Google、クラウドネイティブ向けセキュリティの枠組みを示す「BeyondProd」発表。ホワイトペーパーを公開

企業向けネットワークにおける先進的なセキュリティの考え方の1つに「ゼロトラスト」があります。

従来の典型的なネットワークセキュリティの考え方は、企業の外側と内側をファイアウォールで区切り、インターネットなどの外側からのアクセスは信頼できないものとして認証などを行って信頼できる通信のみを通過させ、ファイアウォールの内側の通信は信頼できるものとして扱う、というものでした。

しかしファイアウォールの内側であっても悪意あるアクセスが行われる可能性があります。それはパスワードなどを盗むことで侵入に成功した攻撃者やマルウェアであったり、悪意のある従業員そのものであったりと、さまざまな要因が考えられます。

つまりファイアウォールを用いたセキュリティの考え方では、ファイアウォールを突破されてしまったときに大きな被害の発生がありえるのです。

そこで、いま注目されているのが「ゼロトラスト」セキュリティモデルというわけです。

ゼロトラストセキュリティモデルは、その名前が示すようにすべてのネットワークを通じたアクセスは信頼できないものとして扱い、必要に応じて認証などを通じて信頼性を検証し、そのつど最小限の権限などを与える、といったものです。

ファイウォールによるセキュリティの構築よりも複雑な実装になりますが、インターネット経由での企業へのアクセスが柔軟に行えるようになるなどの側面もあります。

Googleは、以前からこのゼロセキュリティモデルを用いた企業向けの枠組みと実装「BeyondCorp」を提供しており、今回、それをさらにクラウドネイティブなアプリケーションに対応させた「BeyondProd」を発表しました。

Googleは「BeyondProd」を「 A new approach to cloud-native security」（クラウドネイティブセキュリティのための新しいアプローチ」と紹介。そしてBeyondProdはBeyondCorpの延長線上にあるセキュリティモデルであると、次のように説明しています。

BeyondCorp applied zero-trust principles to define corporate network access. At the same time, we also applied these principles to how we connect machines, workloads, and services. The result is BeyondProd.

BeyondCorpはゼロトラストの原則を適用して企業のネットワークアクセスを定義したものです。と同時に、私たちはこの原則をマシン、ワークロード、サービスにも適用しました。その結果がByondProdです。

公開されたのはBeyondProdについて説明されたドキュメントであり、Googleがこれをなぜ発案し、どのように実装しているのかの概要が綴られています。

いま多くの先進的な企業がマイクロサービスアーキテクチャなどによってクラウドネイティブなシステムを実装しようとしているところです。このBeyondProdのドキュメントはその実装におけるセキュリティの実装において参考になるドキュメントとなりそうです。