Google Cloud:ゼロトラストについてIT未経験者向けに解説します
目次
1.ゼロトラストとは
2.これまで/これからのIT環境
3.クラウドの役割
4.まとめ
ゼロトラストとは
ゼロトラストを一言で簡潔にお伝えすると(私なりに)、
「場所を問わずIDで管理するネットワーク環境」になります。
おそらく、この文面だけでは非エンジニアの方やIT関係者ではない方は「???」かもしれません。(もちろん私も勉強するまでは同じでした?)
ただ、この一言には多くの重要な要素が詰まっています。
まずは、これまでの企業内のIT環境/ネットワーク環境を知り、その次に本題であるゼロトラストについて深ぼっていきましょう。
また、「Googleが生んだ最強のセキュリティ-ゼロトラスト」を題材に記事にしていくので、所々でGoogle Cloudで使われている技術を踏まえながら解説していければと思います。
(Google Cloudはいわゆるクラウドと言われるもので、企業でITを管理せずにGoogleから今まで使っていたIT環境を借りて企業で運用していくようなイメージです)
これまで/これからのIT環境
まずは、ゼロトラスト以前の企業内のIT環境/ネットワーク環境を見ていきましょう。
いわゆる境界型防御と言われる在り方で、社内のネットワークをファイアウォール(以後、FW)で守りを固め、社内は安全ですよ?と定義していました。
逆に社外にあるインターネットは危ないから外への対策は徹底的にしようね!!という考え方のもと、ネットワーク環境が構築されていました。
と言われましても、やはり普段からIT関係の仕事や勉強をしていないと分かりにくいですよね、、、1つ1つ解説していきます。
企業内のIT環境/ネットワーク環境
みなさんも会社の中にいる時に社用のパソコンや携帯、プリンターを使いますよね!!
その時に無線wifi(携帯やノートPC)や有線LANケーブル(PCやプリンタ)でネットワークに繋げるはずですが、その繋げた先が社内ネットワークになります。
いわゆる社内のネットワークなので、社内LANとも呼ばれたりしています。
そして、一度自分のPCのアカウントなどで社内LANにアクセスしてしまえば、プリンターや業務用のアプリにアクセスする時に認証をしなくても簡単にアクセス出来ることと思います。(今はどんどん世の企業もゼロトラストへの移行も始まっているため、あくまでも前のIT環境の説明です)
これが企業内のネットワークです。
境界型防御とファイアウォール(FW)
境界型というのは言葉の通り、外(インターネット)との境界線を作り壁(境界線)で社内LANを守るということ。そして、この壁の役割を担うのがFWにあたるわけです。
つまり、社内LAN⇔社外のインターネットへアクセス(戻りの通信も)する時には必ずこのFWを通らなければ外(インターネット)にアクセス出来ないのです。
一旦、図にしてみましょうか!
図1.境界型防御のアーキテクチャ
少しイメージが持てましたか、、?
あとわかりやすい例えでというと、城=社内、門=FW、城壁や門の外=インターネットこのように想像してください!!
ネットワーク環境
ネットワーク環境というのは、今説明してきたような企業が使うIT環境そのものと言い換えることができるかなと思います。
パソコン、携帯、プリンター、業務用の大きいサーバー...etc。これらは全て社内のネットワーク環境があるからこそ安全に使用できていました。
ここでGoogle Cloudの登場です。
Google Cloudにはネットワーク環境を整えるためにVPCとサブネットと言われるリソースが存在しております。(リソースと言うのはGoogle Cloudで使えるIT環境達になります、わかりやすく単純に言えばGoogleから借りるのサーバーのこと、これらはWEBで遠隔から操作します)
まぁGoogleのみならず、このVPCとサブネットという概念は3大クラウド(Google Cloud ,AWS ,Azure)全てに存在しています。
ではゼロトラストとこのクラウドは繋がるのか??個人的には超絶YESです。なぜなら、クラウドを利用するにはWEBでの操作が基本となり、使うためにはIDの認証が必須になります。
冒頭でお伝えした「場所を問わずIDで管理するネットワーク環境」と繋がるわけです。
そして企業で管理していた社内LANからクラウドに移行するにあたり、ネットワーク環境を構築するため必要なのがVPCとサブネットなのです。(クラウドに移行することもゼロトラスト環境への移行とも捉えられると思います)
ここでも一旦イメージ図を載せておきましょうか!!
図2.VPCとサブネットの概要
ネットワーク環境をクラウドに全て移行する場合とオンプレミス(今までの企業内ネットワーク環境)を繋げて併用して運用していくハイブリット環境が存在しますので、そちらも覚えておきましょう。
VPNアクセスとIAP
物理的な社外(自宅やカフェ)から社内LANにアクセスする時に使うのがVPNです。
リモートワークの方は何となく聞いたことがあるのではないでしょうか??
この技術は、FWのように社内と社外の境界線としてVPN装置を置き、そこに自宅などの物理的な社外から社内LANにアクセスする時に使用します。
図3.VPNのアーキテクチャ
Google Cloudで言うとIdentity Aware Proxy(以後、IAP)というリソースがこのVPN装置の代わりになります。
そして、このIAPこそがゼロトラストを代表するかのような役割を担うリソースとなるのです。今まで使用していたVPN装置は自社で管理しなければならならず、装置自体の管理/運用が必要になります。
図4.IAPのアーキテクチャ
また、大企業になると社員の人数も増え、社外(リモートワークや営業先..etc)からこのVPNにアクセスすることが多くなり社外⇔VPN装置までのネットワーク経路がひっ迫(圧迫)してしまい、通信が遅くなるなどの弊害が出てきます。
ここで自社でVPNを運用する場合のデメリットをまとめてみましょう。(IAPとの比較のためとりあえずデメリットのみにしておきます)
VPNのデメリット
人数が増えるにつれ装置の数も増やす必要がある
VPN導入には自社での環境構築が必要
外から使う側(クライアント)にも環境を構築する必要がある
遅延などはインターネット環境の影響を受ける
ざっと思い当たるのを挙げましたが、VPNの運用をした事のない私が思いついた事なので実際にはもっとあるかも知れません。(メリットデメリット含め)
ということで次はIAPの特徴をみていきましょう。
IAPの特徴(主にメリット)
人数が増えてもIAP装置を増やす作業は不要
IAP導入には自社での環境構築がほぼ不要(一部企業LAN内に仕込むプロキシと言われる仲介役装置が必要)
IAP導入による初期費用が不要(クラウドの特徴である従量課金制のため)
IDを基盤に認証するため、アプリごとにアクセスを制御できる
色々なユーザーの条件に基づいてアクセスを制御できる(場所やIPアドレス、PCの状態など)
色々と挙げましたが、1番重要な項目は
IAPデバイスの管理が不要でIDで認証して、VPNなしでも外部インターネットから安全にアクセスできる。
まずこの特徴を覚えておくとエンジニアとの会話や客先での話も通じるかと思います!!
それに付随して、コスト面も重視する企業さんであれば管理/運用のコスト削減に繋がることや初期構築の費用がかからない、などを理解しておくと良いと思います。
また、社内→社外、社外→社内、社内→社内の全てのアクセスをインターネットに存在するIAPを通過させるというアーキテクチャも取れるため、この辺りの理解が進むとゼロトラストの意味も理解出来てくるのではないかな、、?と思います。(自分自身まだまだですので)
まとめ
ということで、ゼロトラスト以前の企業内のIT環境/ネットワーク環境はFWとVPNがあってこその境界型防御だったんだな〜と一旦覚えてください。
企業外部からのアクセスについては、VPNデバイスよりもゼロトラストを代表するIAPを使うのが理想的なんだな〜と覚えてください。
何となくゼロトラストの概念くらいはお分かり頂けたでしょうか??
「このIT商品、このITリソースを使えばゼロトラストを構築できる」という訳ではなく、その企業にあったゼロトラストに必要なIT商品/ITリソースをうまく取捨選択して導入していく事をゼロトラストと呼ぶ事になります。
よって、ゼロトラスト環境の構築の正解はそれぞれの環境に起因し、複数の回答があるという認識を持つと良いかも知れません。
最後に
効率の良いダイエット【食事編】
ダイエットで食事管理が必須なのは、周知の事実かと思います。
ではどのような食事が効率よくダイエットに効果があるのか??簡単に説明します。
結論を言うと、、、1日の食べるKcalを消費したKcalよりも低くする!!!です。
いやいや、ちょっと待てと。そんなんただのカロリー制限やないかい。と思った方、正解です。
ただ、カロリー制限にもちゃんとした順序があるのです。それを箇条書きで説明します!
現状の基礎代謝と活動代謝(動いた分消費したkcal)を計算し把握する=1日の消費kcal
現状の摂取kcalが多ければ少なく、少な過ぎれば多く、と調整する
【現状の消費Kcal - 摂取kcal = 200~500kcalで消費kcalの余を出すようにする
まとめると、食べるkcalよりも、消費するkcalを200~500kcal多めにすると、1ヶ月後には2kg~5kgは痩せてるよ!!!って事です?(振れ幅は人による)