リモートアクセスの新時代：「IAP（Identity-Aware Proxy）」のすべて

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「IAP （アイデンティティ認識型プロキシ）」です。社内システムに、社外から、さらには社内からも安全に接続できるようにする認証の仕組みです。それだけでなく、社外のクラウドシステムにもIAPを介して接続させてセキュリティを確保できます。

これは重要そうな仕組みですね！早速見てみましょう！

IAP（アイデンティティ認識型プロキシ）とは？

コロナの影響でリモートワークが増えたとこもあり、現代のビジネスではどこからでも社内システムへ安全にアクセスできる環境が求められていますね。

IAP（Identity-Aware Proxy）は、このニーズに応えるために開発された技術です。従来のVPN（Virtual Private Network）が持ついくつかのセキュリティリスクや使い勝手の問題を解決し、より柔軟かつ安全なアクセスを可能にしてくれます。

このシステムは、ユーザーの身元を確認し、適切な認証を行った上で、社内やクラウドにあるリソースへのアクセスを許可します。

従来のVPNからIAPへの移行

VPNは長年にわたり、リモートからの安全なアクセス手段として利用されてきました。しかし、VPNはその設計上、「ネットワークの境界を越えたら信頼される」という思想に基づいています。境界防御の考え方が前提になっているわけです。

これに対し、IAPは、ゼロトラストの考え方を採用しています。つまり、どのアクセスも初めから信用せず、一つ一つのアクセスリクエストを厳しく検証するのです。これにより、VPNよりもセキュアな環境を実現しようとします。

IAMとの連携プレー

IAPのもう一つの大きな特徴は、IAM（Identity and Access Management）システムとの連携です。IAPとIAMは似た概念なので混乱しがちですが…。

• IAMは「誰が何をできるか」を管理するシステムです。 これは、ユーザーの認証と権限付与を中心に展開されます。前出のアクティブディレクトリ（AD）もIAMとしての機能します。社内に設置されるのが基本でした。

• IAPは「誰がいつ、どのようにしてリソースにアクセスするか」を監視し、セキュアなアクセスを提供します。 つまり、IAMによって設定されたポリシーを実際に適用し、アクセスの試みをリアルタイムで管理・保護します。こちらはリモートアクセスへの対策ですので、クラウドベースです。

このように、IAMとIAPは連携して機能することで、企業リソースへの安全なアクセスを確保し、セキュリティを強化します。IAMが「認証と権限管理の基盤」を提供し、IAPが「そのポリシーに基づいたアクセス制御の実行者」として活動するわけです。

社内から社内システムにアクセスする場合は？

リモートアクセスで社内システムを利用するときに活躍するのが、IAPです。

しかし、社内から社内システムへのアクセスもIAPを経由して行われることがあります。内側も外側も区別しない、ゼロトラストらしい運用ですよね。

これにより、社内ネットワーク内であっても高いセキュリティを維持することができ、かつリモートワーカーでも安心して業務に取り組むことが可能になります。

ただ、理想的なゼロトラストへの移行は時間がかかりますから、実際のところ、社内から社内システムへのアクセスはIAPを経由しない運用も行われます。

IAPの導入に向けて

IAPを導入する際には、それなりにハードルがあります。

IAPの運用には、社内に「コネクタ」なる装置を設置したり、エージェントソフトウェアの導入が求められる場合があります。

とはいえ、IAPは、リモートアクセスのセキュリティを一新する技術として、多くの企業にとってセキュリティを高めるために魅力的な選択肢であることは間違いなさそうです。

これからの時代において、IAPの役割と重要性はさらに高まるのではないでしょうか？

はい、本日はここまで！今回は、VPNを脱して社内システムを外から利用できるようにしようという「IAP」のお話でした。