AWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続
VPN を排除し、ユーザー ID とデバイスのセキュリティ状態を毎回検証するゼロトラストアクセスを実現する。Cedar ポリシーによるきめ細かい制御を紹介します。
ゼロトラストと Verified Access
ゼロトラストは「ネットワークの内側にいるから信頼する」という従来の境界型セキュリティモデルを否定し、すべてのアクセスを検証する考え方です。VPN は社内ネットワークへのトンネルを提供しますが、VPN に接続すれば全リソースにアクセスできてしまう問題があります。Verified Access はアプリケーション単位でアクセスを制御し、ユーザーの ID とデバイスのセキュリティ状態を毎回検証します。VPN クライアントのインストール、VPN 接続の管理、VPN サーバーのスケーリングが不要になり、ユーザーはブラウザからアプリケーションに直接アクセスします。
信頼プロバイダーとポリシー設計
信頼プロバイダーはユーザー ID とデバイスの信頼性を検証するコンポーネントです。ユーザー信頼プロバイダーとして IAM Identity Center、Okta、Ping Identity などの IdP を設定し、OIDC トークンでユーザーを認証します。デバイス信頼プロバイダーとして CrowdStrike や Jamf を設定し、デバイスの OS バージョン、パッチ適用状態、セキュリティソフトの稼働状態を検証します。アクセスポリシーは Cedar 言語で記述し、ユーザーグループとデバイス状態の組み合わせでアクセスを許可・拒否します。例えば「エンジニアグループに所属し、かつ CrowdStrike がアクティブなデバイスからのアクセスのみ許可」といったポリシーを定義できます。
エンドポイントの設定と運用
Verified Access エンドポイントは ALB またはネットワークインターフェースを指定して作成します。既存の ALB の前段に Verified Access を配置することで、アプリケーション側の変更なしにゼロトラストアクセスを適用できます。エンドポイントにはカスタムドメインと TLS 証明書を設定し、ユーザーは https://app.example.com のような URL でアクセスします。アクセスログには、ユーザー ID 、デバイス情報、アクセス元 IP 、ポリシーの評価結果が記録され、 CloudWatch Logs や S3 に送信できます。セキュリティチームはログを分析して不審なアクセスパターンを検出し、ポリシーの改善に活かします。 VPN レスの実践的な知識を深めるには、専門書籍 (Amazon)が役立ちます。
Verified Access の料金
Verified Access の料金はアプリケーション (エンドポイント) の時間課金とデータ処理量で構成されます。エンドポイントは 1 つあたり約 0.27 ドル/時 (月額約 194 ドル) で、データ処理は 1 GB あたり約 0.02 ドルです。VPN ソリューション (Client VPN は接続 1 つあたり約 0.05 ドル/時 + サブネット関連付け約 0.10 ドル/時) と比較すると、少数のアプリケーションに対するアクセス制御では Verified Access の方がシンプルかつ低コストです。ただし、アプリケーション数が多い環境ではエンドポイントの固定費が積み上がるため、段階的に導入して費用対効果を検証します。
ゼロトラストの考え方と VPN との違い
従来の VPN は、一度接続すれば内部ネットワーク全体にアクセスできる、境界型の防御が基本でした。これは、内部に侵入されると被害が広がりやすいという弱点があります。ゼロトラストは「何も信頼しない」を前提に、アクセスのたびに利用者とデバイスの状態を検証し、許可された特定のアプリケーションだけに到達を認めます。Verified Access はこの考え方を実現し、VPN なしで個々のアプリケーションへ安全に接続させます。ネットワーク全体への暗黙の信頼をなくすことで、攻撃の影響範囲を最小化できる点が、ゼロトラストの本質的な利点です。
信頼の評価とデバイスの状態
Verified Access では、アクセスを許可するかどうかを、複数の観点を組み合わせて判断します。利用者が誰であるかという ID の情報に加え、接続してきたデバイスがセキュリティ要件を満たしているか、という状態も評価できます。たとえば、最新の状態に保たれた管理対象のデバイスからのみ接続を許す、といった制御が可能です。これらの条件をポリシーとして記述し、アクセスごとに評価します。ID とデバイスの両面から信頼性を確かめることで、認証情報が漏れた場合でも、不審なデバイスからのアクセスを防げます。多面的な検証が、強固なアクセス制御を実現します。
ログと監査
ゼロトラストの運用では、誰がいつ何にアクセスし、許可または拒否されたかを記録することが重要です。Verified Access は、アクセスの判断ごとに詳細なログを残し、後から監査できるようにします。標準化された形式でログを出力できるため、他のセキュリティツールと連携した分析もしやすくなります。これらのログを監視すれば、異常なアクセスパターンや、ポリシーの想定外の挙動を早期に発見できます。アクセスの可視性を確保することは、インシデントへの対応だけでなく、ポリシーが意図どおりに機能しているかを継続的に確認するうえでも欠かせません。
導入と段階的な移行
既存の VPN からゼロトラストへ移行する際は、一度にすべてを切り替えるのではなく、アプリケーション単位で段階的に進めるのが安全です。まず一部のアプリケーションを Verified Access の背後に配置し、ポリシーと動作を検証します。問題がなければ、対象を順次広げていきます。利用者にとっては、VPN クライアントを起動する手間がなくなり、ブラウザなどから直接アプリケーションへアクセスできるようになるため、利便性も向上します。移行の過程でアクセスログを確認し、正当な利用が妨げられていないかを見極めながら、着実にゼロトラストへ移行します。
まとめ
Verified Access は VPN を排除し、ゼロトラスト原則に基づくアプリケーションアクセスを提供するサービスです。ユーザー ID とデバイスのセキュリティ状態を毎回検証し、Cedar ポリシーできめ細かいアクセス制御を実現します。リモートワーク環境でのセキュアなアプリケーションアクセスに最適です。