Google Cloud

GCP PCSE 試験対策|BeyondCorp Enterprise・VPC Service Controls・IAP 詳細

2026-05-24
NicheeLab編集部

PCSE 試験のゼロトラスト領域を深掘りします。BeyondCorp Enterprise (Chrome Enterprise Premium)、Identity-Aware Proxy (IAP)、Context-Aware Access、Endpoint Verification、VPC Service Controls を体系的に整理します。

BeyondCorp Enterprise (Chrome Enterprise Premium)

Google 社内のゼロトラスト実装 BeyondCorp を商品化したもの。前提: 「ネットワークの内側 = 安全」を捨て、デバイス + ユーザー + コンテキストでアクセス可否を判定します。

主要コンポーネント

  • Identity-Aware Proxy (IAP): HTTPS LB の前段認証ゲートウェイ
  • Endpoint Verification: Chrome 拡張 + ネイティブで端末状態 (暗号化・OS・パッチ) を収集
  • Context-Aware Access: Access Level (デバイス + IP + 地理 + 時間) で粒度制御
  • Threat / DLP Protection: ブラウザ層でフィッシング・データ流出防御
  • Access Context Manager: Access Level / Access Policy の中央管理

Identity-Aware Proxy (IAP)

対応リソース使い方
App Engine / Cloud Run / GKEHTTPS LB の Backend に IAP を有効化
Compute Engine VMSSH/RDP も IAP TCP forwarding で踏み台不要
オンプレ Web アプリIAP Connector 経由で公開
  • OAuth 2.0 で Google アカウント認証
  • IAM の roles/iap.httpsResourceAccessor で許可ユーザー指定
  • VPN 不要、Public IP 公開でも安全

Context-Aware Access の Access Level

Access Level "trusted-corp" =
  device.is_company_owned == true AND
  device.os == "ChromeOS" OR (device.os == "Windows" AND device.encryption_status == "ENCRYPTED") AND
  origin.region_code IN ("JP", "US") AND
  origin.ip IN_RANGE ("203.0.113.0/24")

VPC Service Controls (VPC SC)

基本概念

  • Service Perimeter: 保護するプロジェクト + サービスのセット
  • Ingress Policy: Perimeter 外からの API 呼び出し許可
  • Egress Policy: Perimeter 内から外への API 呼び出し許可
  • Access Level 連携: コンテキスト判定で動的許可

保護対象 (主要)

  • BigQuery、Cloud Storage、Pub/Sub、Bigtable、Spanner
  • Cloud SQL、Cloud KMS、Cloud Functions、Cloud Run
  • Vertex AI、Dataflow、Dataproc
  • Artifact Registry、Container Registry

運用パターン

パターン説明
Dry-run mode実際にブロックせず違反ログのみ。本番投入前検証に必須
Bridge perimeterPerimeter 間通信用 (廃止予定、Ingress/Egress 推奨)
Restricted VIPrestricted.googleapis.com 経由で VPC SC 適用 API のみ許可
Private Google AccessVPC 内から VPC SC 保護 API へ Private IP 経由

ゼロトラスト統合アーキ (頻出)

  1. Cloud Identity / Workspace でユーザー ID 統一
  2. Endpoint Verification でデバイス状態収集
  3. Access Context Manager で Access Level 定義
  4. IAP で Web / SSH アクセスゲート
  5. VPC Service Controls で BigQuery / GCS 等の API レイヤ保護
  6. Cloud DLP / Sensitive Data Protection で PII マスキング
  7. Security Command Center で脅威可視化

頻出ひっかけ問題

  • VPC SC は Compute Engine VM 内のトラフィックを保護しない: Firewall Rule で対応
  • IAP は IAM の iap.httpsResourceAccessor が必要: roles/owner では不可
  • VPC SC + Service Account: SA がアクセス元として扱われるので Ingress 制御必要
  • Restricted VIP: 199.36.153.4-7 で固定、Private DNS 設定必須

BeyondCorp Enterprise とは何ですか?

Google が 2011 から実装している社内ゼロトラストモデルを商品化したもの。VPN 不要で、デバイス状態 + ユーザー ID + コンテキストに基づきリソースアクセス可否を判定します。

VPC Service Controls (VPC SC) は何を守る?

BigQuery / Cloud Storage / Pub/Sub 等のマネージドサービスの API レイヤを Perimeter で囲み、外部からのデータ持ち出しを防ぐ。Network ACL では届かない API レベルの保護。

IAP (Identity-Aware Proxy) と BeyondCorp の関係は?

IAP は BeyondCorp の中核コンポーネントの 1 つ。HTTPS LB の前段で OAuth 認証 + コンテキスト判定を実施。BeyondCorp Enterprise は IAP + 追加機能 (Threat / DLP / Endpoint Verification) のスイート。

Context-Aware Access の主な属性は?

デバイスタイプ、OS バージョン、暗号化状態、企業所有/個人所有、IP アドレス、地理位置、時間帯。これらを組み合わせて Access Level を定義します。

VPC SC の Perimeter は何個まで作れる?

1 組織あたり最大 200 個 (デフォルト)。Ingress / Egress ポリシーで Perimeter 間通信を許可制御。Perimeter Bridge は廃止予定で新規は Ingress/Egress を推奨。

VPC SC で保護できないサービスは?

Compute Engine VM 内のアプリケーション通信は保護対象外 (VPC Firewall で対応)。VPC SC はマネージド API レイヤのみ。

Chrome Enterprise Premium (旧 BeyondCorp Enterprise) とは?

2024 にリブランド。Chrome ブラウザの管理 + ゼロトラストアクセス + DLP / Threat Prevention を統合。ChromeOS / BeyondCorp Enterprise を吸収統合。

ゼロトラスト実装の頻出パターンは?

Cloud Identity + Endpoint Verification + IAP + Context-Aware Access + VPC SC で API/Web/Data の三層を保護。AD 連携と組み合わせれば既存企業にも導入容易。

関連記事・PCSE / セキュリティ

GCP Professional Cloud Security Engineer (PCSE) 完全ガイド|IAM・KMS・BeyondCorp・SCC

Google Cloud Professional Cloud Security Engineer の試験範囲、IAM / Cloud KMS / VPC Service Controls / BeyondCorp / Security Command Center、AWS SCS・Azure SC-100 比較を詳解。

GCP Professional Cloud Network Engineer (PCNE) 完全ガイド|VPC・Interconnect・Load Balancing

Google Cloud Professional Cloud Network Engineer の試験範囲、VPC / Cloud Interconnect / Cloud Load Balancing / Cloud Armor、AWS ANS・Azure AZ-700 比較を詳解。

GCP PCNE 試験対策|Cloud Interconnect 詳細・HA VPN・Cross-Cloud・NCC 完全ガイド

Google Cloud Professional Cloud Network Engineer (PCNE) のハイブリッド接続を深掘り。Dedicated / Partner Interconnect / HA VPN / Cross-Cloud Interconnect / NCC / Private Service Connect を解説。

GCP VPC 設計パターン完全ガイド|Shared VPC・Peering・Cloud NAT・Cloud Armor

Google Cloud VPC のグローバルアーキテクチャ、Shared VPC、VPC Peering、Hierarchical Firewall、Cloud NAT、Cloud Armor、ロードバランサ 7 種類の使い分け、Flow Logs 活用を解説。

※ Google Cloud、BeyondCorp は Google LLC の商標です。最新情報は BeyondCorp Enterprise 公式 をご確認ください。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

GCP 試験対策ページを見る
この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。


関連記事
Google Cloud

Google Cloud (GCP) 認定資格ロードマップ 2026 完全版|全 15 試験を体系化

Google Cloud 認定資格 全 15 試験 (Foundational 2 + Associate 3 + Pr...

Google Cloud

Cloud Digital Leader (CDL) 完全ガイド|出題範囲・学習リソース・合格戦略

Google Cloud Cloud Digital Leader (CDL) の完全ガイド。6 ドメイン 92 bul...

Google Cloud

Generative AI Leader (GAIL) 完全ガイド|Google Cloud 生成 AI 認定

Google Cloud Generative AI Leader (GAIL、2025-05-14 リリース) の完全...

Google Cloud

Vertex AI 入門|Google Cloud 統合 ML プラットフォームの全機能

Google Cloud Vertex AI の入門解説。Vertex AI Studio / Agent Builde...

Google Cloud

GCP Associate Cloud Engineer (ACE) 完全ガイド|試験範囲・受験料・学習ロードマップ

Google Cloud Associate Cloud Engineer (ACE) の試験範囲・受験料 125 US...

Google Cloudの記事一覧 (102件)
© 2026 NicheeLab All rights reserved.