セキュリティ

AWS Verified Access

VPN を使わずにデバイスのセキュリティ状態と ID プロバイダーの認証情報に基づいて企業アプリケーションへのゼロトラストアクセスを実現するサービス

約 2 分で読めます

概要

AWS Verified Access は、VPN を使わずに企業の内部アプリケーションへのセキュアなアクセスを提供するゼロトラストネットワークサービスです。ユーザーの ID 情報とデバイスのセキュリティ状態を組み合わせたポリシーベースのアクセス制御により、リクエストごとに認可判定を行います。IAM Identity Center、Okta、CrowdStrike、Jamf などのトラストプロバイダーと統合し、ID 検証とデバイスポスチャ評価を一元的に実施します。従来の VPN ベースのアクセス制御と異なり、ネットワーク境界ではなくリクエスト単位でアクセスを制御するため、ラテラルムーブメントのリスクを大幅に低減できます。

トラストプロバイダーとポリシーエンジン

Verified Access のトラストプロバイダーは、ユーザー ID の検証とデバイスのセキュリティ状態の評価を担う外部サービスとの接続点です。ID プロバイダー (IdP) として IAM Identity Center、Okta、Azure AD、Ping Identity などの OIDC 準拠プロバイダーを登録できます。デバイストラストプロバイダーとして CrowdStrike、Jamf、Microsoft Intune を統合し、エンドポイントのセキュリティ状態 (OS パッチ適用状況、ディスク暗号化の有無、マルウェア対策ソフトの稼働状況) をリアルタイムに評価します。ポリシーエンジンは Cedar 言語で記述されたアクセスポリシーを評価します。Cedar は AWS が開発したオープンソースのポリシー言語で、「マーケティング部門のユーザーが、管理対象デバイスから、営業時間内にアクセスした場合のみ許可」といった複合条件を宣言的に記述できます。ポリシーはグループレベルとエンドポイントレベルの 2 階層で適用でき、グループポリシーで基本的なアクセス条件を定義し、エンドポイントポリシーでアプリケーション固有の条件を追加する設計が一般的です。

エンドポイントとアクセスグループの設計

Verified Access エンドポイントは、保護対象のアプリケーションへの入口です。ALB (Application Load Balancer) またはネットワークインターフェースをアタッチメントとして指定し、アプリケーションへのトラフィックを Verified Access 経由でルーティングします。ALB アタッチメントは Web アプリケーションの保護に適しており、既存の ALB をそのまま Verified Access の背後に配置できます。ネットワークインターフェースアタッチメントは、ALB を使用しない TCP ベースのアプリケーション (SSH、RDP、データベース接続等) に対応します。アクセスグループは、同一のアクセスポリシーを共有するエンドポイントの論理的なまとまりです。「社内ツール群」「顧客向けポータル」「開発環境」のようにアプリケーションの機密度や利用者層に応じてグループを分け、グループ単位でポリシーを管理します。Verified Access インスタンスは複数のアクセスグループを束ねる最上位のコンテナで、リージョンごとに作成します。DNS 設定で CNAME レコードを Verified Access エンドポイントに向け、ユーザーはブラウザから通常の URL でアプリケーションにアクセスします。

デバイスポスチャ評価とログ監査

デバイスポスチャ評価は、Verified Access のゼロトラストモデルにおける重要な柱です。CrowdStrike Falcon や Jamf Pro と統合すると、アクセス時点でのデバイスのリスクスコア、OS バージョン、ファイアウォールの有効/無効、ディスク暗号化の状態などをリアルタイムに取得し、Cedar ポリシーの条件として使用できます。例えば「CrowdStrike のリスクスコアが Medium 以下で、かつディスク暗号化が有効なデバイスからのアクセスのみ許可」というポリシーを適用できます。デバイスの状態が変化した場合 (マルウェア検出、ポリシー違反等)、次回のアクセス時にポリシー評価で拒否されるため、侵害されたデバイスからのアクセスを動的に遮断できます。Verified Access のアクセスログは CloudWatch Logs、S3、Kinesis Data Firehose に出力でき、各リクエストの許可/拒否判定、適用されたポリシー、ユーザー ID、デバイス情報、ソース IP が記録されます。これらのログを Athena や OpenSearch で分析し、異常なアクセスパターンの検出やコンプライアンス監査に活用します。料金はアプリケーション 1 つあたり月額固定 + データ処理量の従量課金です。

共有するXB!

関連する用語

AWS IAMAWS IAM Identity CenterAWS PrivateLinkAWS WAF

関連するサービス

AWS IAM Identity CenterAWS WAFAWS PrivateLinkAmazon GuardDuty

関連する記事

AWS CloudTrail で実現する API 監査ログ - 証跡の設計とセキュリティ分析全 API アクティビティを記録し、CloudTrail Lake の SQL クエリで高度な分析を実行する。Insights による異常パターンの自動検出と EventBridge 連携のリアルタイム検出を紹介します。AWS Control Tower でマルチアカウント環境を構築 - ランディングゾーンとガードレールベストプラクティスに基づくマルチアカウント環境を自動構築し、400 以上のガードレールでコンプライアンスを継続的に維持する。Account Factory と Customizations for Control Tower による拡張手法を解説します。データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。DDoS 対策 - AWS Shield による多層防御の設計と運用AWS Shield Standard と Shield Advanced による DDoS 防御を解説。CloudFront ・ Route 53 ・ ALB との統合、WAF との組み合わせ、コスト保護機能まで実践的に紹介します。Amazon Detective でセキュリティインシデントを調査 - グラフ分析による根本原因の特定Detective による GuardDuty 検出結果の調査、エンティティプロファイル、行動グラフの活用を解説します。

内容が近い用語・記事

AWS Verified AccessVPN なしで企業アプリケーションへのゼロトラストアクセスを提供するサービスAWS Verified Access で実現するゼロトラストアクセス - VPN 不要のアプリケーション接続VPN を排除し、ユーザー ID とデバイスのセキュリティ状態を毎回検証するゼロトラストアクセスを実現する。Cedar ポリシーによるきめ細かい制御を紹介します。ゼロトラストネットワークアクセス - AWS Verified Access で VPN なしのセキュアアクセスを実現するAWS Verified Access を使った VPN レスのゼロトラストアクセスを解説。ID プロバイダー統合、デバイストラスト、ポリシーベースのアクセス制御、従来の VPN との比較を紹介します。AWS のゼロトラストネットワーキング - Verified Access と PrivateLink で実現する境界なきセキュリティAWS Verified Access、PrivateLink、VPC Lattice によるゼロトラストネットワーキングの実装を解説し、Azure Private Link との設計差異を比較します。Amazon Verified PermissionsCedar ポリシー言語でアプリケーションの認可ロジックを外部化するサービス