米Google(グーグル)はゼロトラストネットワークを実践するに当たって、どのようなアーキテクチャーを採用し、どのように実装を進めていったかを自ら解説している。ここでは、その論文「BeyondCorp」を基に、同社がどのようにしてゼロトラストネットワークを実践したかを見てみよう。

 BeyondCorpに関して、グーグルは2014年から2018年にかけて6本の論文を公開した。2011年の時点で境界防御モデルの限界に気づき、ゼロトラストモデルの導入が必要と判断したという。

 BeyondCorpでも情報収集、アクセスレベルの決定、アクセス制御という3つの要素を満たす構造は同じだ。情報収集の結果に応じてアクセスレベルを決定し、アクセス制御を実施する。

BeyondCorpにおける処理の流れ
[画像のクリックで拡大表示]

 このうちBeyondCorpにおいて注目したいのは、(1)デバイスインベントリーサービス、(2)信頼度推論エンジン、(3)アクセスプロキシーだ。デバイスインベントリーサービスは端末の情報を収集する仕組みであり、アクセス権限の判定に必要な情報を規定する。信頼度推論エンジンはシステムの安全を担保するための基盤である。そしてアクセス制御の中核となるのがアクセスプロキシーだ。

管理エージェントが情報を収集

 BeyondCorpでは利用者の認証にスマートフォンなどを利用した多要素認証を用い、これに加えてデバイスに電子証明書を導入してデバイス自体の正当性も検証する。さらにデバイスの情報を収集するために、管理エージェントを配布する。管理エージェントはセキュリティースキャンを最後に実行した日時やOSのバージョン、インストールされているソフトといった情報を収集する。

デバイスインベントリーサービスの全体像
[画像のクリックで拡大表示]

 デバイスインベントリーサービスでは、こうした情報をデータベースに逐次収集すると同時に、システム管理サービスや資産管理サービスと連携して事前に設定しておいた情報などを管理する。ARP(Address Resolution Protocol)テーブルのようなネットワークの情報も収集するという。

 BeyondCorpではかなりの量のデータを収集している。初期の実装では15種類のデータソースから1日に300万回収集し、データ量は80Tバイトに達したという。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。