BeyondCorp EnterpriseはSSHやRDPのような非HTTPトラフィックを扱えますか？

いいえ。IAPはHTTP/HTTPS向けに設計されていますが、IAP TCP転送機能を使用してSSHおよびRDPトラフィックをHTTPSでトンネリングできます。これにはクライアント側に小さなヘルパーツール（gcloudまたはIAP Desktop）が必要です。

BCEの料金はZscalerやPalo Alto Prismaと比較してどうですか？

BeyondCorp Enterpriseは、Chrome Enterprise Premium機能の場合、ユーザーあたり月額6ドルで提供されます。これは、同等のエンタープライズ機能に対して通常30ドルから50ドルの費用がかかるZscalerのZPA/ZIAスイートよりも大幅に低価格です。

BeyondCorpは本当にエージェントレスですか？

BCEはChrome Enterprise Premiumを通じてChromeブラウザ自体を「エージェント」として使用します。スタンドアロンの.exeや.pkgの「セキュリティエージェント」は必要ありませんが、詳細なデバイスポスチャシグナルを渡すためには、ユーザーは管理されたChromeプロファイルを使用する必要があります。

BCEはオンプレミスまたはAWSでホストされているアプリでも動作しますか？

はい。オンプレミスコネクタ（Dockerコンテナ）を使用することで、非クラウドデータセンターで実行されているアプリケーションをGoogle Edgeに公開し、クラウドネイティブなアプリと同じゼロトラストポリシーを適用できます。

BCEとAzure AD IDの統合はどのくらい難しいですか？

非常に簡単です。Googleはネイティブコネクタとドキュメントを提供しており、Azure AD/Entra IDのユーザーとグループをCloud Identityに同期させることができ、BCEはそれをポリシー強制に使用します。

Context-Aware Accessでポリシー変更が反映されるまでのレイテンシーはどれくらいですか？

CAAポリシーは数秒で更新されますが、セッションの失効はOIDCトークンの有効期間によっては数分かかることがあります。2026年には、継続的なアクセス評価（CAE）により、Workspaceアプリではこの期間がほぼリアルタイムに短縮されています。

ゼロトラストの設計：BeyondCorp EnterpriseとレガシーSASEの比較

Q: BCEはオンプレミスまたはAWSでホストされているアプリでも動作しますか？

はい。オンプレミス コネクタ（Dockerコンテナ）を使用することで、非クラウドデータセンターで実行されているアプリケーションをGoogle Edgeに公開し、クラウドネイティブなアプリと同じゼロトラストポリシーを適用できます。

2026年の今、従来の境界型ネットワークは死滅しただけでなく、IDとコンテキストに基づくファブリックによって完全に置き換えられました。そこでは、「ネットワーク」は単なる信頼できないトランスポート層に過ぎません。Zscaler Private Access (ZPA) やCloudflare Accessが重厚なトンネリングとプロプライエタリなオーバーレイに依存する一方、Google CloudのBeyondCorp Enterprise (BCE) は、ブラウザを主要なポリシー強制ポイント（PEP）として活用することで、最も外科的に正確なゼロトラストネットワークアクセス（ZTNA）実装を提供します。もし、まだアプリケーションアクセスのために複雑なVPNコンセントレーターやGREトンネルを管理しているなら、それはGoogleが10年前に解決した技術的負債を抱え続けていることになります。

プロキシレスZTNAの構造的優位性

ほとんどのZTNA競合製品（Zscaler、Palo Alto Networks Prisma Access）は本質的に「VPN-as-a-Service」であり、ネットワーク層（OSIレイヤー3/4）でトラフィックを傍受し、PoP（Point of Presence）にバックホールします。これはレイテンシーとアーキテクチャの不透明さを引き起こします。2014年のGoogleのオリジナルホワイトペーパーに根ざしたBeyondCorp Enterpriseは、パラダイムをレイヤー7にシフトさせます。Identity-Aware Proxy (IAP) を利用することで、BCEはVPNなしで、オンプレミスまたはVPCに接続されたアプリケーションをGoogleのグローバルエッジノード経由でパブリックインターネットに直接公開することを可能にします。そして、すべてのリクエストが認証、認可され、デバイスのポスチャに対して検証されます。

ここでの核となる利点は、ラテラルムーブメントの排除です。Zscaler環境では、攻撃者がZPA接続クライアントを侵害すると、「オーバーレイに乗っている」状態になります。BeyondCorpの設計では、オーバーレイは存在しません。ユーザーはHTTPSエンドポイントと対話し、IAPがゲートキーパーとして機能します。有効なOIDC（OpenID Connect）トークンや準拠したデバイスコンテキストがなければ、パケットはバックエンドインフラストラクチャに到達するずっと前のGoogle Edgeで破棄されます。

Context-Aware Access (CAA)：ポリシーエンジン

BCEの心臓部はContext-Aware Accessです。あなたが「誰であるか」だけを気にする従来のRBAC（Role-Based Access Control）とは異なり、CAAは「どのように」そして「どこから」アクセスしているかを重視します。2026年のエンタープライズ設計では、Common Expression Language (CEL) を使用して信頼レベルを定義します。当社のコンサルティング案件における典型的な高セキュリティポリシーは以下のようになります。

// Example CEL script for sensitive Finance App
device.vendors['google'].is_managed == true &&
device.encryption_status == "ENCRYPTED" &&
device.os_type == "WINDOWS" &&
device.os_version.version_at_least("10.0.22621") &&
levels.select_level("corp_ip_range")

このポリシーにより、ユーザーが有効な認証情報を持っていたとしても、個人のMacBookやパッチが適用されていないWindowsマシンからアプリケーションにアクセスすることはできません。これをChrome Enterprise Premiumと直接統合します。これにより、別途バッテリーを消費するセキュリティエージェントを必要とせずに、これらのシグナルに対するテレメトリーが提供されます。ユーザーが既に持っているブラウザを活用するこの「エージェントレス」アプローチが、BCEが他社が失敗するようなスケールを可能にする理由です。

Chrome Enterprise Premium：2026年のPEP

2026年までに、ブラウザは実質的にエンタープライズにとってのオペレーティングシステムとなります。Googleはこの点を活かし、Chromeをディープインスペクションエンジンへと変貌させました。Chrome Enterprise Premium（以前のBeyondCorp Enterpriseのブラウザコンポーネント）は、リアルタイムのデータ損失防止（DLP）とマルウェアスキャンを提供します。Zscalerのサンドボックス化が中間ボックスでのTLS復号を必要とするのに対し、Chromeは暗号化が行われる前のエンドポイントでこれをネイティブに実行します。

URLフィルタリング: Google Safe Browsingの膨大なデータセットに基づいて悪意のあるサイトをブロックします。
データマスキング: ユーザーが機密性の高いPIIをGeminiやChatGPTのようなLLMに貼り付けるのを防ぎます。
デバイス信頼性: TPM (Trusted Platform Module) ステータスをCAAエンジンに直接報告します。

HTTPS経由でチューブ化できないレガシーなファットクライアントアプリを実行している組織の場合、IAP DesktopまたはCloud IAP TCP転送機能を利用します。これにより、ポート22や3389を制限された送信元IPアドレスのセットであっても公開することなく、ポート443経由でSSHおよびRDPアクセスが可能になります。

アーキテクチャ詳細：オンプレミス接続

BCEに対するよくある批判は、その「Googleのみ」という性質です。これは誤解です。オンプレミスのワークロード（VMware、Nutanix、またはベアメタルで実行中）を保護するために、オンプレミスコネクタをデプロイします。これは軽量なDockerコンテナであり、Googleマネージドのリレー経由でGoogleのVPCへのアウトバウンドのみのトンネルを確立します。オンサイトでインバウンドのファイアウォールルールは必要ありません。

コスト分析：BCE vs. 競合製品

具体的な数字を見てみましょう。2026年現在、一般的なZscaler ZPA/ZIA「Transformation」バンドルは、ユーザーあたり月額45ドルから60ドルに容易に達し、プライベートサービスエッジには追加費用がかかります。BeyondCorp Enterpriseは、Chrome Enterprise Premiumの一部として、ユーザーあたり月額6ドルで提供されます。Identity PlatformやTitan Security Keysの費用を追加しても、BCEはSASE競合製品よりも約70%安く、Google WorkspaceとGCPネイティブリソースとの優れた統合を提供します。

すでにGoogle Workspaceのお客様であれば、BCEへの移行は設定変更であり、大規模なアップグレードではありません。この点がより広範なクラウド戦略にどのように適合するかは、VPC Service Controlsに関する当社のガイドで確認できます。

高度な脅威インテリジェンス統合

当社TechLeagueがクライアントに頻繁に実装する機能の一つは、Chronicle Security AIとBCEの統合です。コンテキストアウェアアクセスポリシーがリクエストを拒否した場合、そのテレメトリーは即座にChronicleに取り込まれます。もしユーザーのデバイスが突然ポスチャチェックに失敗した場合（BitLockerが無効になっているなど）、Security Command Center (SCC) がCloud Functionをトリガーし、GCP組織全体でユーザーのアクティブセッションを失効させることができます。これは、マーケティングスライド上の話ではなく、実践における「継続的な認証」です。

BCE vs. Cloudflare Access：現実的な評価

Cloudflare Accessは、特に中小企業にとっては手ごわい競合です。しかし、2026年のエンタープライズ規模（10,000シート以上）では、CloudflareはGoogleが提供するネイティブのデバイス管理の深さに欠けます。GoogleはID (Cloud Identity)、ブラウザ (Chrome)、OS (ChromeOS/Android)、そしてインフラストラクチャ (GCP) を所有しています。Cloudflareは常に「アドオン」です。サポートの問題が発生した場合、CloudflareはIdP (Okta/Azure AD) のせいにするでしょう。Googleの場合、責任の所在は明確です。マルチクラウドIDに関する技術的な詳細については、Workload Identity Federationに関する当社の投稿をご覧ください。

実装のハイレベルロードマップ

「海を沸騰させる」ようなことはしないでください。BeyondCorpの成功したロールアウトは、次のステップに従います。

Cloud IAPを有効化: 重要度の低い社内アプリから始めます。現在のIAMロールをIAPで保護されたリソースにマッピングします。
Chromeブラウザ管理を展開: ユーザーがManaged Chrome Profileにサインインするように誘導し、デバイスのテレメトリーの収集を開始します。
「監視のみ」のCAAポリシーを作成: 失敗をログに記録するが、まだブロックしないポリシーを作成します。Cloud Loggingのaccess_context_managerログを分析します。
MFAを強制: すべてのIAPで保護されたアプリに対してFIDO2/WebAuthn (Titan Keys) を義務付けます。
VPNを廃止: VPNトラフィックがゼロになるまで、一度に1つのアプリを移行します。

評決

エンジニアリングの現実として、ネットワーク中心のセキュリティは失敗した実験です。BeyondCorp Enterpriseは、ブラウザが新しい境界であることを認識した唯一のソリューションです。それは市場に出回っているどのトンネル化されたSASEソリューションよりも高速で、安価で、客観的に安全です。GCP上で最新のインフラストラクチャを構築している場合、あるいはハイブリッドクラウド環境である場合でも、BCEは単なる選択肢ではなく、必須要件です。

TechLeagueでは、レガシーエンタープライズを実際に機能するゼロトラストアーキテクチャに移行することに特化しています。VPNクライアントや潜在的なGREトンネルとの格闘にうんざりしている場合は、techleague.ioで提供している当社の専門コンサルティングトラックをご覧ください。