Google が開発した ゼロトラストの実装事例 。VPN を完全に廃止し、すべての社内アプリへのアクセスを ID・デバイス・コンテキストで動的に検証する。
経緯
- 2009 年 : 中国を発信源とする APT 攻撃 Operation Aurora で Google が侵害される
- 2011 年 : 「ネットワーク境界はもはや守れない」と判断、BeyondCorp プロジェクト開始
- 現在 : Google 社員の ほぼ全員が日常的に使用
特徴
- VPN を完全に廃止
- すべての社内アプリを 「公開 Web アプリ」として再設計
- Identity-Aware Proxy(IAP) が PEP として機能
- 社員は どこからでも、どのネットワークからでも 同じ手順でアクセス
- 内部・外部ネットワークの区別をしない(両方とも非信頼扱い)
「Googler の全員が、信頼できないネットワークから VPN なしで仕事する」 — これが BeyondCorp の到達点。
商用版 — BeyondCorp Enterprise
GCP の有償サービスとして他組織でも利用可能。 Identity-Aware Proxy(IAP) + Google Identity Platform + デバイス検証を組み合わせて、ゼロトラストアクセスを実現する。
関連用語
- ゼロトラスト — BeyondCorp が体現するセキュリティモデル
- ネットワーク境界モデル — BeyondCorp が置き換えた古いモデル