全2616文字
PR

 ゼロトラストネットワークの実現方法は多様であり、正解は1つではない。だが他社の事例は参考になる。そこでここではグーグルが公開した論文「BeyondCorp」を基に、同社がどのようにしてゼロトラストネットワークを実践したかを見てみよう。

 BeyondCorpに関して、グーグルは2014年から2018年にかけて6本の論文を公開した。2011年の時点で境界防御モデルの限界に気づき、ゼロトラストモデルの導入が必要と判断したという。

 BeyondCorpでも情報収集、アクセスレベルの決定、アクセス制御という3つの要素を満たす構造は同じだ(図3-1)。情報収集の結果に応じてアクセスレベルを決定し、アクセス制御を実施する。

図3-1●BeyondCorpにおける処理の流れ
図3-1●BeyondCorpにおける処理の流れ
データソースから収集した情報に基づいて、信頼度推論エンジンで信頼度を推論し、適切なアクセス権を設定する。その設定に基づいてリソースへのアクセスをゲートウエイで制御する。グーグルが公開した論文を基に本誌が作成。
[画像のクリックで拡大表示]

 このうちBeyondCorpにおいて注目したいのは、(1)デバイスインベントリーサービス、(2)信頼度推論エンジン、(3)アクセスプロキシーだ。デバイスインベントリーサービスは端末の情報を収集する仕組みであり、アクセス権限の判定に必要な情報を規定する。信頼度推論エンジンはシステムの安全を担保するための基盤である。そしてアクセス制御の中核となるのがアクセスプロキシーだ。

管理エージェントが情報を収集

 BeyondCorpでは利用者の認証にスマートフォンなどを利用した多要素認証を用い、これに加えてデバイスに電子証明書を導入してデバイス自体の正当性も検証する。さらにデバイスの情報を収集するために、管理エージェントを配布する(図3-2)。管理エージェントはセキュリティースキャンを最後に実行した日時やOSのバージョン、インストールされているソフトといった情報を収集する。

図3-2●デバイスインベントリーサービスの全体像
図3-2●デバイスインベントリーサービスの全体像
アクセスするデバイスには管理エージェントを組み込み、デバイスの情報を収集する。これと事前に設定した情報を合わせて信頼度を決める。
[画像のクリックで拡大表示]

 デバイスインベントリーサービスでは、こうした情報をデータベースに逐次収集すると同時に、システム管理サービスや資産管理サービスと連携して事前に設定しておいた情報などを管理する。ARPテーブルのようなネットワークの情報も収集するという。

 BeyondCorpではかなりの量のデータを収集している。初期の実装では15種類のデータソースから1日に300万回収集し、データ量は80Tバイトに達したという。