「SDP」で実現するゼロトラストセキュリティ
SDPは、近年普及しているゼロトラストの考え方を実現するシステムの1つです。SDPを実装すると、クラウドサービスのようなネットワークの外側にある対象物をサイバー攻撃から守ることができます。ここでは、SDPとゼロトラストの関係、SDPのメリットなどについて詳しくご紹介します。
SDPとは
SDP(Software-Defined Perimeterの略)とは、制御側と管理側でコントローラーが分かれており、データ通信が終了した時点で接続チャネルが消滅し、新たな接続要求があるまでは再開しないシステムです。ユーザー認証やデバイス認証などで、身元が確認できるまでは一切アクセスできません。
たとえ、同じ物理ネットワーク上の機器であっても、身元が確認できるまではアクセスができないという優れたセキュリティ性を持ちます。
SDPとゼロトラストセキュリティ
SDPへの理解を深めるために、ゼロトラストセキュリティについて知る必要があります。従来のセキュリティ対策では、信頼できる「内側」を作り、信頼できない「外側」との間に境界線を設けることで、外部からの不正アクセスをシャットアウトしてきました。
このようなセキュリティ対策は、保護すべきデータが「内側」にある場合にのみ有効です。近年、広く普及しているクラウドサービスを利用している際は、「外側」に守るべき対象が存在しているケースがあります。その結果、境界が曖昧になり、従来のセキュリティ対策ではサイバー攻撃を完全に遮断することが難しくなってきています。
そこで近年注目されているのがゼロトラストです。ゼロトラストとは、全てのアクセスを信頼しないことを前提とするセキュリティ対策の考え方です。通信経路の暗号化、多要素認証、ネットワークやセキュリティ機能に接続されるデバイスのログ監視などを行うことで、ネットワークの内側と外側に関係なくサイバー攻撃を遮断します。このゼロトラストを実現する方法の1つが「SDP」です。
SDPのメリット
SDPには次のようなメリットあります。詳しく見ていきましょう。
接続をリアルタイムで可視化
SDPのコントローラーへの接続には、本人認証およびデバイスの認証が必要です。接続を許可された場合は、アクセス要求の日時やデバイス機器の名称、使用者などの情報が記録されます。さらに、接続状況はリアルタイムで反映されるので、不審なアクセスを手動で遮断することもできます。
短期間での実装できる
SDPの実装に特別なツールは不要です。コントロールやゲートウェイはホスティングサーバーに構築可能であり、クラウドサービスや各種デバイスなどに実装できます。他社による導入支援や複雑な事前準備も不用なため、比較的短期間で実装できます。
クラウドとの親和性が高い
SDPは、プライベートクラウドとパブリッククラウドのどちらでも利用できます。複数のネットワークリソースの全ポリシーの一元管理も可能なため、管理コストも削減できるでしょう。さらに、ユーザー追加時の設定もVPNよりも手間を抑えられる傾向にあります。
セキュリティコストを削減できる
SDPの構築に必要なゲートウェイを最小限に抑えられるため、セキュリティコストを削減できます。VPNは、多店舗展開の企業においては地域ごとにVPNゲートウェイの購入が必要です。一方で、SDPは1つのゲートウェイを購入するだけで、全データおよびアプリケーションをクラウド上で利用できるようになります。
VPNが抱える問題点を解消できる可能性がある
VPNは、データを外側から見ることができないように、送信者と受信者の間に仮想のトンネルを構築し通信しています。この仕組みでは、脆弱性と通信の不安定さが問題となります。
VPNは、ゲートウェイが広く公開されているため、サイバー攻撃を仕掛ける人物にとっては進入口がわかりやすい状態です。このようなリスクを抑えるために、暗号化やプロトコルなどでカバーしているのですが、低品質なVPN製品の場合は十分な安全性を確保できていません。そのため、より安全性が高いとされるSDPへの切り替えを検討する企業が増えています。
さらに、VPNを使用するとWebサーバーとVPNサーバーの両方を通す必要があり、ユーザー数が多い、ユーザーのアクセス地点やVPNゲートウェイ、社内ネットワークの位置が遠い場合は、通信速度の低下や通信が途切れるなど通信障害が起きるリスクが高まります。SDPは1つのゲートウェイを通すだけのため、VPNが抱える通信障害の問題を解消できる可能性があります。
SDPを導入すれば、クラウドサービスのようなネットワークの外側にある対象物もサイバー攻撃から守ることができます。全てのアクセスを信頼せず、身元を確認できた場合にのみアクセスを許可するゼロトラストの考え方に基づき、高度なセキュリティ対策を実現できるといえるでしょう。
日々多様化するサイバー攻撃の対策として、ゼロトラストセキュリティの導入を検討してみてはいかがでしょうか。
Ivanti Neurons for Zero Trust Accessは、ウェブサイトを使用してデバイスからアプリケーションへの安全な接続を作成し、ユーザーやデバイス、アプリケーションを検証するシステムです。詳しくはIvanti Neurons for Zero Trust Accessをご覧ください。