティ強化の緊急性とエンドユーザーの習慣を変えることへの抵抗感の間には、常に緊張感があります。インフラやワークフローの変更が生産性に影響を及ぼす場合、この緊張感はエスカレートするばかりです。
進歩と安定のバランスの達成に、決まった答えはありません。
BeyondCorpの成功と受容の鍵は、分析、適応性のある計画、積極的なコミュニケーションでした。)
ゼロトラストの実現には、Googleでも長いロードマップが必要でした。新たなアーキテクチャの導入は、デジタルワークスペースに関わる人々のニーズを理解し、フレキシブルな計画とコミュニケーションによって達成できます。組織の情報システムが担う役割は、オフィスオートメーションの領域を超えて、企業価値そのものの創出を担うようになってきました。
テクニカルだけではなく、そこにまつわる人との深いコミュニケーションを通して、ゼロトラストの実現を目指してはいかがでしょうか。
筆者紹介
仲上竜太
株式会社ラック
セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長
兼 サイバー・グリッド・ジャパン シニアリサーチャー
進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラストナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。
コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。
「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。