ネットワーク

AWS Verified Access とは?VPN レスなゼロトラスト設計を徹底解説

AWS Verified Access は VPN なしで社内アプリへ安全に接続する「アイデンティティ対応アクセス」サービス。ユーザー ID とデバイス状態をリクエストごとに評価し、Cedar ポリシーでゼロトラストを実現する。構成要素(インスタンス/トラストプロバイダー/グループ/エンドポイント)・仕組み・料金・Client VPN との違いまで、設計視点で整理する。

VPN なしで社内アプリへ安全に接続。リクエストごとに「誰が・どの端末で」を評価するゼロトラスト型アクセス。


1. 概要(端的に)

AWS Verified Access は VPN なしで社内アプリケーションへ安全に接続する「アイデンティティ対応(identity-aware)アクセス」サービス。従来の VPN が「一度つながれば社内ネットワーク全体を信頼する」のに対し、Verified Access は すべてのアクセス要求をポリシーで評価し、ユーザー ID とデバイスのセキュリティ状態が条件を満たしたときだけアプリへの通信を許可する。これがゼロトラストの核心である。

ポリシーは Cedar というポリシー言語で記述し、細かい(fine-grained)アクセス制御を実現する。当初は HTTP(S) アプリ向けだったが、現在は TCP / SSH / RDP など非 HTTP リソース(EC2 上の DB・git リポジトリ等)にも対応が拡張されている。


2. 何ができるか

  • VPN レス接続:クライアント VPN ソフト不要でブラウザ/クライアントから社内アプリへ
  • リクエスト単位の評価:接続確立時だけでなく、要求ごとにポリシー判定
  • アイデンティティ連携:IAM Identity Center・OIDC・SAML 2.0 IdP と統合
  • デバイス姿勢チェック:サードパーティ(Jamf / CrowdStrike 等)でデバイスの健全性を評価
  • Cedar によるきめ細かい制御:ユーザー属性・デバイス状態・コンテキストで許可/拒否
  • 非 HTTP 対応:TCP / SSH / RDP 経由のリソースにも同じ仕組みで接続
  • 一元的な監査ログ:アクセス判定を CloudTrail 等へ記録

3. 構成要素

要素役割
Verified Access Instanceすべてのリソースを束ねるルートコンテナ
Trust Provider(トラストプロバイダー)ID/デバイスの信頼情報源。ユーザー ID 用(IAM Identity Center・OIDC)とデバイス用の 2 系統
Verified Access Groupエンドポイントの論理グループ。共通の Cedar ポリシーを適用
Verified Access Endpoint社内アプリへの接続点。ALB / NLB / ENI と紐付ける

各インスタンスには 最低 1 つの ID トラストプロバイダーが必要で、デバイス用は複数追加できる。ポリシーはグループとエンドポイントの両階層で定義できるため、「グループ共通ルール+エンドポイント固有ルール」の重ね合わせが可能。


4. 仕組み

Verified Access はユーザーとアプリの間に立ち、リクエストごとにトラストデータ(信頼情報)を集めて Cedar ポリシーで評価する。

動作の流れ

  1. ユーザーがアプリ(エンドポイント)へアクセス要求
  2. Verified Access が ID トラストプロバイダーでユーザーを認証
  3. デバイストラストプロバイダーで端末のセキュリティ状態を取得
  4. 収集したトラストデータを Cedar ポリシーの context に投入して評価
  5. 許可なら ALB / NLB / ENI 経由でアプリへ転送、拒否ならブロック
  6. 判定結果をログとして記録

Cedar と IAM Identity Center 連携

IAM Identity Center をトラストプロバイダーに指定すると、その信頼情報が Cedar の context に載る。トラストプロバイダーの「Policy Reference Name」に idp123 を設定すれば、ポリシー内で context.idp123 としてユーザー属性を参照できる。これにより「特定グループ所属かつ管理対象デバイスのみ許可」といった条件を宣言的に書ける。


5. Client VPN・関連サービスとの違い

観点Verified AccessClient VPN
モデルゼロトラスト(要求ごと評価)境界型(接続時のみ認証)
クライアント原則ブラウザ/専用不要VPN クライアント必須
アクセス範囲アプリ単位で最小化接続先ネットワークに広く到達
制御単位ユーザー ID+デバイス+文脈証明書/ユーザー認証中心
ポリシーCedar で宣言的セキュリティグループ等

6. ユースケース

ユースケース 1:VPN からの脱却

リモートワークで肥大化した VPN を廃し、アプリ単位のゼロトラストアクセスへ移行。

ユースケース 2:管理対象デバイスのみ許可

デバイストラストプロバイダーと連携し、健全性チェックを通った端末だけ社内ツールへ。

ユースケース 3:非 HTTP リソースへの安全接続

EC2 上の DB や git リポジトリへ、SSH / RDP / TCP でも同じ ID・デバイス検証を適用。

ユースケース 4:監査要件への対応

すべてのアクセス判定をログ化し、コンプライアンス監査のエビデンスとして活用。


7. 料金の考え方

Verified Access は 事前コミットなしの従量課金。HTTP(S) アプリでは主に 2 軸で課金される。

  • アプリケーション時間(app-hour):関連付けたアプリ 1 つあたり時間課金($0.27/時間 目安)
  • 処理データ量:処理した通信量に対して GB 単位課金($0.02/GB 目安)

8. 関連用語

  • VPC — エンドポイントが接続する仮想ネットワーク
  • ALB — Verified Access エンドポイントの接続先の代表例
  • IAM Identity Center — ユーザー ID トラストプロバイダー
  • Cognito — アプリ側のユーザー認証(役割が異なる)
  • WAF — L7 の Web 攻撃対策として併用
  • CloudTrail — アクセス判定の監査ログ

9. 関連サイト

AWS 公式

参考


🎓 試験での出題傾向

試験重要度主な出題パターン
CLF出題稀
SAAVPN レス/ゼロトラストのアクセス設計
DVA出題ほぼなし
SOAセキュアなリモートアクセス運用