BeyondCorp Enterpriseとは?Googleが10年かけて育てたゼロトラストの原点 🔍
実は「ゼロトラスト」という考え方そのものが、Google社内の取り組みから広まりました。その成り立ちを知ると理解が深まります。
1. BeyondCorp Enterpriseとは何か(基礎の定義)
BeyondCorp Enterpriseは、Google Cloudが提供するZTNA(ゼロトラストネットワークアクセス)サービスです。ZTNAの基本的な考え方を、もっとも早く実践した取り組みのひとつが元になっています。
もともと「BeyondCorp」は、製品名ではなくGoogle社内のセキュリティの取り組みの名前でした。2011年ごろ、Googleは「社内ネットワークの中にいるから安全」という前提を捨て、社員がどこからアクセスしても同じように本人確認とデバイス確認を行うしくみを作りました。これが10年近くかけて磨かれ、2020年に「BeyondCorp Enterprise」として外部の企業も使える製品になりました。
つまりBeyondCorp Enterpriseは、ZTNAという考え方そのものの「生まれ故郷」を製品化したものだと言えます。
2. 仕組み:「会社の建物」ではなく「文脈」で判断する
従来の社内ネットワークは、会社の建物に置き換えると分かりやすいです。社員証で建物に入れたら、あとは中のどの部屋にも比較的自由に出入りできる、というイメージでした。
BeyondCorp Enterpriseは、この前提を「毎回、その場の状況(コンテキスト)を見て判断する」方式に置き換えます。
BeyondCorp Enterpriseが見ている文脈の例:
- 誰が(ユーザーのID・所属部署)
- どの端末で(会社が管理しているパソコンか、OSは最新か)
- どこから(国・IPアドレス・いつもと違う場所か)
- 何にアクセスしようとしているか(社内のどのアプリか)
これらの文脈をすべて組み合わせて、Googleのクラウド側にあるポリシー(規則)と照らし合わせ、「このアクセスは許可してよいか」をその都度判定します。判定はアクセスのたびに行われるため、一度ログインしたらずっと自由、という状態にはなりません。
Google Workspace(Gmail、Googleドライブなど)やGoogle Cloudをすでに使っている組織であれば、社員のIDやデバイス情報がもともとGoogle側に登録されているため、BeyondCorp Enterpriseの判定にそのまま活用できるのが大きな利点です。
3. 他のZTNA製品との違い
| 項目 | BeyondCorp Enterprise(Google) | ZPA(Zscaler) | Cloudflare Access / WARP |
|---|---|---|---|
| 立ち位置 | ZTNAという考え方の原点を製品化 | ZTNA専業のセキュリティベンダー | CDN・ネットワーク基盤からの拡張 |
| 強み | Google Workspace/Cloudとの統合が強み | アプリ単位の細かいアクセス制御に特化 | 世界中の拠点による低遅延な処理 |
| 向いている組織 | Google Workspaceを中心に使う組織 | 大規模・複雑な社内システムを持つ企業 | すでにCloudflareの他サービスを使っている組織 |
(ZPAの記事、Cloudflare Access / WARPの記事も参考にしてください。)
3製品とも「常に確認する」「最小限だけ許可する」という原則は同じです。BeyondCorp Enterpriseの個性は、Googleのエコシステム(Workspace・Cloud)に深く根ざした文脈判断ができる点にあります。
4. まとめ
- BeyondCorp Enterpriseは、Google社内の取り組み「BeyondCorp」を製品化したGoogle CloudのZTNAサービス
- 「会社の建物に入れたら安全」という前提を捨て、ユーザー・端末・場所などの文脈をアクセスのたびに判定する
- Google Workspace/Cloudをすでに使っている組織であれば、既存のID・デバイス情報を生かしやすい
ZTNA全体の考え方はゼロトラストネットワークアクセス(ZTNA)とは?、他のベンダーの解説はZPAの記事・Cloudflare Access / WARPの記事もご覧ください。