全2410文字
PR

 ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第4回は、オンプレミスのアプリケーションを社外から利用可能にする「アイデンティティー認識型プロキシー(IAP)」を取り上げる。セキュリティー強化と同時に、脱VPN(仮想私設網)も図れる技術だ。

 アイデンティティー認識型プロキシー(IAP)は、ユーザーとアプリケーションの間に入って通信を仲介するプロキシーである。オンプレミスに「コネクター」と呼ぶサーバーを設置すると、コネクターとIAPが連携して、オンプレミスにあるアプリケーションがインターネット経由で利用可能になる。通信はIAPが暗号化するため、インターネット経由でも安全にアプリケーションを利用できる。

アイデンティティー認識型プロキシー(IAP)の仕組み
アイデンティティー認識型プロキシー(IAP)の仕組み
[画像のクリックで拡大表示]

 「アイデンティティー認識型」と呼ばれるのは、ユーザーがアプリケーションにアクセスするたびに、アイデンティティー&アクセス管理(IAM)と連携して認可をやり直すためだ。不正アクセスが疑われる場合は多要素認証などもやり直す。

表 アイデンティティー認識型プロキシー(IAP)の主な機能
機能概要
コネクターIAPとアプリケーションの通信を中継するサーバーでオンプレミスやIaaS内に設置する。コネクター側からクラウドにあるIAPにアウトバウンドの通信を始める
エージェントエンドユーザーの端末にエージェントソフトウエアをインストールすると、HTTPS以外のプロトコルでもIAP経由でアプリケーションにアクセスできるようになる
IAM連携IAP経由でのアプリケーション利用の認可をアイデンティティー&アクセス管理(IAM)によって行う仕組み。IAMの機能によっては、ユーザーの属性や日時、場所、端末の状態、接続先のアプリケーションなどを総合的に見てアクセスの可否を判断するコンテキスト認証を実施したり、多要素認証を求めたりできる
名前解決オンプレミスのDNSを使って名前解決をしているアプリケーションであっても、インターネット越しにIAPを通じて接続できるようにする
RDP変換Akamai Enterprise Application Access(EAA)が備える機能で、Windowsのリモートデスクトップ接続をWebブラウザーから利用可能にする。コネクターがRDP、 SSHでホストに接続して得た画面情報をWebページに変換する

 IAPはゼロトラストにおいて、アプリケーションを保護する上で核となる存在である。ゼロトラストはネットワークやユーザー、デバイスを「信頼しない」という考え方である。従来は社内ネットワークは「安全」と判断し、社内ネットワークからアプリへのアクセスをいつでも許可していた。それに対してIAPは、アプリへの「関所」となり、アクセスをすべてチェックして可否を判断する。社内ネットワークからのアクセスだからといって信頼はしない。調査会社の米Gartner(ガートナー)はIAPを「ゼロトラスト・ネットワーク・アクセス(ZTNA)」と呼んでいる。

VPNとは大きく2つの点で違い

 IAPはVPNに代わる社内アプリへのリモートアクセス手段として注目されている。IAPとVPNの違いは大きく2つある。

 第一の違いは、VPNが社内ネットワークへのアクセスを制御する手法であるのに対して、IAPがアプリを防御する手法である点だ。VPNにおいてはユーザーは一度社内ネットワークに入ってしまえばその後はノーチェックとなり、社内ネットワークにあるすべてのサーバーに対してアクセスが可能となる。それに対してIAPでは、アプリにアクセスするのはコネクターであり、ユーザーは社内ネットワークにあるリソースに直接アクセスはできない。またIAPにおいてはアプリへのアクセスがあるたびに、そのアクセスに対して認証/認可が行われる。

 第二の違いは、VPNのゲートウエイ(終端装置)は外部からアクセス可能にする必要があるのに対して、IAPのコネクターはそうではない点だ。VPNを運用する場合は、インターネットと社内ネットワークの境界にDMZ(DeMilitarized Zoneの略。非武装地帯)を設けてVPNゲートウエイをそこに配置したり、外部からの通信がVPNゲートウエイに届くようにファイアウオールに“穴”を開けたりしてやる必要がある。それに対してIAPのコネクターはファイアウオールの内側で運用可能であり、ファイアウオールに穴を開ける必要も無い。IAPのコネクターからインターネットにあるIAPに対して通信を開始するためだ。

 つまりIAPはVPNと比べてセキュリティーを強化できるだけでなく、イントラネットやファイアウオールの設定を変えずに済むという点で、VPNよりも導入が容易であると言える。