<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=445779107733115&amp;ev=PageView&amp;noscript=1">

BeyondCorp Enterprise での
社内システムへのアクセス管理

 2021.10.01  2021.12.23

今回は、アクセス管理をテーマとして、従来の境界線モデルの管理に触れつつ、 BeyondCorp Enterprise のアクセス管理について、ご説明したいと思います。

境界型のセキュリティモデルでは、VPN(Virtual Private Network) を使って社内ネットワークにアクセスしますが、アカウントやデバイスの管理は、各々個別におこなうことが多く、管理が煩雑になり、運用担当者に負担がかかります。

社内アプリケーションの利用を目的とした場合、VPN ではネットワークごとの認可となるため、目的より広範囲のアクセスが可能となってしまいます。管理をおこなうには、ネットワーク全体の把握が必要になりますので、必然的に幅広い知識とスキルが求められました。

今回は、境界線モデルの課題として挙げた、アカウントとデバイス、およびアクセス管理、このの3つの側面から、BeyondCorp Enterprise について、ご説明します。

アカウント管理

VPN利用における多くの場合、専用のアカウント管理が必要ですが、BeyondCorp Enterprise では、Google Workspace で利用する IDとエンドポイント管理がサービス化された Cloud Identity で管理をおこないます。

BeyondCorp Enterprise での社内システムへのアクセス管理-01

Cloud Identity では、ユーザのライフサイクルおよび、組織部門・グループの管理ができます。また、Microsoft Active Directory など他のディレクトリサービスと同期することができるため、運用管理の負担を大きく軽減することもできます。

Goolge Workspace でのアカウント管理は、過去のブログにポイントをまとめておりますので、是非ご確認ください。

花王株式会社様 導入事例
freee株式会社様導入事例

デバイス管理

上記でも述べましたが、 Cloud Identity では、アカウントに加えデバイス(エンドポイント)の管理もおこなうことができます。BeyondCorp Enterprise では、Cloud Identity のエンドポイントの情報に基づき、アクセスポリシーを設定します。

BeyondCorp Enterprise での社内システムへのアクセス管理-02

管理者は、業務用のアカウントにアクセスする場合、Chrome の拡張機能である Endpoint Verification の使用をユーザに求めます。

BeyondCorp Enterprise での社内システムへのアクセス管理-03

Endpoint Verification を有効にすると、パスワードや暗号化のステータス、シリアル番号など、デバイスの詳細が確認できるようになります。

BeyondCorp Enterprise での社内システムへのアクセス管理-04

BeyondCorp Enterprise では、Endpoint Verification で取得したデバイスの位置情報やセキュリティステータスなどの属性に基づき、アプリケーションへのアクセス制御をおこないます。

アクセスポリシー管理

BeyondCorp Enterprise での社内システムのアクセス管理は、Google Cloud でおこないます。アクセスポリシーは、Access Context Manager で管理し、Identity-Aware Proxy (IAP)で適用します。

1.Access Context Manager

Access Context Manager は、Google Cloud のプロジェクトとリソースに対して、属性ベースのきめ細かいアクセス制御を定義することができます。組織全体の機能のため、そのプロジェクトだけでなく組織内の任意の場所でポリシーを使用することができます。

BeyondCorp Enterprise での社内システムへのアクセス管理-05

※アクセスレベルの条件

  • IP サブネットワーク
  • 使用可能なリージョン
  • デバイスポリシー
    • 画面のロック
    • 管理者の承認が必要 ※①
    • 会社所有のデバイスが必要
    • ストレージの暗号化 ※②
    • オペレーティング システム ポリシー ※③
  • アクセスレベルの依存関係

上記のアクセスレベルの条件からもわかるように、Access Context Manager では、既存のVPNでよく利用しているIP・デバイスのアクセス制限に加え、BYOD向けのポリシー設定が可能です。① 管理者の承認を受け ② 暗号化された ③ 一定以上のOSのバージョン からのアクセスのみ許容する、といったポリシー制御が可能となります。

※BYOD(Bring Your Own Device)とは、従業員が個人保有の携帯用機器を職場に持ち込み、それを業務に使用することです。

尚、アクセスポリシーは、Google Workspace のエンタープライズエンドポイント管理である、コンテキストアウェアアクセス でも 同じアクセスポリシーが適用可能です。

BeyondCorp Enterprise での社内システムへのアクセス管理-06

2.Identity-Aware Proxy (IAP)

アプリケーション毎のアクセスポリシーの適用は、Identity-Aware Proxy (IAP)でおこないます。IAP でのアクセスポリシーの適用は、前回のブログに記載しておりますので、ここでは割愛させていただきます。

Google Cloud 事例
Google Cloud

まとめ

いかがでしたでしょうか?

VPN では煩雑になっていたアカウントやデバイスの管理が、Cloud Identity で集約管理できます。アクセス管理でも、Google Workspace とアクセスポリシーを共用しているので、Google Workspace の管理コンソールで、統合的な管理をおこなうことができます。

既に Google Workspace を導入している企業様では、新たな管理に伴う運用の負担も少ない為、素早い導入が可能です。VPN から一斉に切り替えるのはハードルが高いので、まずは概念実証(Proof of Concept)で、 VPN と BeyondCorp Enterprise の、並行利用を試してみてはいかがでしょうか?

次回は、BeyondCorp Enterprise 概念実証の流れ について、お話したいと思います。

GCP 技術コンサルティング

RELATED POST関連記事


RECENT POST「Google Cloud(GCP)」の最新記事


Google Cloud(GCP)

Beyond Corpとは?

Google Cloud(GCP)

Google WorkspaceにアクセスできるAPIを解説

Google Cloud(GCP)

Google Workspaceで実現できるアクセス制御

Google Cloud(GCP)

BeyondCorp Enterprise で場所を問わずに社内システムに接続する

BeyondCorp Enterprise での社内システムへのアクセス管理