みなさまは、”ゼロトラスト”、”SDP”というキーワードをご存じでしょうか。
どちらもみなさまの企業におけるネットワークのセキュリティに関するキーワードとなりますが、
「社内LANのネットワークのこと?」
「VPNみたいなもの?」
という方も多いのではないでしょうか。
本記事では、情報システム部門のコンサルティングやBIツールでのデータの可視化・分析などデータ活用に関する多くの知見のある株式会社KUIXがこれまでの経験をもとに、SDPの概要や仕組み、メリット、VPNとの違いを解説いたします。
SDP とは
まず、はじめにSDPとは、Software Defined Perimeterの略称で、ネットワークの境界(Perimeter)を仮想的/動的にソフトウェアによって制御する技術です。
この技術を用いることで、Microsoft365などのクラウドサービスにアクセスする際にみなさまのネットワークとクラウドサービス間で安全なネットワーク接続を構築することができ、さらに各ネットワーク接続は、ソフトウェア上で一括制御・管理することができるようになります。
また、SDPでは、クラウドサービスなどへのにアクセスごとに、以下を行うため、不正アクセスなどのセキュリティ対策として注目されています。
①安全なネットワーク接続を確立(構築)
②正しい接続かどうか認証
③アクセス終了時に切断
従来との違い
企業におけるネットワークは、従来、社内LANと社外LANを区別し、それぞれのネットワークの境界に対してセキュリティ対策を行う”境界型セキュリティ”が一般的でした。
社内LAN:社内システムなどに接続するための社内用のネットワーク
社外LAN:インターネットに接続するための社外用のネットワーク
しかし、利用しているみなさまも多くいるかと思いますが、Microsoft365などのクラウドサービスやリモートワークなどが普及し、社内LANと社外LANの境界が曖昧になってきており、従来の”境界型セキュリティ”では、対応が難しく、より柔軟なセキュリティ対策として、””ゼロトラスト””という新しいセキュリティの考え方が生まれました。
補足:ゼロトラストとは
ゼロトラスト”は、社内LANと社外LANといった境界関係なく、すべてのネットワーク通信をチェックし、許可したネットワーク通信のみアクセスできるようにすることで、SDPは、ゼロトラストを実現するための仕組みの1つになります。
SDPとVPNの違い
SDPとVPN(Virtual Private Network)の違いは、仮想的にネットワークを構成する点では似ていますが、”認証タイミング”と”認証要素の数”に違いがあります。
まず、前提としてVPNとは、VPNルーターなどを用いて大阪支社と東京支社などの2つの拠点間に仮想的なトンネルを形成し、安全なアクセス経路を確保する、境界線型セキュリティに基づく技術です。
対して、SDPは、ネットワークの境界(Perimeter)を仮想的/動的にソフトウェアによって制御する技術です。
そのため、””認証タイミング””と””認証要素の数””は以下の通り異なります。
SDPは、各ユーザーごとに複数の認証要素で個別のネットワーク接続を確立するため、ユーザー単位で詳細なアクセス制御をすることができますが、VPNは、IDとパスワードのみで認証できてしまうなどのセキュリティリスクがあります。
〇認証タイミング
SDP:3回(ネットワーク接続時、通信中、ネットワーク接続終了時)
VPN:1回(ネットワーク接続時のみ)
〇認証要素の数
SDP:複数要素(デバイス、場所、OSなど)
VPN:1要素(IDとパスワードのみ)
SDPの仕組み
SDPによるネットワークの境界(Perimeter)を仮想的/動的にソフトウェアによって制御する技術は、以下の3つから構成されます。
・SDPコントローラー:ネットワーク接続を制御するソフトウェア。
・Initiating-SDPホスト:ユーザーPCなどの接続元
・Accepting-SDPホスト:クラウドサービスや社内システムなどの接続先
SDPコントローラーは、SaaS型クラウドサービスやオンプレミスサーバへ構築し、SDPホストやユーザーPCやサーバー、通信の窓口となるゲートウェイ機器にインストールして利用するものになります。
SDPによるネットワーク接続の流れ
SDPによるネットワーク接続の流れは以下の通りです。
1.クラウドサービスや社内システムなど(Accepting-SDPホスト)とSDPコントローラー間で安全なネットワーク接続を確立。
2.ユーザーPC(Initiating-SDPホスト)がSDPコントローラーへクラウドサービスや社内システムなど(Accepting-SDPホスト)への接続を要求。
3.SDPコントローラーはセキュリティポリシー(アクセス許可の設定)に従いユーザーPC(Initiating-SDPホスト)を検証。
4.SDPコントローラーからクラウドサービスや社内システムなど(Accepting-SDPホスト)へユーザーPC(Initiating-SDPホスト)からの接続要求を送信。
5.SDPコントローラーからユーザーPC(Initiating-SDPホスト)へ接続可能なクラウドサービスや社内システムなど(Accepting-SDPホスト)を通知。
6.SDPホスト間で接続要求を行ない認証に成功すると、暗号化された仮想的なネットワークが確立され、通信できるようになる。
7.(通信終了時は、)SDPホスト間でのネットワークは、消去される。※再接続時は再度認証が必要となる。
SDPのメリット
SDPの概要と仕組みが分かったところで、ここからはSDPのメリットを説明します。
セキュリティが向上する
SDPを導入するメリットの1つ目は、セキュリティが向上します。
SDPコントローラーによって、接続元であるユーザーPCや接続先である企業で利用しているクラウドサービスや社内システムなどは管理されるため、過去の通信に関わらず、正しい権限を持つユーザーからの接続以外は許可されないため、不正アクセスやなりすまし、DDoS攻撃などの対策に有効です。
セキュリティコストが削減できる
2つ目は、セキュリティコストが削減できます。
従来のネットワークでは、拠点ごとにVPNルーターやスイッチ、ファイアウォール、ロードバランサーなどの通信機器を設置し、拠点ごとに設定を行う必要があり、担当者が現地まで出張する必要がありましたが、SDPでは、柔軟にネットワーク規模を変更することができます。
導入・運用コストが削減できる
最後に、導入・運用コストが削減できます。
SDPは、ソフトウェア導入のみで構築できるため、VPNルーターやスイッチ、ファイアウォール、ロードバランサーなどの通信機器も不要となります。
また、SDPコントローラーによって、ネットワーク通信を一元管理しているため、ユーザー(社員)数や、クラウドサービスや社内システムなどが増えても管理・監視の容易です。
そのため、導入・運用コストを削減することができます。
SDP導入時の注意点
従来のネットワークに関する課題を解決することができるSDPですが、導入時の注意点もあります。SDPに限らず、その他ITツール/サービスに関しても同様の注意が必要です。
人材確保が必要
まず、1つ目は運用管理ができる人材確保が必要な点です。
経験豊富なネットワーク設計・運用経験者であるネットワークエンジニアは、どこにでもいるというわけではありません。
そのため、万が一トラブルが発生した場合にも対処できるよう、信頼できる開発ベンダーや知識・経験豊富な運用管理者を確保することが重要です。
セキュリティリスクへの対策が必要
SDPを導入することで、各拠点間接続やクラウドサービスとの接続も従来より簡単に設定・接続することができ、通信の監視などもできるようになりますが、利便性が向上する一方で、適切に管理・運用する必要があります。
まとめ
SDPの概要や仕組み、メリット、VPNとの違いは理解できましたでしょうか。
リモートワークやDX(Digital Transformation)に対応するために従来のネットワーク構成を変更しようと検討されている情報システム部門の方もおられることと思います。
セキュリティ面やカスタマイズ性、コストなどの観点からクラウドサービスの利用や移行している方も多いと思いますが、従来のネットワーク構成に課題を感じている、または、クラウドサービス導入を機にネットワーク構成を見直したい方は、SDPおよびSD-WANの導入を検討されてみてはいかがでしょうか。
ーーーーーーーーーーーーーーーーーーーー
企業のICT環境、情報システムでお悩みの方へ
株式会社KUIXでは、クラウドサービスやICTサービスに関すること、情報システム部門のサポートを総合的に行っております。
DX推進やBIツールの導入・活用におけるコンサルテーションも行っておりますので、ぜひお気軽にご相談ください!お問い合わせはこちらから