2009 年半ば、Google を含む 20 社以上の米国大手企業が大規模な標的型サイバー攻撃を受けた。
後に「Operation Aurora」と呼ばれるこの事件の攻撃者は、中国の国家支援型アクターだった。Internet Explorer のゼロデイ脆弱性を悪用したスピアフィッシングを初期侵入ベクターとし、Google のソースコード管理システムを侵害、さらには中国の人権活動家の Gmail アカウント情報まで標的にした。国家が民間企業に対して大規模なサイバー攻撃を行った最初期の事例であり、APT(Advanced Persistent Threat)という概念を世界に知らしめた。
● Google がゼロトラストの先駆けとなったきっかけとは?
Aurora で露呈したのは「境界型防御モデルの根本的な限界」だった。ファイアウォールの内側を信頼し、VPN で接続すれば社内ネットワークにいるのと同等の信頼を付与する。この前提こそが攻撃者に悪用された。
Google のセキュリティチームは当初、従来の境界防御の延長線上でアクセス制御を厳格化して対策しようとした。しかしそれは Google のオープンなエンジニアリング文化と正面から衝突し、同社は発想を根本から変えた。すなわち「社内ネットワークを特権的に信頼すること自体をやめる」「すべてのアクセスをネットワークの場所に関係なくデバイスの状態とユーザーの認証状態に基づいて制御する」。こうした考えから生まれたのが、VPN なしでどこからでも社内リソースにアクセスが可能で、オフィスでもカフェでもセキュリティレベルが変わらない「BeyondCorp」だった。
・2008年:Chrome ブラウザ提供開始
・2009年:オペレーション・オーロラ(参考情報)
・2010年:ジョン・キンダーバーグによる「ゼロトラスト提唱」
・2011年:ChromeOS 登場
・2011年:Beyond Corp 社内実装
・2024年:Chrome Enterprise 製品リリース
Google が BeyondCorp に着手したのは 2011年頃。奇しくも前年の 2010年には、Forrester Research 社(当時)のジョン・キンダーバグが「ゼロトラスト」という概念を発表していた。キンダーバグが理論側から、Google が実践側から、ほぼ同時期に同じ結論に達したことが意味するのは、ゼロトラストとは特定の誰かの発明ではなく、境界型防御の限界という現実に真正面から向き合った結果たどり着く不可避の結論だったということだ。
● ゼロトラストがバズワードになる 10 年前
当時 Google は自社の取り組みを「ゼロトラスト」ではなく「BeyondCorp」という固有名で呼び、後から業界が「あれはゼロトラストの実装例だ」と位置づけた。地球上で最も初期に、そしておそらく最も大規模なゼロトラストの技術的実装を成し遂げたのが Google だった。
その後、NIST SP 800-207 でゼロトラストが定義されたのが 2020年、バイデン大統領令 14028(連邦政府機関にゼロトラストアーキテクチャの採用を義務づけた大統領令)が 2021 年。この前後から、セキュア Web ゲートウェイやネットワーク、エンドポイント、IDaaS の巨人が自社製品に「ゼロトラスト」を冠して市場に打って出る。しかし、ゼロトラスト市場が製品カテゴリとして大きく立ち上がったこの時期に、Google がその実装の先駆者として一般企業の導入検討の中心に置かれることは必ずしも多くなかった。あまりにも早すぎたのだ。
● Google のゼロトラストは「買える」
だが、この Google が自社で構想し実装したゼロトラストを構成する要素は現在、一般向け商用サービスとして提供されている。買うことができるのだ。しかも、セキュア Web ゲートウェイや、ネットワークあるいはエンドポイントの巨人達の「ゼロトラスト」を冠した製品と比べると驚くほどリーズナブルである。
今回取材した株式会社電算システムは Google 合同会社のパートナーとして、これらの製品群の販売・導入支援を行っている。同社への前回の取材では「ChromeOS 環境下ではランサムウェア被害がゼロ」という機能及び実績を紹介し、大きな反響があった。今回はその第二弾として、同社 クラウドインテグレーション事業部 エンタープライズソリューション部 山脇秀一氏(写真)に、既存環境のまま導入できる Chrome Enterprise Premium を中心に話を聞いた。
● ゼロトラストを実現する 3 層
Google のゼロトラストモデルは大きく 3 つの層で構成されている。最も堅牢な OS 層としての「ChromeOS」、既存の Windows や Mac 環境をそのまま使いながらブラウザレベルでゼロトラストを実現する「Chrome Enterprise Premium(CEP)」、そして ID とコラボレーション基盤としての「Google Workspace」である。段階的アプローチが設計されており、すべてを一気に変える必要はない。今回は、既存環境を変更せずに導入できる Chrome Enterprise Premium を中心に紹介する。
なぜ守るべきはブラウザなのか。これまでエンドポイントといえば OS やデバイスのことを指していた。しかし SaaS の普及により業務のほとんどはブラウザで行われている。Web 会議、メール、ドキュメント作成、業務アプリケーション。本当のエンドポイントはブラウザではないか。これが Google の問いかけだ。ブラウザに管理性を持たせブラウザの中で守る。守るべき領域がブラウザに絞られることで、万が一侵害が起きても被害の及ぶ範囲は小さくなり、運用コストも下げられる。
Chrome ブラウザは日本の PC ブラウザシェアで 60 %、グローバルで 70 % を超える(https://gs.statcounter.com/browser-market-share/desktop/japan)。世界人口の約半分のデバイスを保護しており(https://gs.statcounter.com/browser-market-share/desktop/japan)、毎日膨大な新しいフィッシングサイトの報告が集まるため、検知率が他のブラウザより高い。攻撃対象として魅力的だからこそ脅威情報が集まる。また、同じ Chromium エンジンを使うブラウザ等と比較してもセキュリティパッチの提供速度が速い。山脇氏はそう説明した。
ブラウザのタブごとにサンドボックスで隔離される設計のため、悪意あるサイトにアクセスしても他のタブの情報を読み取ることができず、通常の Web コンテンツ分離の範囲では、タブを閉じるだけで隔離が完了する。「 Chrome ブラウザはコンシュマー向けだから法人には向かない」という声をいただくことがあるが、利用者の多さが安全の根拠だと山脇氏は強調した。
● 拡張機能で「脱 VPN」
近年、VPN 装置や認証情報が攻撃者の主要な侵入口になっている。無償のChrome Enterprise Core もあるが、Chrome Enterprise Premium では IT 管理者が Chrome ブラウザに専用の拡張機能をあらかじめ配布しておく。クラウドサービスへのアクセスは、この拡張機能を持つ管理対象の Chrome ブラウザにのみ許可される。社内に残るオンプレミスシステムに対しては、Google の Identity-Aware Proxy(IAP)等が裏側で中継役となり、VPN を介さずに安全な接続を確立する。拡張機能がいわば通行証、IAP が検問所の役割を果たすことで、VPN そのものを不要にする仕組みだ。
脱 VPN を、ゼロトラストを標榜する海外ベンダの製品を使って実現しようとすれば数千万円規模の投資になることもあるが、Chrome Enterprise Premium は 1 ユーザーあたり月額 6 ドルで実現できる。年間でも 72 ドル(約 12,000 円)だ。しかもデバイス単位ではなくユーザー単位の課金であり、権限を付与されたユーザーが複数のデバイスからアクセスしても 6ドル以上の課金はない。
Chrome Enterprise Premium の主要機能は多岐にわたる。カテゴリフィルタリングでは、生成 AI サイト全体をブロックしつつ Gemini [i]だけは許可するといった柔軟な制御ができる。また、DLP 機能として、機密文書への透かし表示による持ち出しや不正利用の抑止、印刷やダウンロードのブロック、ブラウザからローカルアプリへの貼り付け禁止等がある。マイナンバーや学籍情報などをカーソルを置いた時だけ表示し、カーソルが離れるとアスタリスクに戻る覗き見防止のマスキング機能もある。
また、一部の従来型の Web フィルタリング製品には社内ネットワークを経由しなければ機能しないものがあり、テレワーク環境では効果を発揮できないケースがある。Chrome Enterprise Premium はブラウザそのものに機能するため、従業員がどこから接続しても制御が有効となる。
シャドウ AI の検知も注目に値する。ユーザーに気づかれることなく生成 AI サイトの利用状況を URL ベースでモニタリングが可能で、Gemini だけを許可していたはずが、実は OpenAI や Claude にもアクセスしていたといった実態を可視化し、必要に応じてブロックすることもできる。
さらに、プライベートアカウントの業務利用という抜け道にも対処する。従業員が個人の Google アカウント(@gmail.com 等)で会社の PC の Chrome ブラウザにログインしてしまうケースは少なくない。たとえ悪意がなくてもこれが起きると、業務で使う Web システムの ID やパスワードが個人のプロファイル側に保存されたり、会社のファイルが個人の Google ドライブ[j]に同期されたりする。Chrome Enterprise Premium のアカウントロック機能は、会社のドメインのアカウントのみブラウザ利用を許可し、この抜け道を塞ぐ。これらの操作や制御の記録は監査ログとして 180 日間保持される。誰がいつ何にアクセスし、何をブロックされたかを事後的に追跡できる。
● Google Workspace との合わせ技
もし Google Workspace を利用している場合、コンテキスト アウェア アクセス(アクセス元のデバイスやブラウザの状態、ユーザーの認証状況といった「文脈(コンテキスト)」に基づいてアクセス可否を判断する仕組み)との合わせ技でさらに強固になる。
たとえば、会社のデバイスを用いて管理対象となっている Chrome ブラウザであればフルアクセスを許可し、もし個人端末であればたとえ会社の Wi-Fi に繋いでいてもカレンダーしか見せない、といったアプリ単位の制御が可能だ。「ユーザー ID 」「ロケーション(日本以外のネットワークをすべて遮断等)」「接続元 IP 」「多要素認証の有無」などを条件に制御することができる。
恐らくここで、「Chrome は防御できても、従業員が OS 標準のブラウザなど他のブラウザで社内システムにアクセスしたらセキュリティが効かないのではないか」という疑問が当然出るだろう。その答えはシンプルだ。他のブラウザをどう防御するかではなく、他のブラウザからはそもそもアクセスさせない。コンテキストアウェアアクセスと組み合わせることで、管理対象の Chrome ブラウザ以外から Google Workspace やその他の連携済みクラウドサービスを開こうとすると、ブロックされる。
そして重要なのは、既存の環境を全取替する必要がないことだ。また、たとえば EDR などの既存セキュリティ製品との共存が可能であり、例えばデバイスの健全性スコアが一定未満ならアクセスを拒否するという掛け算の制御もできる。
● 誰のためのサービスか、そしてその先
Chrome Enterprise Premium が最も強い領域は、SaaS を中心とした Web 業務が主体で、社外での業務やリモートワークなどを行っている企業や組織ということになるだろう。
また、VPN のリスクを十分認識しているが、大手ゼロトラストベンダーの導入コストが予算化できない組織にとって、月額 6 ドルという価格は手が届きやすい、かつライセンスはユーザに紐づくので、デバイス毎に購入する必要がない。
自治体や教育委員会では、マイナンバーを扱わないインターネット接続系の業務ネットワーク側の業務を Chrome で制御するアプローチが広がっている。導入事例としては、秋田県が県域レベルで Chrome Enterprise を導入し、BCP 対策と外部からの業務継続体制を構築した他、舞鶴市では電算システムが昨年導入を支援し、マイナンバーを扱う業務とそれ以外のインターネット接続系業務を、同一デバイス上でネットワークを切り替えることで分離している。業務端末の OS も ChromeOS への移行が進み、Windows は全体の約 10 % にまで縮小したという。
一方で、Chrome Enterprise Premium は決して万能薬でも銀の弾丸でもない。たとえば「業務がローカルアプリ中心である組織」「特殊なクライアントサーバー型システムを多く抱える組織」「OT 環境や専用端末が多い組織」「複数ブラウザの利用を前提にした業務フローを持つ組織」では、導入前に業務影響や例外運用を丁寧に設計する必要がある。加えて、言うまでもないことだが、Chrome を管理対象ブラウザとして中核に据える以上、Google への依存度が高まる点も、検討材料のひとつにすべきだ。
● 日本の Google プロダクト普及のパイオニア
電算システムは 2006 年から Google Apps(現 Google Workspace)発売のほぼ同時期から Google プロダクトの取り扱いを開始、近年ニーズが多い Google のゼロトラスト製品がまだ BeyondCorp という名称で提供されていた時代からセキュリティ製品の提案・導入支援してきた実績を持っている。
前回の取材記事では、ChromeOS 環境下でランサムウェア被害ゼロという実績を紹介したが、あの記事を読んで「うちもすぐ ChromeOS に」と動ける組織ばかりではないことは充分理解している。ほとんどの企業や組織にとって、今日の業務は昨日までの環境で回さなければならないからだ。
一方で Chrome Enterprise Premium は、いま手元にある Windows や Mac をそのまま使いながら、15 年前に Google がかつてなかった高度なサイバー攻撃による侵害という痛みの中からたどり着いた思想とそれがもたらす恩恵を、自社のブラウザの中に宿すための一歩である。クラウド時代のエンドポイントとはブラウザなのかもしれない。
