Googleがリモートワークを支援する「BeyondCorp Remote Access」を提供、ゼロトラストのセキュリティを実現可能

新型コロナウイルス感染症(COVID-19)の感染拡大によるリモートワーカーの増加に応えるため、Googleが「BeyondCorp Remote Access」の提供を開始しました。BeyondCorp Remote Accessはゼロトラストと呼ばれる次世代のセキュリティ概念に基づいたシステムであり、社内外におけるセキュリティ強度を低コストでそろえることができます。

Keep your teams working safely with BeyondCorp Remote Access | Google Cloud Blog
https://cloud.google.com/blog/products/identity-security/keep-your-teams-working-safely-with-beyondcorp-remote-access

Google rolls out BeyondCorp Remote Access for browser-based apps | ZDNet
https://www.zdnet.com/article/google-rolls-out-beyondcorp-remote-access-for-browser-based-apps/

従来からリモートワークに利用されてきたVPNは、クライアントからの接続がVPNサーバーに集中するため、短期間における利用者の増加に対応することが難しかったほか、ネットワークの知識がない利用者にとっては設定が複雑であるという問題点があったとのこと。さらに、VPNやファイアウォールのような、ネットワークの「外」と「内」を明確に分ける境界型のセキュリティモデルでは、一度攻撃者にネットワーク内への侵入を許すと被害が拡大するといった問題もありました。

従来の境界型のセキュリティモデルに代わる次世代の概念が「ゼロトラスト」です。ゼロトラストはネットワーク内外の区別を廃止し、すべてのアクセスを個別に検証するという概念。Googleではゼロトラストの概念をもとに、「VPNを使用しなくてもすべての従業員が『信頼できないネットワーク』を通じて働けるようにする」ことを目的として、2011年から「BeyondCorp」と呼ばれるプロジェクトが進められており、これまでにシングルサインオンを実現する「Cloud Identity」や、ユーザーIDや接続元の端末、IPアドレスなどにもとづいてアクセスの可否を判断する「コンテキストアウェアアクセス」による認証を可能にする「Access Context Manager」などがGoogle Cloudに実装されてきました。

BeyondCorpで実装されてきたCloud Identityなどのさまざまな機能を組み合わせた製品が「BeyondCorp Remote Access」とのこと。BeyondCorp Remote Accessによって、クラウドやオンプレミスで運用されるウェブアプリケーションに対し、個別でコンテキストアウェアアクセスに基づいた認証を設けることが可能になり、従来のVPN接続を利用する必要がなくなるとのこと。

例えば「最新バージョンのOSを使用している時のみ、人事採用担当者は自宅のPCでもウェブベースの文書管理システムにアクセスできる」ようにしたり、「タイムカードアプリケーションは誰もがどんなデバイスからでもアクセスできる」ように設定したりすることができるそうです。

BeyondCorp Remote AccessはGoogleは「BeyondCorpは、オフィス内と同じようなユーザーエクスペリエンスと生産性を、オフィス外で必要とされる高度なセキュリティとコントロールとともに提供します」とコメントしています。