IAP(アイデンティティ認識型プロキシ)とは？VPNと比較し、仕組み、メリットを詳しく解説

IAP(アイデンティティ認識型プロキシ)とは？

IAP(アイデンティティ認識型プロキシ)の概要と注目される背景について解説します。

 IAP(アイデンティティ認識型プロキシ)の概要

IAP（Identity-Aware Proxy、アイデンティティ認識型プロキシ）とは、特定のアプリケーションやリソースへのアクセスを管理するための仕組みです。
ユーザーが特定のアプリケーションやリソースへアクセスしようとすると、当該ユーザーのアクセス権限の有無をチェックした上で、権限を有するユーザーのみにアクセスを許可することで、セキュリティを担保します。

近年、ネットワークセキュリティにおいて中心的な概念になっているZTNA（Zero Trust Network Access）を実現する仕組みのひとつであり、IAPは「特定のリソースやアプリケーションに限定した形」でZTNAを実現します。

IAPが注目される背景

近年、IAPが注目されるようになったのは、VPN機器がDMZ（DeMilitarized Zone：非武装地帯）と呼ばれるインターネット上に公開されるセグメントに設置されることにより発生するセキュリティ上の脅威の問題がひとつの背景となっています。

VPN機器は、外部ネットワークと社内ネットワークの間に構築される、このDMZという緩衝領域に設置されます。
そして外部のスマートフォンやクライアントPCなどの端末は、DMZ内のVPN機器との間をトンネリングによって接続され、そこから社内リソースにアクセスすることになります。
この時、外部に置かれた端末自体が接続されるため、社内と同じ環境で社内リソースを活用でき、また端末を接続させるだけなので設定も簡単に行えるというメリットがあります。
しかし、DMZはセキュリティ上の脅威に晒されています。また外部の端末自体を社内のリソースに無条件にアクセスさせるという仕組み自体も、「最小権限」や「最小アクセス」といったゼロトラストの原理原則の観点から見るとVPNでの対応は難しい側面があります。

これに対してIAPの場合は、社内環境下に小型のアプライアンス（多くの場合、仮想マシン）を設置して、ここから外部の通信を利用するため、DMZが不要になります。つまり、インターネットに公開される部分がありません。インターネットに公開される部分がなくなることで、セキュリティ上の脅威をIAPのクラウドサービス側に寄せることができます。

外部の端末はクラウドサービスに接続して、そこからアプライアンス経由で社内のリソースにアクセスする形になります。そうすることで、セキュリティ上の管理や、重要なアップデートなどはIAPサービスを提供する事業者側の責任で行われるようになり、対応がスムーズです。運用負荷が軽減されることに加えて、セキュリティの向上にもつながります。

IAPの仕組み、機能、VPNとの比較

IAPの仕組み、機能、VPNとの相違点について解説します。

IAPの仕組み

企業内で、IAPを構築する場合には、すでに触れた通り、社内にアプライアンスを設置し、このアプライアンスを通過させ、クラウドサービスと接続をすることが一般的な仕組みとなります。外部のPC端末などはクラウドサービスを経由して、このアプライアンスを必ず通過して、社内のリソースにアクセスする形になります。

IAPの機能

IAPは、ユーザーがログインする際の認証や、アクセス権限の確認、そしてアクセス後の挙動を監視し、不審な動きを検知するなどの仕組みを活用して、セキュアな環境を実現しています。

まず、認証機能によってユーザーの身元を確認します。シングルサインオンや多要素認証（MFA）を用い、正規のユーザー以外のアクセスを排除します。認証が完了すると、次にそのユーザーが「どのリソースにアクセス可能か」を確認し、最小権限の原則に基づいてアクセスを制御します。こうした機能により、不要なリソースへのアクセスを防ぎます。さらに、監視機能を通じてアクセス後の行動を記録・追跡し、不審な動きがあれば検知・対応します。アクセスログやリアルタイムの異常検知機能によって、透明性と迅速な対応が可能です。

 IAPとVPNの比較

IAPの場合には、VPNのように、DMZ領域に機器を置くことが不要です。そのため、VPN機器にように、セキュリティ上の脅威に晒されるようなリスクがありません。

またIAPはVPNと異なり、クラウドサービスを介してスマートフォンやPCなどの外部端末と接続するため、構築が簡単であるとともに、導入後のメンテナンスもIAPのサービス提供事業者側で実施されるため運用面においても利便性が高いといえます。

IAP導入のメリット

IAP導入における主なメリットを2つ解説します。

セキュリティ・リスク管理をIAPのサービス提供事業者側に移転

IAPを導入することによって、セキュリティに関するリスク管理をIAPのサービス提供事業者側に移転できるという大きなメリットがあります。

IAPを利用すると、認証やアクセス制御、不正アクセスの監視がIAPを提供するクラウド側で一元管理されます。クラウド側が最新のセキュリティ技術や脅威対策を常にアップデートしてくれることで、セキュリティ管理などに必要な手間や運用コストを削減しつつ、多要素認証（MFA）やアクセスログ管理などの高度なセキュリティ機能を活用できます。
これにより、企業はクラウド側の強固なセキュリティ基盤を利用しながら、運用負担を軽減し、最新の脅威からリソースを保護することができるようになります。

最小権限アクセスの実現

IAPの導入により、ゼロトラストの基本原則である最小権限アクセスが実現し、セキュリティと運用効率を向上させられるというメリットがあります。

IAPは、ユーザーやデバイスに対して、業務に必要なリソースに限定し、アクセスを許可するため、不正アクセスのリスクを最小化することができます。さらに、デバイスの状態や接続元IPアドレス、時間帯などの情報をベースにアクセス権限を管理できるため、より高度なセキュリティが担保されます。

IAP導入時の課題、検討ポイント

企業などが、実際にIAPの導入を検討するにあたり注意すべきポイントのひとつは、コストです。
特にランニングコストについては適切に確認する必要があります。VPNの場合は、一般的に導入時に最も大きなコストが生じます。しかしIAPの場合は、クラウドサービス型であるため、月額の利用料などのランニングコストが必要になるケースがほとんどです。そのため、IAP導入にあたって、複数の選択肢からコスト面をしっかりと比較検討することが重要です。

ふたつめは、VPNと比較し、IAP導入時には設定や運用管理の点で変更が生じる点です。例えば、VPNの場合にはスマートフォンやPCなど端末単位でアクセス制御を行っているので設定が比較的容易でしたが、IAPの場合は、アプリケーションやリソースごとに詳細なアクセス制御が可能になり、運用管理の方法が変わります。

また、IAP導入により、既存システムのパフォーマンスに支障がないかどうかを確認することも重要です。VPNからIAPに移行する際、通信経路が変更になることで、クライアントサーバのような仕組みを使っている場合に、パフォーマンスの低下が発生することがあります。そのため、新たに導入予定のIAPによって、パフォーマンスにどのような変化があるのか、事前にトライアルを実施して、確認しておくことが必要です。

さらに、IAPを導入する際に注意すべきポイントとしては、セキュリティ全体を考慮して導入を検討することが大事だということが挙げられます。IAPの導入にあたっては、複数の製品を組み合わせて導入することが困難であるため、全体のセキュリティ要件を考慮して、最適な製品選定をしなければ、必要なセキュリティを確保できないという事態にもなりかねません。IAPを効果的に活用するためには、全体的なセキュリティ戦略の中での位置付けを適切に考慮することが重要です。

多数のラインナップからIAPの導入を支援

丸紅I-DIGIOグループでは、IAP関連製品を多数ラインナップしています。
包括的なセキュリティ統合を可能にする「Netskope」や、エンドポイントを効率的に保護するためのプラットフォーム「Absolute」。さらには「Prisma® Access」や「Akamai」、「iboss」といった製品をご用意し、企業のニーズに応じた最適な提案が可能です。

前項で触れた通り、IAPの導入に向けては、検討すべきポイントが多様にあります。

丸紅I-DIGIOグループでは、そうしたポイントに基づいて最適なソリューションを提案できる知見と実績が豊富にあります。

本稿に関連するウェビナー動画を以下よりご視聴いただけます。ぜひご登録ください。