IAP 【Identity-Aware Proxy】アイデンティティ認識型プロキシ

概要

IAP（Identity-Aware Proxy）とは、ネットワーク上の中継システムの一種で、利用者を識別・認証してアクセスが認められた接続先へ取り次ぐもの。ZTNAの考え方に基づいてリモートから業務システムに接続する手段として用いられ、従来のVPNなどを代替する。

利用者の操作する端末とアプリケーションの通信を仲介するシステムである。利用者がアプリケーションへの接続を試みると、IAPが社内のIAM（Identity and Access Management）基盤などと連携して利用者の識別・認証を行う。

IAPは利用者に与えられた権限に基づいてアプリケーションやデータへの接続を許可し、通信を中継する。接続が途絶えると認証をやり直し、不審な場合は二段階認証を求めるなど、不正なアクセスが行われていないか常に確認し続ける。

IAPはアプリケーションに対して「コネクタ」を介して通信する。利用者がどこから接続していても、コネクタを社内ネットワーク（オンプレミス）に設置すれば社内サーバに、クラウドサービス上に設置すればクラウド上のシステムに対して同じIAPから接続することができる。

標準では端末のWebブラウザからWebアプリケーションにHTTPS接続するために用いられるが、端末側に「エージェント」と呼ばれるソフトウェアを導入することで、これ以外のプロトコルやアプリケーションに対応させることもできる。

従来、社内システムへ外部の端末から安全に接続するには、境界防御の考え方に基づいてVPN（Virtual Private Network）接続を行い、仮想的な通信路で社内ネットワークへ参加する方式が一般的だった。IAPは内外の区別無く、どこからのアクセスも信用しない「ゼロトラスト」の考え方に基づいており、端末の置かれた環境や接続先（オンプレミス/クラウド）によらず、同じ手順や利便性で同一のセキュリティ水準を確保することができる。