これまで本コラムでは、リモートワークやクラウドサービスの利用増加に伴い、従来の境界型セキュリティモデルでは安全性を担保できなくなっていること、その代わりとして、接続するリソースやアカウントを信頼せず常時確認するゼロトラストセキュリティモデルが利用されていることを説明しました。

ゼロトラストの考え方が普及し、基本的には全てのネットワークは信頼しないという考え方のもと、必要な資源やサービスにアクセスするために最小限のアクセス権を必要な時だけ与えるということが増えています。

今回は、VPNに変わる通信手段として注目を集めている「SDP(Software Defined Perimeter)」について解説します。

目次
  1. 従来の境界型セキュリティの問題点
  2. SDP(Software Defined Perimeter)って何?
  3. SDP と VPN の違い
  4. SDPを司る3つの構成要素
    1. SDPコントローラ
    2. Initiating-SDPホスト
    3. Accepting-SDPホスト
  5. SDPの処理
  6. まとめ

従来の境界型セキュリティの問題点

これまで主流となっていたのが、「境界型セキュリティ」と呼ばれる防御策で、VPN(Virtual Private Network)という言葉に聞き覚えがあるのではないでしょうか。
境界型セキュリティの考え方は、社内ネットワーク(LAN)は信頼できる、社外ネットワーク(Internet)は信頼できないとして明確に区別する方式でした。
しかしながら、この方法だと一度境界の内部に攻撃者の侵入を許すと、社内ネットワーク全体に被害が及んでしまうという危険性がありました。

SDP(Software Defined Perimeter)って何?

SDPとは、ネットワークの境界をソフトウェアによって仮想的に制御する技術です。
VPNのように、1度本人として特定されていれば、その後は通信を許可するということではなく、必要な時だけ通信を許可し、終了したら切断することをソフトウェアの制御で実施する仕組みであり、「ゼロトラスト」を実現する方法の一つです。

SDP と VPN の違い

SDPとVPNは、両方ともネットワークセキュリティを向上させるための技術ですが、異なるアプローチを取っています。

VPNは、公衆インターネット上の通信を暗号化して、リモートユーザーや拠点間の安全な通信を確保するための技術です。通信をトンネリングすることで、外部からの盗聴や改ざんから保護することを目的としていますが、ネットワーク接続前に一度だけ認証を行えば良いです。

一方、SDPは、ユーザーの認証結果とデバイスの状態に基づいて、アプリケーションへのアクセスを制御する方式です。ユーザーがアプリケーションにアクセスする前に、そのユーザーが信頼できるかどうかを評価し、必要なセキュリティポリシーに基づいてアクセスを制御します。認証も接続前後と通信中の3回行います。

SDPを司る3つの構成要素

SDPは、接続元となる「Initiating-SDPホスト」と接続先の「Accepting-SDPホスト」、さらにその中央に「SDPコントローラ」を配置して、通信制御を行っています。

SDPコントローラ

認証局や外部の認証サーバーなどと情報連携を行い、利用者のデバイス認証とID認証の結果から、どのSDPホストと通信を行うかを管理します。

Initiating-SDPホスト

接続の依頼元であり、本人認証、デバイス認証のためにSDPコントローラに接続します。Initiating-SDPホストは、ハードウェア、ソフトウェアの情報をSDPコントローラに送り、ネットワーク上で識別できるIPアドレスなどの情報が返信されることを待ちます。

Accepting-SDPホスト

SDPコントローラの要求を受けて接続を許可し、指定されたInitiating-SDPホストからの接続を待ちます。

SDPの処理

接続元から接続先へ通信を確立する流れは、以下の通りです。

① SDPコントローラがオンラインとなります。

② Accepting-SDPホストは、SDPコントローラとVPN 接続を確立します。

③ Initiating-SDPホストは、SDPコントローラとVPN 接続を確立します。

④ SDPコントローラにて、Initiating-SDPホストから送られてきたデバイスと本人情報に基づいて認証を行い、Accepting-SDPホストが存在するかを確認します。

⑤ 接続依頼が正しい場合、SDPコントローラは、Accepting-SDPホストに対して、Initiating-SDPホストからの接続要求を送ります。

⑥ SDPコントローラは、Initiating-SDPホストに対して、アクセスが可能なAccepting-SDPホストのネットワーク情報を送ります。

⑦ Initiating-SDPホストは、アクセスが許可された Accepting-SDP ホストに対して VPN 接続を依頼し、相互にInitiating-SDPホストとAccepting-SDPホストが通信を開始します。

※ 一連の通信が終われば、上記の経路はなくなり、新たな接続要求によって接続が再開されます。

まとめ

ハイブリッドワーク化が進む中で、ネットワークセキュリティを保った通信を確保する必要がありますが、VPNよりも強固なセキュリティを実現するSDPの導入を検討してみてはいかがでしょうか。