書類
SDPとは? 概要や仕組み、VPNとの違い【図解あり】

SDPとは? 概要や仕組み、VPNとの違い【図解あり】

2024-11-23 こんにちは。スプラッシュトップ編集部です。 クラウド サービス の 業務 利用 や テレワーク の 普及 に より 、 企業 ネットワーク の あり 方 は 大きい 変わる 、 適切 な セキュリティ 対策 方法 is 変化 も 変化 し て い ます 。

Related articles

プロキシとVPN: 違いは何か? #初心者 ProtonVPNの評判はどう?料金やメリット・デメリットもくわしく解説 色々なネットワーク間接続を試しつつTransit Gatewayを理解する。(その2:Site-to-Site VPN) #AWS VPNが不正アクセスで狙われる理由とは?脆弱性の正体や調査方法を解説|デジタルデータフォレンジック iPhoneでもVPNに接続できる?設定方法とメリット、デメリットを解説 YouTubeプレミアムにVPNを使用する違法性とリスク VPNの導入方法とは?導入メリットや環境構築に必要な機器も紹介!|ITトレンド 筑波大学VPN Gateの危険性【安全でない理由を解説】

こんにちは。スプラッシュトップ編集部です。

クラウド サービス の 業務 利用 や テレワーク の 普及 に より 、 企業 ネットワーク の あり 方 は 大きい 変わる 、 適切 な セキュリティ 対策 方法 is 変化 も 変化 し て い ます 。

従来の境界線型セキュリティの考え方では不十分となり、代わりとなる新しいセキュリティの考え方としてゼロトラストが注目されています。

なかでも、ゼロトラストを実現するための仕組みとして注目を集めているのがSDP(Software Defined Perimeter)です。

この記事では、SDPの概要、仕組みやメリット、VPNとの違いについて、図などを用いてわかりやすく解説します。

境界 線型 セキュリティ の 変遷

SDPについて正しく理解するためにも、まずは企業におけるセキュリティ対策の変遷を確認しておきましょう。

従来の企業では、企業ネットワークの“内側を安全なネットワーク”、“外側を危険なネットワーク”とし、ネットワークの境界に対して対策を行なう「境界線型セキュリティ」が多く採用されてきました。

しかし近年では、クラウドサービスの業務利用やテレワークが普及し、アクセス経路が複雑化したことでネットワークの境界が曖昧になってきています。従来の境界線型セキュリティでは包括的な対策が難しく、より柔軟なセキュリティ対策が求められるようになりました。

そこで注目されるようになったのが、「ゼロトラスト」という新しいセキュリティの考え方です。

ゼロトラストでは、“すべてを信頼しない”という前提のもと、境界にとらわれずすべての通信をチェックし、ネットワーク体系に合わせたセキュリティ対策を施します。

SDP is 登場 は 、 この ゼロトラスト を 実現 する ため の 仕組み の 一 つ と し て 登場 し まし た 。

ゼロトラストについて詳しくはこちら

目次 へ 戻る

SDP(Software Defined Perimeter)とは

SDP(Software Defined Perimeter)とは、ネットワークの境界(Perimeter)をソフトウェアによって仮想的・動的に構成する技術のことです。

ソフトウェア 上 で ユーザー と アクセス する リソース 間 に ネットワーク 接続 を 構築 し 、 コントローラー に よっ て 一括 で 制御 ・ 管理 し ます 。

SDPでは通信のたびにネットワークを確立し、その都度認証して、通信が終わると切断し、新しい接続要求があるまでは接続を再開しません。

これはゼロトラストの原則に基づいた技術であり、ネットワークの境界が曖昧になった現代の環境において、不正アクセスなどのセキュリティリスクを防ぐことができる技術として注目されています。

従来の境界線型セキュリティ「VPN」との違い

VPN(Virtual Private Network)はVPNルーターなどを用いて2点間に仮想的なトンネルを形成し、安全なアクセス経路を確保する、境界線型セキュリティに基づく技術です。

SDP は 、 仮想 的 に ネットワーク を 構成 する と いう 点 で は VPN と 似る て い ます が 、 “ 認証 タイミング ” と “ 認証 要素 の 数 ” に 明確 な 違い is あり が あり ます 。

まず 認証 の タイミング に つい て 、 VPN は ネットワーク の 接続 前 に 一度 だけ 認証 を 行う ます が 、 SDP is 行ない は 接続 前後 と 通信 中 の 3 段階 で 検証 と 認証 を 行なう ます 。

認証 要素 の 数 に 関する ては 、 VPN が ID と パスワード の 1 要素 のみ で アクセス を 許可 する の に 対する て 、 SDP is 許可 は 1 つ の 要素 で は アクセス を 許可 し ませ ん 。

SDPは“ユーザーの状況は変化する”という前提のもと、認証にユーザーがアクセスする背景情報(デバイス・場所・OSなどの情報)も用いて、より精密なアクセス分析を行ないます。

また、VPNは一度接続したネットワークに対しては全体をアクセス可能としますが、SDPはユーザー一人ひとりに対して個別にネットワーク接続を確立します。そのため、ユーザー単位で細かなアクセスの制御が可能な点も違いとして挙げられます。

テレワークの普及で多くの企業がVPNを利用していますが、VPNには脆弱性の問題など多くの課題が挙げられます。ガートナー社は2023年までに企業の60%がVPNを段階的に廃止し、代わりにゼロトラスト(SDP)を採用すると予測しています。

VPNに代わる高セキュリティな接続方法としてもSDPは注目されているのです。

VPNについて詳しくはこちら

SDPの仕組み【図解】

SDPは接続を制御する「SDPコントローラー」と、個々の接続点となる「SDPホスト」により固定的な境界にこだわらない動的な通信制御を実現しています。

SDP ホスト は 接続 元 と なる 「 initiating – SDP ホスト 」 と 接続 先 の 「 accepting – SDP ホスト 」 に 分ける られ 、 コントローラー と 合わせる て 3 つ の 構成 要素 から 成る 立つ ます 。

SDP コントローラー は SaaS や オンプレミス に 構築 し 、 SDP ホスト は 端末 や サーバー 、 ゲートウェイ と なる 機器 など に エージェント を インストール する など し て 構成 する もの です 。

具体的なSDPアクセスの流れは次のとおりです。

SDPとは? 概要や仕組み、VPNとの違い【図解あり】

  1. Accepting-SDPホストとSDPコントローラー間でセキュアな接続を確立
  2. Initiating-SDPホストがSDPコントローラーへAccepting-SDPホストへの接続を要求(ホスト自身の情報も開示)
  3. SDPコントローラーはセキュリティポリシーに従いInitiating-SDPホストを検証
  4. SDPコントローラーからAccepting-SDPホストへInitiating-SDPホストからの接続要求を送信
  5. SDPコントローラーからInitiating-SDPホストへ接続可能なAccepting-SDPホストを通知
  6. SDPホスト間で接続要求を行ない認証に成功すると、暗号化された仮想的なネットワーク(トンネル)が確立され、通信できるようになる

SDPホスト間での通信が終了するとネットワークは消滅し、通信を再開するためには再度認証が必要です。ホスト認証は正当な権限を持つホストからの申請以外は応答しない仕組みとなっており、DDoS攻撃やなりすましなどの対策にも効果的です。

目次 へ 戻る

SDP の メリット

SDPとは? 概要や仕組み、VPNとの違い【図解あり】

SDP を 導入 する こと で 、 次 に 挙げる 3 つ の メリット を 得る られ ます 。 それぞれ の メリット に つい て 1 つ ずつ 見る て いく ましょう 。

セキュリティレベルの向上

SDPコントローラーによってホストは管理されているため、接続先のホストの情報(企業のネットワーク情報など)は隠されており、直接攻撃を受けるリスクが少なくなります。

その ため 、 不正 アクセス や なり すます 、 ddos 攻撃 など を 防ぐ こと is 可能 が 可能 です 。

また 、 すべて の 通信 は SDP コントローラー に よっ て 一元 管理 さ れる ため 、 ユーザー や アプリケーション の 挙動 を リアル タイム で 把握 でき ます 。

不正な行動なども常に監視でき、アクセス権限の付与も最小限に留められることから、セキュリティレベルが向上します。

セキュリティコストの削減

SDPはVPNに比べてコストがかりません。

VPNの場合には、接続拠点単位でゲートウェイの購入が必要になります。さらにネットワーク規模が大きくなれば、機器のコストと併せて、ライセンスやネットワーク増強に対するコストも発生するようになり、トータルコストが大きくなります。

対してSDPは、1つ導入してしまえばあとはクラウド上での利用となるため、ハードウェアを購入する必要がありません。もちろん接続拠点数が増えても機器の購入は不要なため、導入時だけでなく長期的に見ても大幅なコスト削減が可能です。

導入 ・ 運用 工数 の 削減

SDPはソフトウェアの導入だけで実現できるため、導入の容易さもメリットの一つです。構築するにあたり専門的な知識が必要なく、短期間で環境を構築しやすいといえます。

ホスト と なる 端末 や サーバー に 、 エージェント など の ソフトウェア を 導入 する だけ で 、 クラウド サービス is 利用 も ホスト と し て 利用 でき ます 。

オンプレミスやクラウドなどの環境に依存せず、さまざまなICT環境に適応できる柔軟性もSDPの特徴です。

また、SDPコントローラーによって通信を一元管理しているため、将来的にホストが増加しても管理や監視がしやすいといえます。

昨今 で は 、 社内 で 許可 さ れ て い ない デバイス や クラウド サービス を 業務 利用 する 「 シャドー IT is 視 」 が 問題 視 さ れ て い ます が 、 SDP で あれ ば 監視 の 目 が 行く 届く て いる ため 、 この 課題 is クリア も クリア でき ます 。

将来的なリソース増加にも対応でき、運用工数の削減が期待できる点もメリットでしょう。

目次 へ 戻る

まとめ

SDP は 、 ネットワーク の 境界 を ソフトウェア に よっ て 仮想 的 ・ 動的 に 構成 する 技術 です 。 近年 注目 さ れる ゼロトラスト を 実現 する ため の 技術 と し て 使用 さ れ ます 。

仮想 的 に ネットワーク を 構成 する と いう 点 で VPN と 似る て い ます が 、 VPN より も 強固 な セキュリティ を 実現 し 、 VPN に 代わる 技術 と し て 注目 さ れ て い ます 。

オンプレミスやクラウド環境が混在する現代のICT環境に最適なセキュリティ対策を講じるうえで、SDPは欠かせない存在となっていくでしょう。

目次 へ 戻る