ビヨンドコープとは?
BeyondCorpとは?
BeyondCorp®はGoogleで開発された サイバーセキュリティアーキテクチャで 、アクセス制御を従来のネットワーク境界から個々のデバイスやユーザーに移行します。その目的は、ユーザーが組織のリソースにアクセスするために仮想プライベートネットワーク(VPN)を使用することなく、いつでも、どこでも、どのデバイスでも安全に仕事ができるようにすることです。
組織がBeyondCorpを利用する理由
数年前、組織はすべてのアプリケーションとデータをオンサイトのデータセンターに保管していました。彼らが使っていたセキュリティ・モデルは、悪いものはすべて境界の外にあり、境界の内側にあるものはすべて信頼できるという考え方に基づいていました。しかし、境界防御を迂回する攻撃者は、横方向への移動で目標を素早く前進させることができ、防御プロトコルに遭遇することはほとんどありませんでした。
ビヨンドコープは、"何も信用できないとしたら、どのようにセキュリティを設計するのか?"という問いを投げかけることで誕生しました。言い換えれば、内部ネットワークが公衆ネットワークと同様に信頼されていないとしたら、どうやってアプリケーションを保護するのでしょうか?
このため、多くの組織がセキュリティに対するアプローチを全面的に見直し、オンプレミスのデータセンター、Google Cloud Platform(GCP™)、Amazon Web Services(AWS®)、Microsoft Azure®などのクラウドサービス、Box.comやOffice 365®などのSaaS型アプリケーションなど、複数の異なる環境で一貫してセキュリティポリシーを適用する新しい方法を模索するようになりました。
BeyondCorpの仕組み
ビヨンドコープの最も重要な信条は2つあります:
ネットワークやアプリケーションへのアクセスを制御します:BeyondCorpでは、個人やデバイスにネットワークへのアクセスを許可するかどうかの判断は、すべてアクセス・コントロール・エンジンによって行われます。このエンジンは、すべてのネットワークリクエストの前に配置され、各リクエストのコンテキスト(ユーザーID、デバイス情報、位置情報など)、およびアプリケーション内の機密データの量に基づいて、ルールとアクセスポリシーを適用します。組織に対して、ユーザーの身元を確認し、許可されたユーザーであることを確認し、ルールとアクセス・ポリシーを適用するための自動化されたスケーラブルな方法を提供します。しかし、効果的なセキュリティを確保するには、アクセス制御だけでは不十分です。
視認性:ユーザーが組織のネットワークやアプリケーションにアクセスした後は、組織は継続的にすべてのトラフィックを表示および検査して、不正な活動や悪意のあるコンテンツを特定する必要があります。そうしないと、攻撃者はネットワーク内を簡単に動き回ることができ、誰にも知られずに好きなデータを取ることができます。
ビヨンドコープとゼロ・トラストとの関係
ゼロトラストとは、組織が資産をよりよく保護できるように、ネットワークから信頼の概念を取り除くITセキュリティモデルで、多くの人が知っています。ゼロ・トラストと クラウドのゼロ・トラストでは、組織のインサイダーであろうと外部であろうと、すべての人が(大手アドバイザリ企業Forrester Researchの定義による)セキュリティのいくつかのステップを経ることが要件となります:
場所を問わず、ユーザーがすべてのリソースに安全にアクセスできるようにします。
最小限のアクセス権戦略を使用し、アクセス制御を厳格に実施します。
すべてのトラフィックの検査と記録
BeyondCorpは、ゼロ・トラスト実装を構築するための基盤を提供します。エンドポイントからのすべてのトラフィックが信頼できるもの、あるいはデータにとって安全なものであると推測してはならないからです。このため、BeyondCorpを実装する組織は、 ゼロ・トラスト原則の 実装も検討し、リスクをさらに軽減する必要があります。
さらに読む
