アイデンティティ認識型プロキシ(Identity-Aware Proxy:IAP)はユーザとアプリケーションの間に入って通信を仲介するプロキシである。アイデンティティ認識型と呼ばれるのはユーザがアプリケーションにアクセスする度に認証基盤と連携して認可をやり直すためである。不正アクセスが疑われる場合は接続させない、または多要素認証を求めることによって正当なユーザあること、リスクがない端末であることを確認することで実現している。
さらにオンプレミスの社内ネットワークの内部にコネクターと呼ぶサーバを配置することで、オンプレミスにあるアプリケーションがインターネット経由で利用可能になる。通信はIAPが暗号化するためインターネット経由で安全にアプリケーションを利用できるようになる。テレワークが普及する中、社外端末からSaaS環境、IaaS環境、オンプレミス環境へリモートアクセスを行う方法として注目を浴びている。
ID/PWのみの認証によるサービス利用許可や、SSL-VPNによる社内システムへのアクセスと比較し、リモート環境において端末からユーザの認証、認可を行った上でSaaSアプリケーションさせること、さらにIaaSやオンプレミスなどの社内リソースに安全にアクセスできるメリットがある。
IAPの主な機能として以下が提供されるのが一般的である。
- コンテナ: IAPとアプリケーションの通信を中継するサーバでオンプレミスやIaaS側へ配置される。この機能による社内リソースへの安全な通信、アクセスが可能となる
- エージェント: エンドユーザの端末にインストールされる。ブラウザベースでは対応できないHTTPS以外のプロトコルでアクセスできるようになる
- IAM連携: アプリケーション利用の認証、認可を認証基盤(IAM)によって行う仕組み。既設の認証基盤を利用することが可能となる。
- デバイスポスチャ: 接続端末のリスクを判断する機能。端末の状態を判断しアクセスを許可するか判断する。EDRと連携する機能を持つものもある。
IAPはリモートアクセス環境に置いてVPN環境を補完したり代替する仕組みとして用いられる一方で、ゼロトラストモデルにおいてアプリケーションなどのリソースを保護する上で欠かせないコンポーネントとなり普及が進みつつある。
