SDPとは?ゼロトラストで提唱されるクラウド時代のネットワークセキュリティ
近年では、クラウド環境や個人端末の利用など、接続元や接続先が多種多様になり、従来の方法では柔軟に防御することが難しくなってきました。
そこで出てきたのがSDP(Software Defined Perimeter)です。働き方の多様化と平行してサイバー犯罪も活性化し、情報システム担当の耳にはタコが出来るくらいゼロトラスト!脱VPN!!と言われてますが、20年以上の歴史があるVPNからの卒業はそう容易ではありません。
本記事では、改めて境界型セキュリティの何が弱点なのか?弱点を克服する為に生まれた新しい境界線セキュリティSDPとは何なのか?を解説したいと思います。
従来の境界型セキュリティ「VPN」の弱点とは?
境界型セキュリティと言われるこれまでの防御策は、社内(LAN)は安全、社外(インターネット)は危険という考え方を基に、その二つのネットワークの境界線をファイヤフォールやUTMで強固に警備する事が主流でした。
なかなか通過できない検問であるものの、一度、境界の内側に入ることを許可されたユーザは信用をするという前提での運用である為、万が一悪意のあるユーザに侵入されてしまうと甚大な被害に繋がる可能性があります。
加えてVPNはVPN機器を用いて構築しますので、複数設置しているVPN機器それぞれの脆弱性がサイバー犯罪者の標的になり得ると考えると、攻撃リスクと管理担当者の運用負担が懸念点と言えるでしょう。
また、近年は自宅やモバイルからの接続、BYOD等による個人デバイスの持ち込みも増えています。自社のネットワークが直接外部から攻撃を受けなくても、外でマルウェアに感染した個人端末が直接社内LANに接続されてしまうケースもあります。
SDP(Software Defined Perimeter)とは?
SDP(Software Defined Perimeter) とは、 ネットワークの内側と外側の境界線(perimeter)をソフトウェアによる制御で定義する仕組みの事です。VPNを使ったネットワーク構成のまま「ゼロトラスト」を実現する方法のひとつです。
これまで以上に細かいアクセス制御を一箇所集中型でソフトウェアによって実現することで、境界型セキュリティでは防ぎきれない脅威にも対応する事が出来ます。
SDPの特徴とは?
SDPは3つの構成要素を基本として成り立っています。
接続元である「Initiating-SDPホスト」と「SDPコントローラ」と接続先の「Accepting-SDPホスト」です。
接続元ホストは特定のホストにアクセスしたいとSDPコントローラに要求し、自分の情報をSDPコントローラに開示します。
SDPコントローラは接続元ホストが予め設定されているポリシーに沿って認証に値するかどうかを判断した上で、依頼された特定のホストの存在を確認します。
この時点で問題がなければ、SDPコントローラが接続先のホストに接続元ホストからの接続要求を代行し、許可されると、SDPコントローラは暗号化されたトンネルを生成し1対1の通信環境を提供します。
これによって接続元ホストは今回のアクセスのみ接続先ホストにたどり着けるという仕組みです。
「今回のアクセスのみ」と表現したのは、のちに同じホストが同じ接続先へアクセスしようとしても、都度都度検問が設けられるようになっているからです。
「全ての通信を疑う」というゼロトラストに基づいた技術ですので、たとえ同じ物理ネットワーク上の機器であっても信用せずに全てのアクセスがチェックの対象となります。
これにより、一度許可を出したアクセスに乗ずる不正アクセスのリスクを大きく減らすことができます。
そしてマルウェアに侵された端末が社内LANに入ってしまったとしても何かにアクセスしようとすれば検疫にひっかかりますので、被害を最小限に食いとどめる事も期待できます。
SDPのメリットとは?
メリットとしてまず挙げられるのは、セキュリティレベルの向上でしょう。
接続元は、SDPコントローラの認証を得られないと接続先のネットワーク情報を開示してもらえません。
また、その時許可された通信も一連のやり取りが終了すると経路は閉ざされ次回は改めて接続要求からのやりとりが必要になります。
つまり、接続先となるホストはIPアドレス等のネットワーク情報が隠されている状態ですので、直接そこが攻撃を受けることはないといえます。
また私物デバイスや自宅/カフェ等の外部ネットワークは企業が独自のセキュリティポリシーを適用しがたい領域であり、情報システム担当者を悩ませる種であったと思いますが、SDPを導入することでこの懸念を払拭できます。
次に運用工数軽減もメリットとなります。これまで、サーバーやアプリケーションに分散していたアクセス権限管理も、SDPコントローラに集約できます。
SDPコントローラ上でどのホストとどのホストを接続可能とするか一極集中管理していますので将来的なクラウドサービスの追加、デバイスの追加等、様々なITリソース拡大にも柔軟に対応が可能です。
また、アクセス権限や接続設定の管理、現在の接続状況の監視などもコントローラ上で見ることが出来るため、煩雑な設定追加や設定変更などもコントローラ上で完結させることが出来ます。
その他にも、ネットワーク接続でつなぐ拠点それぞれで通信するためのゲートウェイを何台も用意しなくていい、特殊なツールや機械の購入が必要ないため短期間で実装できる、リアルタイムで接続を監視することができるといったメリットがあります。
- メリット -
- セキュリティレベルの向上
- 運用工数の軽減
- ハードウェア等の購入・維持コスト削減
- 短期間での導入が可能
- リアルタイム監視も可能
ここ10年の間に多くの企業がSaaSの活用を開始しており、それは新型コロナウイルスの影響で更に加速し、現在は殆どの企業が1社で複数のSaaSを導入しています。一方で、オンプレミスで運用するしかない、外には出せないというリソースがあるという企業も多く存在しており、オールクラウド体制な企業の方が少ないのが現実です。クラウドとオンプレミスのハイブリッドなネットワーク構築であったり、ユーザのマルチロケーション、マルチデバイスへの対応と情報システム担当者の仕事は尽きません。そんな担当者様にとって生産性向上とセキュリティ向上の両面で有効な一手となり得ることは言うまでもありません。
