内部ネットワークと外部ネットワークの境界における侵入防止策を実施すれば安全であるという考えは、従来の情報セキュリティにおいては一般的でした。
しかし、巧妙化する攻撃手法や自社のネットワーク内部での脅威への対応、多様な働き方の推進により、従来の境界の考え方だけでは情報セキュリティ対策として不十分になってきています。
こうした状況に対し、ゼロトラストという考え方が普及しつつあります。
SDPもゼロトラストを実現する技術の一つで、境界を固定せずネットワークの通信ごとにチェック、定義する仕組みを持ちます。
本記事では、セキュアなリモート接続技術であるSDPについて、登場の背景やメリット、仕組みなどを紹介します。セキュリティ強化を課題とされる方のお役に立てば幸いです。
また、企業が対応するべきセキュリティ対策が一覧で把握できるチェックシートを無料で配布しています。ぜひご活用ください。
SDPとは
SDPはSoftware Defined Perimeterを略したものです。Perimeterは境界を意味する単語であり、日本語訳では「ソフトウェアによる境界の定義」となります。
そして、SDPは別々のネットワークに属する2点のコンピュータ間に仮想的なネットワークを構築し、接続を提供する技術です。このネットワーク間に境界を設けセキュリティチェックを行うことで安全性の高いネットワーク接続を実現します。
ここでいう境界は、従来のセキュリティ対策において重視されていた境界型セキュリティの境界と同様の意味です。企業や組織の内側と外側にネットワークを分けて、その間を境界とします。外部から攻撃が行われるため、境界で防ぐことで内部のネットワークを守るというのが、境界型セキュリティの基本的な考え方です。境界型のセキュリティでは、内部は安全、外部は危険があると分けて考えていました。
しかし、この内部と外部の境目は、いまや絶対ではなくなってきています。クラウドサービスの活用やテレワークなどにより、ネットワーク環境の変化、複雑化が進みました。境目は曖昧となり、従来の境界型セキュリティの考え方だけではネットワーク接続における安全性が確保できない状況となってきています。
そこで、ゼロトラストの考え方が生まれました。ゼロトラストとは「すべてを信頼しない」という意味合いで、すでにネットワーク内部への不正アクセスやマルウェア感染が起きているかもしれないことを前提に、セキュリティを確保します。
SDPは、ネットワークに接続する際に毎回ソフトウェアにより安全な範囲をチェックし、仮想的・動的に境界を定義する仕組みを持ちます。この仕組みにより、既存の境界にとらわれずすべての通信をチェック対象とすることで、セキュアなリモート接続を提供することが可能です。リモートネットワークを構成する上で、ゼロトラストを実現する技術の一つといえるでしょう。
ゼロトラストとは
サイバー攻撃は巧妙化し、手口やターゲットも多様化が進んでいます。
例えば、対応が確立されていない脆弱性を突くゼロデイ攻撃では、ネットワークへの侵入を防ごうにも脆弱性への対応をベンダーが提供するまでは手が打てません。また、通常のアプリケーションを装ってネットワークに侵入し感染拡大後に発症するマルウェアなども登場しており、これも境界ですべてを防ぐことは難しいという状況です。
従来の境界型セキュリティでは、サイバー攻撃を防ぎきれないという段階に達していると言えるでしょう。
こうしたサイバー攻撃への対策として考えられたのがゼロトラストでした。
ゼロトラストでは、ネットワークへの侵入やマルウェアへの感染が防げないのであれば、ネットワークへの侵入やマルウェアへの感染をしているかもしれないという「何も信頼しない」ことを前提とします。「何も信頼しない」ため、すべての情報資産へのアクセス、通信をチェックして脅威を検知し、対処することで被害の拡大を防ぐという考え方といえます。
SDPが登場した背景
SDPが求められ、登場した背景には、ネットワーク環境の変化があります。
ITインフラの整備が進み、Wi-Fiが利用できる環境も増加しました。また、働き方の形の一つとしてリモートワークが登場したことも、ネットワーク環境の変化の一つです。
リモートワークによって、自宅やコワーキングスペースなどあらゆるところから企業や組織のネットワークに接続する機会が生まれました。
そして、これらのニーズに向け、家庭や公衆ネットワークなどから企業や組織のネットワークに接続する際には、VPNというネットワーク技術が利用されてきました。
しかしながら、VPNを利用する場合には、ユーザーが利用するネットワークを意識して、接続コントロールを行わなければなりません。また、ネットワーク内のアクセス制御や接続後の通信への認証がないといったセキュリティ上の懸念事項が存在しています。
そこで、VPNに不足するセキュリティを補い、なおかつユーザーがネットワーク接続を意識せずに利用できる接続技術としてSDPが登場したのです。
SDPとVPNの違い
VPN(Virtual Private Network)は非常に広く利用されているネットワーク接続技術の一つです。接続したい2点の間に、仮想的なアクセス経路を確保して接続を行います。仮想的なアクセス経路の構築のため、VPNルーターなどの機器が必要です。
VPNでは、認証は最初に接続した際に行います。その後、ネットワーク接続が継続される間はこの認証が有効です。SDPでは、接続の前後および通信中に認証が行われることが一つの違いです。SDPは通信ごとに認証が発生するため、より高いセキュリティレベルを確保することができます。
認証に利用する要素の数も異なります。
VPNは通常ユーザIDとパスワードによる認証を行います。SDPでは、複数の認証要素を組み合わせることが一般的です。ユーザIDとパスワードに加え、デバイスの種類、接続元ネットワークのロケーション情報、OS種別なども認証要素として利用します。複数の認証を組み合わせることにより、安全性を高めています。
他にも、アクセス制御の細やかさに差があります。VPNでは、接続確立後はネットワーク内なら自由にアクセスが可能となり、ユーザーごとのアクセス制御には対応していません。一方、SDPではユーザーごとに詳細にアクセス制御が可能です。
SDP導入のメリット
リモート接続技術としてSDPを導入することのメリットを紹介します。
セキュアなリモート環境の提供
SDPをVPNに代わる環境として利用した場合、セキュリティ強度を高めることが可能です。
VPNには多くの脆弱性が指摘されています。情報漏えいや流出は、組織の信頼を著しく傷つける事態を招きますし、さらには損害賠償が発生する恐れもあるでしょう。また、ランサムウェアによりシステムが停止し、それを原因として事業が停止に至った事例も少なくありません。
ユーザー負荷軽減
VPNなどを利用した従来の接続であれば、ユーザーは今自分がどんなネットワークに接続するのかを意識し、設定する必要がありました。このユーザーの負荷をSDPを導入することにより軽減することができます。
SDPでは、ソフトウェアにより接続先の確認とコントロールを得ることができます。ソフトウェアが通信が起こる度にネットワーク上の境界を確認し、自動的にセキュリティを高める仕組みです。結果、ユーザーはどのネットワークを利用しているのかを意識する必要がなく、自分の業務に集中できる環境を提供できます。
環境構築、運用のコスト削減
SDPはソフトウェアによる仕組みで、デバイスは必要ありません。デバイスを用いた仕組みの初期の導入コストも運用維持にかかるコストも削減することが可能です。ITインフラとしての固定費用を抑えたい場合にも有力な選択肢となります。
また、ハードウェアが不要であることにより、拡張余力も高く、接続する拠点の追加においても、ハードウェアの設置を伴わずにソフトウェアの設定として実現できます。
SDPの接続の仕組み
SDPがどのように接続を実現しているか、その仕組みについて概要を説明します。
SDPは、ソフトウェアによりユーザーとアクセス対象の間に仮想のネットワーク接続を構築します。SDPにおいて、ユーザーのアクセスは必ずこのネットワーク接続を経由し、そこで認証が必ず行われます。
より詳細には、SDPはSDPホスト、SDPコントローラーにより構成されています。SDP接続の通信元と通信先のホストでは、SDPホストというプログラムをインストールして、実行します。仮想ネットワークの構築は、サーバーでSDPコントローラーというプログラムを稼働させることが必要です。
SDPでは、通信が行われるたびにネットワークの接続、境界の設定を行い、一つ一つの通信が終了したら接続、境界は破棄します。次の接続では再度、境界を定義しなおすことで高いセキュリティ性能を維持し、セキュリティリスクを最小限に抑える仕組みです。
SDPの効果はどのような企業で出やすいか
SDPは、今後リモートネットワークを利用するあらゆる企業や組織で活躍する技術です。特に、下記のような企業では高い効果を発揮するでしょう。
- テレワークを推進する企業
- 拠点の多い企業
- クラウドサービスの活用を進めている企業
- クラウドファースト、モバイルファーストの理念に沿った企業
- 協力企業とのネットワーク接続を持つ企業
まとめ
SDPは、リモートネットワーク接続のための技術で、ゼロトラストを実現する手段の一つです。
現在普及しているVPNよりセキュリティ性能が高く、ユーザーの負荷が下がり、細かなアクセス制御が可能などのメリットを持ちます。ネットワーク環境の変化に対応し、VPNを代替する技術として期待されているのです。
また、LRMで配布しているセキュリティチェックシートもご活用ください。