コミュニティ
HPE Blog, Japan
1819809 メンバー
2736 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

ゼロトラストセキュリティの実践 - アイデンティティ認識型プロキシ(IAP)とその実現方法

‎02-01-2023 11:24 AM

今回はゼロトラストセキュリティ対応を考える中で是非知っておきたい、「アイデンティティ認識型プロキシ(IAP=Identity-Aware Proxy)」とその実現方法をご紹介します。

GettyImages-1192823232_1600_0_72_RGBs.jpg

 

ハイブリッドクラウド時代の認証にはIAPが効果的

ゼロトラストセキュリティにおいては「信用せず、常に検証する」が大原則です。ユーザーの本人認証を確実に行うことに加え、ユーザーやデバイスごとにアプリケーションへ必要最低限のアクセス権を与えるような仕組みが必要とされています。

アイデンティティ認識型プロキシ(以下IAP)は、IdP(Identity Provider)での認証結果に基づき、ユーザーの属性や、アクセス元、端末の状況などに応じたアクセス制御を行うソリューションです。
IAPは、認証とアプリケーションの橋渡しの役割を果たすリバースプロキシとなります。
図1はIAPの構成の一例です。

icewall230201-01.jpg

図1: IAPの構成一例

 

IAPは保護されたネットワーク上にあるアプリケーションとの通信を中継するため、アプリケーションを外部ネットワークと直接つなぐ必要がありません。高いセキュリティレベルを維持したままでのアクセスを可能にするソリューションでもあります。

重要なデータやアプリケーションをクラウドに載せられないなどの理由で、オンプレミスやプライベートクラウドとパブリッククラウドを併用する「ハイブリッドクラウド」 環境を選択する企業や組織は今後も多く存続します。
ハイブリッドクラウド環境を推進する際には認証基盤のあり方も忘れずにおきたいポイントです。

 

レガシーなアプリケーションにゼロトラストの適用を可能にするIAP

IAPはクラウドネイティブでないアプリケーションに対して認証セキュリティを適用する目的でも利用されます。
IDaaSの利用が進むと、基本的にはSAMLOpenID Connect(以下OIDC)のプロトコルでの認証が前提になります。従来のアプリケーションをそのまま活用したい、アプリケーションの認証ロジックに手を入れられないなどの理由で、それらプロトコルではカバーできないアプリケーションが継続維持されるケースが多いのも現状です。
このようなレガシーなアプリケーションにゼロトラストの枠組みに組み込むには、IAPはうってつけのソリューションと言えます。

 

IAPとして豊富な実績をもつHPE IceWall

HPEではHPE IceWall によるIAPソリューションのご提案しており、多くの導入実績をもっています。
図2は「HPE IceWall Cloud Connection」を使い、IdPとしてIDaaSを選択した際に、SAMLやOIDCに非対応なWebアプリケーションとの連携を実現した例です。

icewall230201-02.jpg
図2:HPE IceWallとIDaaS連携によるIAPの実現例

 

HPE IceWall MFA」を使用した構成とすることで、さらに高度なご要件に対応することも可能です。
アクセス元・アクセス先に応じて追加の認証を適用する、またアプリケーションのより細かなURLレベルでの認可制御を実施するなど、さらに柔軟なアクセスコントロールが実現します。

icewall230201-03.jpg

図3:HPE IceWallによる高度な応用例

 

国の行政機関も重要視するIAP

文部科学省が学校教育現場向けに公開している「教育情報セキュリティポリシーに関するガイドラインハンドブック」の2021年5月改訂版に、IAPに関する記載が盛り込まれました。
成績処理や児童・生徒の指導記録など、機密性の高い情報を取り扱う校務系専用端末の保護の方法のひとつとして、従来のネットワーク分離に代わってIAPを用いた対応が紹介されています。
学校教育現場においてもクラウドサービス利用が急速に進められる中、行政機関の指針としてゼロトラスト型のセキュリティが推奨され、実現手段のひとつとしてIAPが提示されている例です。

 

IDaaSを含めクラウドサービスやクラウド環境の活用が急速に進む中において、ハイブリッドクラウドがIT環境の最適解と判断する企業は多いでしょう。今後のIT環境を語る時に、IAPのようなゼロトラストセキュリティの原則に対応する認証ソリューションは外せないポイントのひとつとなります。

 

次回はFIDOの技術を用いた新しい認証方式「パスキー」についてご紹介します。

 

[関連リンク]

 

[関連リンク]

IceWallビジネス推進部 ブログ記事一覧(IceWall_Mktg)

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります