AWS Verified Access とは?VPN レスなゼロトラスト設計を徹底解説
AWS Verified Access は VPN なしで社内アプリへ安全に接続する「アイデンティティ対応アクセス」サービス。ユーザー ID とデバイス状態をリクエストごとに評価し、Cedar ポリシーでゼロトラストを実現する。構成要素(インスタンス/トラストプロバイダー/グループ/エンドポイント)・仕組み・料金・Client VPN との違いまで、設計視点で整理する。
VPN なしで社内アプリへ安全に接続。リクエストごとに「誰が・どの端末で」を評価するゼロトラスト型アクセス。
1. 概要(端的に)
AWS Verified Access は VPN なしで社内アプリケーションへ安全に接続する「アイデンティティ対応(identity-aware)アクセス」サービス。従来の VPN が「一度つながれば社内ネットワーク全体を信頼する」のに対し、Verified Access は すべてのアクセス要求をポリシーで評価し、ユーザー ID とデバイスのセキュリティ状態が条件を満たしたときだけアプリへの通信を許可する。これがゼロトラストの核心である。
ポリシーは Cedar というポリシー言語で記述し、細かい(fine-grained)アクセス制御を実現する。当初は HTTP(S) アプリ向けだったが、現在は TCP / SSH / RDP など非 HTTP リソース(EC2 上の DB・git リポジトリ等)にも対応が拡張されている。
2. 何ができるか
- VPN レス接続:クライアント VPN ソフト不要でブラウザ/クライアントから社内アプリへ
- リクエスト単位の評価:接続確立時だけでなく、要求ごとにポリシー判定
- アイデンティティ連携:IAM Identity Center・OIDC・SAML 2.0 IdP と統合
- デバイス姿勢チェック:サードパーティ(Jamf / CrowdStrike 等)でデバイスの健全性を評価
- Cedar によるきめ細かい制御:ユーザー属性・デバイス状態・コンテキストで許可/拒否
- 非 HTTP 対応:TCP / SSH / RDP 経由のリソースにも同じ仕組みで接続
- 一元的な監査ログ:アクセス判定を CloudTrail 等へ記録
3. 構成要素
| 要素 | 役割 |
|---|---|
| Verified Access Instance | すべてのリソースを束ねるルートコンテナ |
| Trust Provider(トラストプロバイダー) | ID/デバイスの信頼情報源。ユーザー ID 用(IAM Identity Center・OIDC)とデバイス用の 2 系統 |
| Verified Access Group | エンドポイントの論理グループ。共通の Cedar ポリシーを適用 |
| Verified Access Endpoint | 社内アプリへの接続点。ALB / NLB / ENI と紐付ける |
各インスタンスには 最低 1 つの ID トラストプロバイダーが必要で、デバイス用は複数追加できる。ポリシーはグループとエンドポイントの両階層で定義できるため、「グループ共通ルール+エンドポイント固有ルール」の重ね合わせが可能。
4. 仕組み
Verified Access はユーザーとアプリの間に立ち、リクエストごとにトラストデータ(信頼情報)を集めて Cedar ポリシーで評価する。
動作の流れ
- ユーザーがアプリ(エンドポイント)へアクセス要求
- Verified Access が ID トラストプロバイダーでユーザーを認証
- デバイストラストプロバイダーで端末のセキュリティ状態を取得
- 収集したトラストデータを Cedar ポリシーの context に投入して評価
- 許可なら ALB / NLB / ENI 経由でアプリへ転送、拒否ならブロック
- 判定結果をログとして記録
Cedar と IAM Identity Center 連携
IAM Identity Center をトラストプロバイダーに指定すると、その信頼情報が Cedar の context に載る。トラストプロバイダーの「Policy Reference Name」に idp123 を設定すれば、ポリシー内で context.idp123 としてユーザー属性を参照できる。これにより「特定グループ所属かつ管理対象デバイスのみ許可」といった条件を宣言的に書ける。
5. Client VPN・関連サービスとの違い
| 観点 | Verified Access | Client VPN |
|---|---|---|
| モデル | ゼロトラスト(要求ごと評価) | 境界型(接続時のみ認証) |
| クライアント | 原則ブラウザ/専用不要 | VPN クライアント必須 |
| アクセス範囲 | アプリ単位で最小化 | 接続先ネットワークに広く到達 |
| 制御単位 | ユーザー ID+デバイス+文脈 | 証明書/ユーザー認証中心 |
| ポリシー | Cedar で宣言的 | セキュリティグループ等 |
6. ユースケース
ユースケース 1:VPN からの脱却
リモートワークで肥大化した VPN を廃し、アプリ単位のゼロトラストアクセスへ移行。
ユースケース 2:管理対象デバイスのみ許可
デバイストラストプロバイダーと連携し、健全性チェックを通った端末だけ社内ツールへ。
ユースケース 3:非 HTTP リソースへの安全接続
EC2 上の DB や git リポジトリへ、SSH / RDP / TCP でも同じ ID・デバイス検証を適用。
ユースケース 4:監査要件への対応
すべてのアクセス判定をログ化し、コンプライアンス監査のエビデンスとして活用。
7. 料金の考え方
Verified Access は 事前コミットなしの従量課金。HTTP(S) アプリでは主に 2 軸で課金される。
- アプリケーション時間(app-hour):関連付けたアプリ 1 つあたり時間課金($0.27/時間 目安)
- 処理データ量:処理した通信量に対して GB 単位課金($0.02/GB 目安)
8. 関連用語
- VPC — エンドポイントが接続する仮想ネットワーク
- ALB — Verified Access エンドポイントの接続先の代表例
- IAM Identity Center — ユーザー ID トラストプロバイダー
- Cognito — アプリ側のユーザー認証(役割が異なる)
- WAF — L7 の Web 攻撃対策として併用
- CloudTrail — アクセス判定の監査ログ
9. 関連サイト
AWS 公式
- AWS Verified Access(製品ページ)
- AWS Verified Access 料金
- Verified Access ユーザーガイド:はじめに
- IAM Identity Center 連携
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 低 | 出題稀 |
| SAA | 中 | VPN レス/ゼロトラストのアクセス設計 |
| DVA | 低 | 出題ほぼなし |
| SOA | 中 | セキュアなリモートアクセス運用 |