【ITニュース解説】Secure Remote Access with AWS Verified Access

企業が社内のアプリケーションに安全に接続するための仕組みは、これまで常に大きな課題であった。従来は、VPN（Virtual Private Network）や踏み台サーバー（Bastion Host）といった方法が一般的に利用されてきた。これらの方法は確かに機能するものの、ネットワーク全体への広範囲なアクセスを許可してしまうため、攻撃を受ける可能性のある範囲（攻撃対象領域）が広がるというセキュリティ上のリスクがあった。また、アクセスするユーザーの状況やデバイスの状態といった文脈に応じた、きめ細やかなアクセス制御が難しいという欠点も存在した。

この課題を解決するために、AWSから「Verified Access（VA）」というサービスが導入された。Verified Accessは、「Zero Trust（ゼロトラスト）」というセキュリティモデルに基づいており、VPNを必要とせずに社内アプリケーションへの安全なアクセスを提供する。ゼロトラストとは、「何も信頼しない」という考え方だ。つまり、社内ネットワークの内部からであっても、無条件にアクセスを許可するのではなく、すべてのアクセス要求に対して厳格な認証と認可を行う。Verified Accessは、アクセス要求があるたびに、ユーザーの身元、デバイスのセキュリティ状態、その他の関連情報（コンテキスト）を評価し、その情報に基づいてアクセスを許可するかどうかを判断する。これにより、漠然としたネットワークアクセスを許可するのではなく、検証され、信頼できると判断された要求だけがアプリケーションに到達する仕組みとなる。

AWS Verified Accessは主に四つの主要な構成要素で成り立っている。一つ目は「Verified Access Instance」で、これはVerified Accessを構成するすべてのリソースを管理する最上位の要素である。信頼プロバイダー、グループ、エンドポイントといった他のVAリソースの適用範囲を定義する役割を担う。二つ目は「Verified Access Trust Providers」で、これはアクセス要求を評価するために必要な情報を提供する外部のサービスだ。例えば、OIDC（OpenID Connect）プロバイダーと呼ばれる認証サービス（Amazon Cognito、Okta、Ping、Auth0など）を利用してユーザーの身元を検証したり、JamfやCrowdStrikeといったデバイス管理サービスを使ってアクセス元のデバイスが安全な状態にあるかを確認したりできる。AWS IAM Identity Centerも身元確認のためのプロバイダーとして利用可能だ。三つ目は「Verified Access Groups」で、これは複数のエンドポイントを論理的にまとめたもので、それぞれのグループに対してアクセスを許可するためのポリシー（条件）を設定できる。ポリシーは「Cedar」という専用の言語で記述され、「メールアドレスが検証済みのユーザーのみアクセスを許可する」といった具体的なアクセス制御を適用できる。四つ目は「Verified Access Endpoints」で、これは社内のアプリケーションに実際に接続するための接続点となる。Application Load Balancer (ALB)、Network Load Balancer (NLB)、またはElastic Network Interface (ENI) と連携することで、ターゲットとなるアプリケーションに接続する。

Verified Accessのエンドポイントは、アプリケーションの種類に応じて複数の通信プロトコルをサポートしている。Webアプリケーションで暗号化と認証が必要な場合にはHTTPSが最適であり、暗号化されていない社内アプリケーション向けにはHTTPもサポートされる（ただし、TLS/HTTPSの利用が強く推奨される）。また、データベース接続やリモートデスクトップ（RDP）といったHTTP以外のワークロード向けにはTCPプロトコルも利用できる。この柔軟性により、Verified AccessはWebアプリケーションだけでなく、様々な種類の非Web内部サービスへの安全な接続にも対応可能である。

Verified Accessの基本的な設定手順は以下のようになる。まず、アプリケーションのユーザーを管理するために、Amazon Cognitoユーザープールのような認証基盤を準備する。次に、OIDCプロバイダーやデバイスプロバイダーといった「信頼プロバイダー」を設定し、ユーザーの身元やデバイスの安全性を確認できる仕組みを構築する。その後、「Verified Access Instance」をデプロイし、VAリソースのルートとなるコンテナを構築する。続いて「Verified Access Group」を定義し、例えば「検証済みのメールアドレスを持つユーザーのみアクセスを許可する」といったポリシーを設定する。最後に、社内アプリケーションの前面にあるApplication Load Balancer（ALB）などに接続する「Verified Access Endpoint」を作成する。これらの設定が完了したら、Route 53のようなDNSサービスを更新し、ユーザーがアプリケーションにアクセスする際にFriendlyなドメイン名でVerified Accessのエンドポイントに誘導できるようにする。ユーザーがアプリケーションにアクセスする際には、Route 53を通じてVerified Accessエンドポイントに誘導され、IAM Identity Centerで認証を受けた後、設定されたポリシーに基づいてアクセスが評価される。ポリシーが許可すれば、内部のALBを通じてバックエンドのアプリケーションに到達できる。これにより、ユーザーはVPNを起動する手間なく、Verified Accessを通じてアプリケーションに安全にアクセスできるようになる。

AWS Verified Accessは、いくつかの重要な理由から注目されている。まず「ゼロトラスト」の原則に基づき、すべてのアクセス要求を厳密に認証・認可することで、セキュリティ体制を大幅に強化できる。次に、VPNが不要になるため、ユーザーはブラウザから直接アプリケーションに接続でき、利便性が向上する。さらに、ユーザーの身元、デバイスの状態、セッションのコンテキストなど、さまざまな情報に基づいて非常にきめ細かいアクセス制御が可能となる。Webアプリケーションだけでなく、HTTPS、HTTP、TCPといった多様なプロトコルに対応しているため、その適用範囲も広い。結果として、ユーザーはより高速でスムーズなアクセス体験を得られるとともに、企業はセキュリティを向上させることが可能となる。

AWS Verified Accessの導入は、従来のレガシーなVPN設定から脱却し、真のゼロトラストセキュリティモデルへと移行するための決定的な一歩となる。これにより、企業はプライベートアプリケーションへのアクセスを、より安全かつ効率的に管理できるようになるのだ。