SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

ゼロトラスト特集「SDPを知る」シリーズ

Zero Trust
2020.10.16

社内での認知度向上のために「SDPを知る」シリーズを作ったところ意外と読んでくれた方からの要望もありEngineer Voice版にしてみました。

はじめに

2020年のネットワーク/セキュリティのトレンドをまとめると

  • SD-WAN
  • ゼロトラスト
  • SASE

この3つのキーワードに集約されているような気がします。

数年前までは国内ではSD-WANの需要については半信半疑なところもありましたが、コロナウィルス前後でのクラウドサービスの需要に伴い、WAN回線の高速化や安定化などの観点で、SD-WANのニーズは確信につながっています。

ゼロトラストについては、過去ゼロトラスト系の記事を投稿していますが、各社のゼロトラストソリューションが整いつつあり、統合化が進んでいきそうな雰囲気です。 そのようなゼロトラストですが、根幹にあるのは、ゼロトラストネットワークアクセス(ZTNA)であり、つまり、SDPを理解することこそが、ZTNAへつながるというという信念を私は持っています。

さらに直近では、SASE(Secure Access Service Edge)ブームの兆しが見えはじめ、VMwareをはじめFortinetなどネットワークエッジ製品を得意とするメーカーが、SD-WAN、SASEさらにゼロトラストという分野を包括しようとしています。

このSASEの根幹にもZTNAの要素は非常に強く影響しているため、単純なクラウドセキュリティと言う認識ではなく、ゼロトラストに沿った潮流としてSASEを捉えたほうが良いかもしれません。

たった数年でネットワークはSDNからSD-WAN、ZTNA, SASEと目まぐるしく進化し各社の独自のカラーが色濃く反映されています。まだこれからの市場なのかもしれませんが、ポイントを抑えておけば今よりも良いソリューションに出会えるチャンスかもしれません。

テーマは「SDPを知る」

SASEの展開を横目に、基本として抑えておきたいのが、「SDP(Software Defined Perimeter)」に関する部分です。 過去の記事で何度か、SDPについて触れてましたが、とても重要なことなので、あらためて「SDP」についてポイントを整理していきます。

おすすめ記事

SDP製品の選び方

リモートアクセスVPNの問題の顕在化

SDPと最も比較されやすい分野は間違いなくリモートアクセスVPNです。テレワーク化に伴い、VPNの一般利用を開始した企業も多いと思いますが、その反面、リモートアクセスVPNに関する問題が顕在化しているという事実です。

ネットの記事を検索しても簡単に記事を見つけることができます。 以下ニュースサイトのリンクです。

VPN装置からのパスワード大量流出

「急遽テレワーク導入」に落とし穴

テレワーク環境が狙われる!

また米国CISAからもVPNを使った攻撃の詳細レポートも公開されています。
Analysis Report (AR20-268A)

これらの記事の傾向はこんな感じでしょうか。

  • VPN装置における脆弱性
  • 正規のユーザーアカウントとなりすまし
  • VPNが社外と社内をつなぐ、唯一の窓口

今どきは全部クラウドだけで運用している企業も増えているかもしれませんが、現実的にすべてのシステムがクラウドへ移行するまではまだまだ時間がかかります。

また、VPNのサービスを使っている、開始したからと言って、すべてのユーザーが同様の被害にあうということはありませんが、そのリスクは評価するべきです。

サイバーセキュリティにおいて、ゼロリスクを求めることはできませんが、過去の慣習を踏襲することによって安心を得てしまうのはリスクがあります。なぜシステムがそのようになっているか、しっかりと検証/評価することの大事さを「ゼロトラスト」というマインドを持って対応するべきだと思います。

さて前置きが長くなりましたが、今回はシリーズでSDPの重要性、仕組み、良さを伝えられるようにしたいと思います。

リモートアクセスVPNとSDPの違い

よく比較になるのが、リモートアクセスVPNの定番であるIPSec方式やSSL-VPN方式です。リモート環境から暗号化されたトンネルを通って、会社やデータセンターのネットワークへ接続する一般的なVPN技術との比較です。

表1: リモートアクセスVPNとSDPの比較

SDPとVPNの比較.png

暗号化方式の違い

リモートアクセスVPNは、基本的にはLANの延伸を想定した機能であり、通信経路を暗号化(IPSec/SSL)し、その際ユーザー認証(ユーザー名、電子証明書)を使います。

SDPは、トンネル暗号化はTLS方式を利用し(通常TCP443)を使い、アプリケーション単位で暗号化通信を行います。 暗号化の強度はどちらも十分なので、通信経路上で、情報の解読や書き換えは難しいでしょう。

認証のタイミング

かなり違いあるのが、認証のタイミングです。 リモートアクセスVPNは、トンネル接続する際に1回だけ認証をします。ユーザー名、パスワードを使った方法や、電子証明書など、最近だと2要素/2段階認証などあります。

SDPの特徴は、トンネルを接続する前、トンネル接続する時、接続した後の通信中と、認証をすべてのプロセスで行っていることが特徴です。

その他

DDoS耐性の機能や、暗号通信中(VPN)のアクセス権限の変更など、リモートアクセスVPNでは難しい機能がSDPには含まれています。

このような違いは、なかなか文章で伝えにくいのですが、ユーザーの操作としてはリモートアクセスVPNもSDPもほとんど操作性の違いはありません。 一つ違うとすると、リモートアクセスVPNは自身がインターネット上からアクセスしていることを認識した上で、リモートVPNソフトを起動するのに対して、SDPは常にSDPクライアントを立ち上げているということです。

まとめ

昨今、テレワークが普及したことで、リモートアクセスVPNの装置における脆弱性が起因となった不正アクセスや情報漏えいが表面化。

SDPは、次世代のアクセス方法として存在し、リモートアクセスVPNと比べても、セキュリティの点でメリットが多い。しかし具体的にどのような機能かはわからない。

次回からリモートアクセスVPNとの違いに触れながら、SDPの良さを知っていただこうかと思います。

次回は具体的にSDPってどういうものかを説明

著者紹介

SB C&S株式会社
技術統括部 第3技術部 2課
宮本 世華

釣りが好きです。