CYBERNET
  

SDP(Software Defined Perimeter)とは何か。
「ゼロトラスト」で提唱される新たな「境界」

CSAが策定したオープンスタンダード「SDP」。2016年にはホワイトペーパーも公開

新型コロナウイルスの感染拡大を受け、2020年に入ってから日本企業の働き方が大きく変化しつつあります。従業員同士の濃厚接触を回避するため、在宅勤務やリモートワークにシフトする企業が増えているのです。すでにモバイルやクラウドの活用が一般的になったことで、「ゼロトラストセキュリティ」の重要性への認知は広がりつつありましたが、今後はその重要性が一気に高まることになるでしょう。

従来の企業ネットワークは、内部と外部との「境界」にファイアウォール等の物理的なセキュリティ装置を設置し、外部から内部、内部から外部への通信やアクセスを制御することで、安全性を確保していました。しかし社外のモバイルデバイスから社外のクラウドサービスへのアクセスが増えたことで、このような「境界型」の防御は、十分な効果を発揮できなくなっています。そこで登場したのが「ゼロトラストセキュリティ」です。これは「企業ネットワーク内部は信頼できる」という前提を否定し、あらゆるデバイスとユーザー、ネットワークフローを徹底的に管理することで、「性悪説」に立脚したセキュリティ確保を行います。

しかし「境界(Perimeter)」という概念が、完全に意味を失ったわけではありません。ゼロトラストセキュリティでは新たな「境界」の考え方である「SDP(Software Defined Perimeter)」が提唱されているのです。

SDPは、集中的なアクセス制御を「ソフトウェア」で実現することで、物理的な境界では防ぎきれない脅威の防御を可能にする仕組みです。クラウドコンピューティングのセキュリティを高めるため国際的に活動を展開している非営利団体「CSA(Cloud Security Alliance)」が、オープンスタンダードとして策定しています。すでに2016年4月には、CSAジャパンのSDPワーキンググループによって、「クラウド時代に求められる最新の認証方式 ソフトウェア・ディファインド・ペリメタ(Software Defined Perimeter:SDP)の活用」のバージョン1.0(※1)が公開されています。また2019年4月には「SDP利用シナリオ集 ソフトウェア・ディファインド・ペリメタ(Software Defined Perimeter:SDP) の活用」のバージョン1.0(※2)も公開されており、これらを一読することでSDPの全体像をつかめるようになっています。

「クラウド時代に求められる最新の認証方式」によれば、SDPは2つのコンポーネントで構成されると説明されています。1つは「SDPホスト」、もう1つは「SDPコントローラー」です。さらにSDPホストは、接続元となる「Initiating-SDPホスト」と、接続先となる「Accepting-SDPホスト」に分類されます。基本的には、Initiating-SDPホストはユーザーが使用するモバイルデバイス、Accepting-SDPホストはそのアクセス先のクラウドサービスだと考えればいいでしょう。

データチャネルとは独立した制御チャネルで。SDPによる物理境界に依存しないセキュリティを確保

SDPの動作の流れは以下のようになります。

3が終わった段階で確立された各接続を「Control Channel(制御チャネル)」と言います。 また、7が終わった段階で確立される通信経路を「Data Channel(データチャネル)」と言います。データチャネルは一連の通信が終わった時点で消滅し、新たな接続要求がなければ接続は再開されません。

ここで注目したいのが、実際にデータ通信を行うチャネルに加えて、認証やアクセス制御を行うための制御チャネルが、データチャネルとは独立した形で用意されていることです。Accepting-SDPホストのネットワーク情報はこの制御チャネル経由でInitiating-SDPホストに伝達され、この情報を取得しない限りAccepting-SDPホストにアクセスすることはできません。これによって物理的な境界に依存することなく、高いセキュリティを確保できるのです。

このようなSDPの仕組みを実際に提供する製品も、すでに登場しています。その1つが、CASBベンダーとして知られているNetskope社が、2020年3月に販売を開始した「Netscope Private Access(NPA)」です。

NPAは同社が運用するクラウド上で、SDPコントローラーの機能を提供しています。これは「Netskope NewEdge」と呼ばれており、SDPコントローラーの機能に加え、CASB(Cloud Access Security Broker)やSWG(Secure Web Gateway)の機能も装備しています。また端末側にインストールするソフトウェアもCASBやSWGと共通となっているため、シンプルな運用が可能です。

新型コロナウイルスの感染拡大が収束した後も、物理的な企業オフィスの「外側」で働く従業員は、さらに増えていくことになるでしょう。このような状況に対応していくには、今のうちからSDPの確立に向けて動き出す必要があると言えそうです。

netskope


Netskopeとは?

クラウドサービスの安心・安全な利用を実現するセキュリティソリューションとして、企業での導入が進む「CASB(Cloud Access Security Broker)」。Netskopeは、グローバルでトップクラスの導入実績をもつ信頼性の高いCASBソリューションです。ユーザーの利便性を損なうことなく、クラウドサービスの可視化・コントロール・データ保護・脅威防御という4つの機能で、企業のセキュリティ対策の強化を支援します。

Netskopeが選ばれる理由

40,000種類以上のクラウドサービスの
リスクを可視化

40,000種類以上のクラウドサービスをトラッキングし、詳細な評価を提供する辞書機能を有しています。

SaaS / IaaS / Web
サービスに対応

Netskopeだけで、SaaS/IaaS/Webサービスのアクティビティの可視化とコントロール、脅威防御を実現します。

柔軟な4つの導入タイプ


クライアント端末にエージェントを導入するタイプやAPIで接続するタイプなど、複数の導入タイプを用意しています。

VPNに代わるリモートアクセスを
クラウドで実現

在宅環境や外出先からのあらゆるデータへのセキュアなリモートアクセスをクラウドで実現します。

> Netskopeの強み

Netskope製品情報 SaaS、IaaS、Webサービス環境に対して、1つのクラウドプラットフォームで強固なセキュリティ機能を提供します。また、クラウドベースのゼロトラストネットワークアクセス(ZTNA)ソリューション「Netskope Private Access」も新たに提供開始しました。
連携アプリ Netskopeと各種クラウドサービスの連携を実現することで、さまざまな機能を利用することができます。
導入事例 Netskopeは、企業規模問わずにさまざまなお客様にご活用いただいており、国内事例をご覧いただけます。
セミナー・イベント Netskopeをはじめとするクラウドセキュリティに関するセミナーやイベント出展に関するトピックをご案内しております。