Google が提供するゼロトラスト・ソリューションであるChrome Enterprise Premium(旧称 BeyondCorp Enterprise)を紹介します。
Chrome Enterprise Premium の概要
Chrome Enterprise Premium とは
Chrome Enterprise Premium(旧称 Chrome Enterprise Premium)は、エージェントレス・VPN レスで社内 IT サービスへのアクセスを実現する、 Google のゼロトラスト・セキュリティサービスです。Chrome ブラウザの利用を前提としており、特に Google Workspace や Chromebook を社内 IT の中心に置いている組織にとって、有効なセキュリティソリューションといえます。
Chrome Enterprise Premium を用いると、インターネット VPN を使うことなく、インターネット経由で安全に社内システムや SaaS などへアクセスすることができます。また、データ損失防止(DLP)機能やフィッシング対策など、多くのセキュリティ機能を具備しています。
重要なキーワードとして、コンテキストアウェア アクセスがあります。例として「会社承認のデバイスであること」「会社の Google アカウントでログインしていること」という条件を満たしていれば社内の顧客情報システムへのアクセスを許可する、といった設定が可能です。なおかつ、 IT 管理者は VPN ルーターやゲートウェイ(プロキシ)の管理をする必要がありません。
なお旧称である BeyondCorp Enterprise の BeyondCorp は、後述のゼロトラストセキュリティを実現するために Google が開発した実装モデルを指しています。BeyondCorp を一般の組織向けに販売するプロダクトが Chrome Enterprise Premium です。
実現できること
Chrome Enterprise Premium では、以下のようなことが実現できます。
- VPN なしで Google Cloud 他のプラットフォーム上の Web アプリケーションにアクセスできるようにする
- 社内システムにアクセスできる端末を、社用端末だけに制限する
- モバイル デバイスから社内データにアクセスできるようにする
- 従業員が機密データをコピーして持ち出せないようにする
Chrome Enterprise Premium を利用すると、以下のような情報をもとにしたアクセス制御が可能になります。
- 接続元 IP アドレス
- デバイス情報
- Google アカウントや Google グループ
- サポートされているサードパーティ製品(CrowdStrike 等)からの情報
ゼロトラストセキュリティとは
前述のようにユーザーのリクエストのコンテキスト(デバイス状態、アクセス状況等、 ID とパスワードだけに頼らない各種背景情報)を判断に使ってアクセス制御を行う方式はゼロトラストセキュリティと呼ばれます。Google 社では実際に、BeyondCorp の仕組みを社内で利用し、 VPN レスなゼロトラストセキュリティを実現しているといわれています。
ゼロトラストセキュリティは、従来型の「社内と社外を境界線のファイアウォールや UTM で区切る」「社内ネットワークからのアクセスであれば安全とみなして、全て許可する」という境界型ネットワークとは、考え方が異なります。
2010 年代以降に一般的になった標的型攻撃等により、社内ネットワークにマルウェアが入り込んだり、あるいは侵入者にひとたび社内ネットワークに入り込まれると、境界型セキュリティは意味をなしません。これが、近年ゼロトラスト・セキュリティが注目されている理由です。
Chrome Enterprise Premium は Google が自社で実現したゼロトラストをサービス化したものであり、多数の実績のあるソリューションだといえます。
構成要素
Chrome Enterprise Premium は次の 4 つのコンポーネントで構成されます。
No | 名称 | 概要 | 説明 |
---|---|---|---|
01 | Identity-Aware Proxy(IAP) | マネージドのリバースプロキシ | 社内サーバなどへの接続を中継してくれる Google Cloud 上の仕組み |
02 | Identity and Access Management(IAM) | Google Cloud の権限管理機構 | Google アカウントと権限を紐づける仕組み |
03 | Access Context Manager | ルールエンジン | デバイス情報、アカウント情報、接続状況など各種背景情報からアクセス可否を判断する仕組み |
04 | Endpoint Verification | エンドポイント エージェント | ユーザーのデバイス情報を収集する Google Chrome 拡張機能 |
各コンポーネントの機能を図で表すと、以下のようになります。
この図では IAP が単一障害点(SPOF)に見えてしまうかもしれませんが、IAP は Google の高度にスケーラブルなインフラで稼働しているため、物理的には単一障害点にはならず、高い可用性を持っています。IAP の物理的な構成要素の一つである Cloud Load Balancing は月単位で 99.99% の SLA が定義されています。
また、その他の機能として Threat and Data Protection があります。Threat and Data Protection は、Chrome ブラウザの追加機能として提供され、マルウェアやソーシャルエンジニアリングなどのウェブ上の脅威に対する保護や、Data Loss Prevention(DLP)ルール、セキュリティアラート、レポートツールを提供します。
運用
ID(ユーザーアカウント)
認証に用いられる ID(ユーザーアカウント)は、gensokGoogle アカウントです。
Google アカウントは Google Workspace または Cloud Identity で管理されます。1人の個人に対して、1つの Google アカウントが発行されます。詳細は、以下の記事も参照してください。
外部 ID 連携
外部 ID 連携を用いることで、以下のような外部 ID を Google アカウントと連携して認証することもできます。
- メールアドレスとパスワード
- OAuth(Facebook、X、GitHub、Microsoft など)
- SAML
- OIDC
- 電話番号
- カスタム
- 匿名
参考 : External identities
監査ログ
デフォルトでは、アクセスポリシー違反をしたログは、全て Cloud Audit Logs により記録されます。
追加の手順を実行することで、違反ログだけでなく、すべてのリクエストを詳細にログに出力することも可能です。
ログは、Cloud Logging の Log Explorer を使うことなどによって閲覧できます。ログを Cloud Logging から BigQuery へエクスポートすることで、より深い分析も可能です。Cloud Audit Logs や Cloud Logging の詳細については、以下の記事をご確認ください。
料金
Chrome Enterprise Premium の料金
Chrome Enterprise Premium の料金は、1ユーザーあたり月額 $6 です。
Chrome Enterprise Premium の購入は、Web コンソール等からは行うことはできません。Google もしくは販売パートナーの担当営業へお問い合わせください。その際に利用人数を申請しますが、その申請アカウント数ベースで課金が行われます。
その他の課金
利用人数ベースの課金のほか、Chrome Enterprise Premium の使用に伴いデプロイされた Cloud Load Balancing などに料金が発生します。
また ID 管理のための Google Workspace や Cloud Identity(Premium の場合)のアカウント料金も、別途発生することに注意が必要です。
無料範囲
Google Cloud では Cloud IAP が無料で利用できます。
Chrome Enterprise Premium を購入しなくとも、Cloud IAP を活用することで、Google Cloud 上で稼働する Web アプリケーションへのアクセス制御や、踏み台サーバ無しでの VM へのログインなどが実現できます。以下の記事も参照してください。
技術的な詳細
ここまでは、Chrome Enterprise Premium の基本的な概念を解説しました。ここからは技術的な観点で、 Chrome Enterprise Premium の構成要素を解説します。
01. Identity-Aware Proxy(IAP)
Identity-Aware Proxy(IAP) とは
Identity-Aware Proxy(IAP)は、 フルマネージドのリバースプロキシ です。簡単に言うと、社内システムへの接続を中継してくれる、 Google Cloud 上の仕組みです。
「フルマネージド」というのは、 この仕組みが Google の管理するインフラの上で動いているため、インフラ管理・運用をする必要がないということを意味しています。
IAP が中継するのは基本的には HTTP(S)トラフィックですので、 Web アプリケーションが利用対象となります。IAP が中継を許可するかどうかは、後述の IAM や Access Context Manager で定義したルールに基づいて判断されます。つまりインターネットから社内システムへアクセスする際、ユーザー情報やデバイス情報に基づいてアクセス可否が判断されるため、社内システムを安全に利用することができます。
この仕組みにより、インターネット VPN に頼らない、セキュアなアクセスを構築できます。
他のプラットフォームへの中継
Cloud IAP は、Google Cloud 上に Google Compute Engine(GCE)や Google Kubernetes Engine(GKE)で構築された Web アプリケーションに加え、Amazon Web Services(AWS)や Microsoft Azure、オンプレミスなど、他のプラットフォーム上で稼働する Web アプリケーションにも対応しています。
他のプラットフォーム上の Web アプリを中継する場合、コネクタをデプロイする必要があります。コネクタの実体は、Cloud Load Balancing の外部アプリケーションロードバランサーと、Google Kubernetes Engine(GKE)でホストされたアプリケーションです。
コネクタから Web アプリケーションへの通信は、HTTPS などの暗号化プロトコルであればインターネット経由でもリスクは低いといえます。
HTTP などの非暗号化プロトコルの場合は、Google Cloud の VPC とオンプレミス環境が Cloud Interconnect(専用線)やインターネット VPN で接続されているべきです。
02. Identity and Access Management(IAM)
Identity and Access Management は略称を IAM といい、Google Cloud の認証・認可の管理機構です。特にクラウドサービスでは一般的な用語です。
IAM は「誰(プリンシパル、主体)が、どういった条件(コンディション)のもとで、何に対して(対象リソース)、何をできる(ロール、権限)か」というルールセットを管理します。
Google Cloud の IAM の特徴として「誰(プリンシパル、主体)が」「どういう条件(コンディション)のもとで」「何をできる(ロール、権限)」という情報を、 操作対象のリソースに設定する形になっている点が挙げられます。この紐付けをバインディング(binding) と呼びます。バインディングは IAM policy と呼ばれる、各リソースの属性として保持されます。
Chrome Enterprise Premium では、アクセス制御対象の Web アプリケーションに対して Cloud IAP 上で IAM policy を設定し、「誰(プリンシパル、主体)が」「どういう条件(コンディション)のもとで」「何をできる(ロール、権限)= どのサービスに対して接続できる」という細かいアクセス制御が実現可能です。
Google Cloud の IAM の仕組みについては、以下の記事で詳細に紹介しています。さらに深堀りして理解したい方はご参照ください。
03. Access Context Manager
Access Context Manager とは
Access Context Manager は、デバイス情報、アカウント情報、接続状況など、リクエストの背景情報からアクセス可否を判断する仕組みです。
- 参考 : Limiting access
Access Context Manager は IAM とセットで使われます。 IAM の「条件(コンディション)」として Access Context Manager が使われるイメージです。
個々の条件設定オブジェクトをアクセスレベルと呼びます。アクセスレベルでは、以下の要素を条件として利用できます。
- [A] IP アドレスレンジ
- [B] 地域
- [C] プリンシパル (主体)
- [D] デバイスポリシー
[A] IP アドレスレンジ
許可する接続元 IP アドレスを、CIDR 形式(x.x.x.x/x
)で指定できます。
IPv4 と IPv6 の両方に対応しており、パブリック IP のみを指定できます。
[B] 地域
アクセス元 IP アドレスから地理情報が判断され、指定した地域からのアクセスのみが許可されます。 条件に複数地域を指定すると、OR で判定されます。
なおパブリック IP アドレスから判定されるため、地域を条件に指定すると、Private Google Access(限定公開の Google アクセス)等を使ったプライベート IP アドレスからのアクセスは拒否されます。
[C] プリンシパル(主体)
アクセスに使われるプリンシパル(Google アカウントやサービスアカウント)です。
そもそも IAM policy は Google アカウントや Google グループ、サービスアカウントと紐付けられて作成されるので、条件の中でプリンシパルを指定することは限定的かもしれません。同じグループに紐付いている IAM policy で、プリンシパルによって条件を少し変えたい、というときに利用します。
[例]
- Google グループ
ops-grp@example.com
に対して、システム A への IAP アクセスを許可する IAM policy がある - その IAM policy の条件として以下を設定
tom@example.com
は 9:00-18:00 の時間帯でアクセスを許可mary@example.com
は 18:00-09:00 の時間帯でアクセスを許可
[D] デバイスポリシー
後述の Endpoint Verification で取得されたデバイスポリシーと合致しているかどうかを条件として設定できます。これにより、会社指定の端末以外がサービスに接続することを防いだり、セキュアでない設定の端末が、Web サービスに接続することを防ぐ事ができます。
以下の要素を条件としてチェックできます。
- スクリーンロックの強制
- ストレージ暗号化
- デバイスが管理者に承認されていること
- 会社指定のデバイスであること
- 会社指定の OS であること
04. Endpoint Verification
Endpoint Verification(エンドポイント・ベリフィケーション)は Chrome ブラウザの拡張機能(Chrome Extention)を使い、ユーザー情報や端末の情報を収集します。
つまり各 PC の Chrome ブラウザに拡張機能をインストールする必要があります。Google Workspace を利用している場合は Endpoint Verification Chrome extension を管理コンソールから一斉配布・自動展開が可能です。
その他の機能
Threat and Data Protection
前述の主要な4つの構成要素に加えて、Threat and Data Protection 機能を利用できます。
これは Chrome ブラウザの追加機能として提供され、マルウェアやソーシャルエンジニアリングなどのウェブ上の脅威に対する保護や、Data Loss Prevention(DLP、データ損失防止)ルール 、セキュリティアラート 、レポートツール を利用できるようになります。
DLP 機能 では、 Chrome 上で機密データの共有に関して警告を出したりブロックしたりします。
ファイルのアップロード・ダウンロードや、コピー&ペーストの中に、クレジットカード番号や大量のメールアドレスが含まれている場合などに当機能が働き、ブロックやアラート発報などを行うことができます。ただしこの機能は Windows、Mac、Linux、Chrome OS の Chrome ブラウザでのみ機能する ことに注意が必要です。
また、監査ログ、セキュリティ ダッシュボード、レポーティング機能も充実しています。
「Chrome の脅威対策に関する概要」「Chrome のデータ保護に関する概要」「リスクの高い Chrome ユーザー」「リスクの高い Chrome ドメイン」などのレポートを表示することができ、マルウェアの転送、危険なサイトへのアクセス、パスワードの再利用、機微なデータの転送などのアクティビティを可視化できます。
従業員の活動を Chrome ブラウザに集約・制限したうえで Threat and Data Protection をうまく活用することで、情報漏洩のリスクを下げる事が可能です。
Cloud Console / Google Cloud API へのアクセス制御
Google Cloud の Web コンソールや、gcloud コマンドライン、SDK を使った Google Cloud API へのアクセス制御を行うことができます。
この機能を使って、Google Cloud 環境の運用者や開発者に対し、接続元 IP アドレスやデバイスポリシーに基づいたアクセス制御をかけることができます。
アクセスレベルの定義に違反する運用者は、コンソール画面にアクセスできないほか、CLI や SDK を使った環境操作もできなくなります。
杉村 勇馬 (記事一覧)
執行役員 CTO / クラウドソリューション部 部長
元警察官という経歴を持つ現 IT エンジニア。クラウド管理・運用やネットワークに知見。AWS 12資格、Google Cloud認定資格11資格。X (旧 Twitter) では Google Cloud や AWS のアップデート情報をつぶやいています。
Follow @y_sugi_it