CTC 教育サービス
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes
前回、2014年に公開されたエッセイ「BeyondCorp: A New Approach to Enterprise Security」をもとにして、Google社内のオフィスネットワークのアーキテクチャーを紹介しました。今回は、2017年に公開された、同シリーズのエッセイ「BeyondCorp: The User Experience」をもとにして、一般ユーザー(すなわち、一般のGoogle社員)から見た、BeyondCorpの利用について紹介します。
冒頭の記事では、BeyondCorpを導入した際のサポートチームの体験が紹介されています。前回説明したように、BeyondCorpの導入にともなってVPNの利用が廃止されましたが、それでもなお、しばらくは、VPNの利用申請が続いたのです。新規採用された社員の頭の中にある、「新しい会社に転職した時に最初にやることリスト」には、大体の場合において「VPNの利用申請」が含まれており、その習慣から抜けきれない新規採用社員からの申請が相次いだというわけです。
そこで、BeyondCorpのサポートチームは、新規採用社員のオフィスオリエンテーションでは、必ず、図1の説明図と共に、BeyondCorpを説明するようにしたそうです。
図1 BeyondCorp用Chromeエクステンションのアイコン(記事より抜粋)
これは、BeyondCorpを利用するために組み込まれた、Chromeエクステンションのアイコンです。このアイコンが緑になっていれば、そのPCは社内アプリケーションと通信可能で、すぐに社内アプリケーションが利用できることを示しています。
この話からわかるように、BeyondCorpを通じて社内アプリケーションを利用するには、そのPCのChromeブラブザーに専用のエクステンションが組み込まれている必要があります。このエクステンションは、最新のAccess Proxyの設定をダウンロードして、ブラウザーからのアクセスをProxy経由に切り替えます。前回説明したように、社内アプリケーションに接続する際の認証などは、Access Proxyによるシングルサインオンが行われます。社内アプリケーションの開発者は、個別に認証の処理を用意する必要はありません。
ちなみに、BeyondCorpに限らずに、Proxyが設定されたブラウザーでよく発生する問題に、「Captive portal」があります。これは、ホテルや空港のWiFi認証でよく使われるもので、任意のURLへのアクセスを強制的にログインページに転送して、WiFi利用の認証を促す仕組みです。しかしながら、認証前の状態では、Proxy経由でログインページにアクセスできない構成の場合、この仕組はうまく利用できません。BeyondCorpの場合は、Access Proxyの設定のダウンロードに失敗して、ログインページにアクセスできなくなるというケースがあります。このような場合は、BeyondCorp用エクステンションの設定で、一時的にProxyの利用を停止すると言った対応が必要です。
この他には、社内アプリケーションにアクセスした際に、アクセス権の問題で403エラー(閲覧禁止エラー)が返ることも、当然ながらあり得ます。Access Proxyが403エラーを返す場合は、図2のように、問題解決のヒントになるWebページへのリンクが表示されます。
図2 403エラー画面の例(記事より抜粋)
また、Techstop(Google社内のITヘルプデスク)のサポートメンバーは、専用のポータルから、それぞれの403エラーの詳細な理由を確認することができます。図3は、そのような確認画面の一例です。この端末(Chromebook)は、長期間ネットワークに接続されておらず、端末の状態がセキュアであることを確認できなかったことが原因のようです。
図3 403エラーの原因を確認するポータルサイト(記事より抜粋)
図3の説明では、すこしわざとらしく(?)「この端末(Chromebook)」と表現しましたが、Googleでは社員が日常的に使用する標準端末として、Chromebookが採用されています。Chromebookは、端末上に個人設定や個人ファイルを保存せずに利用するよう設計された端末です。Google社員が使用するオフィスアプリケーションは、Chromeブラウザーからアクセスするクラウドサービスになっており、一般的な業務利用のファイルは、Googleドライブに保存されています。そのため、BeyondCorpに対応した端末であれば、任意の端末から、クラウド上の自分の環境にアクセスして業務を行うことができます。各オフィスには、一時的な貸出用のChromebookが用意されており、自分の端末が故障したような際は、貸出用のChromebookですぐに業務を再開することができます。
今回は、エッセイ「BeyondCorp: The User Experience」をもとにして、一般のGoogle社員から見た、BeyondCorpの利用方法を紹介しました。次回は、データセンターの光ネットワーク技術に関する話題をお届けしたいと思います。
Disclaimer:この記事は個人的なものです。ここで述べられていることは私の個人的な意見に基づくものであり、私の雇用者には関係はありません。
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes