リソース > セキュリティ用語集 > SDP(Software-Defined Perimeter)とは?

SDP(Software-Defined Perimeter)とは?

SDP(Software-Defined Perimeter)とは?

ゼロトラストはこの数年で、セキュリティフレームワークとして広く知られるようになりましたが、多くの人は、それがSDP(Software-Defined Perimeter)テクノロジと同じ原理に基づくものであることを知りません。SDPの概念は、DISA(米国防情報システム局)の2007年のグローバル情報グリッドプロジェクトで最初に開発されました。この概念に注目したクラウドセキュリティアライアンス(CSA)が、設立から間もない時期に、SDPフレームワークの開発に着手しました。Googleは、SDPがまだ新しい概念であった2011年に、GoogleBeyond Corp.と呼ばれるSDPソリューションを他社に先駆けて開発しました。

SDPは、クラウドとモバイルの世界のセキュリティ戦略です。従来のセキュリティがデータセンタを中心とするものだったのに対し、SDPは、クラウドからあらゆる場所に提供され、ビジネスポリシーを使用して誰がどのリソースにアクセスするかを決定します。SDPは、ユーザのアイデンティティに基づき、コンテキストに基づく信頼(トラスト)での内部アプリケーションへのアクセスを提供します。SDPは、100% SD(Software-Defined)であり、「知る必要がある」モデルに基づいて構築され、さまざまな基準に基づいて信頼が常に監視され、適応されます。SDPは、アプリケーションインフラストラクチャをインターネットから見えなくすることで、ネットワークベースの攻撃(DDoS、ランサムウェア、マルウェア、サーバスキャンなど)を防止し、ビジネスリスクを低減します。

組織がゼロトラストセキュリティでアプリケーションセキュリティを最新化しようとする中で、SDPテクノロジの採用も拡大しました。

境界の数は今後も増加し、細かくなり、ユーザ、デバイス、アプリケーション、データ、ワークロードのアイデンティティといった保護する論理エンティティに近づく。
ガートナー、「ゼロトラストはCARTAへのロードマップの第一歩である」、2018年12月

SDPの仕組み

SDPは、従来のネットワークベースのセキュリティとは異なり、ネットワークの保護ではなく、ユーザ、アプリケーション、そして両者の接続の保護に重点を置いています。SDPテクノロジには、差別化要素となる4つの基本原則があります。

  1. 暗黙のトラストなし – 従来のネットワークセキュリティでは、過度のトラストがユーザに付与されていましたが、トラストは「手に入れる」ものでなければなりません。SDPは、認証され、そのアプリケーションを使用することを特別に許可されたユーザにのみ、アプリケーションへのアクセスを許可します。また、これらの許可されたユーザには、ネットワークではなく、アプリケーションへのアクセスだけが付与されます。
  2. インバウンド接続なし – インバウンド接続をリスンする仮想プライベートネットワーク(VPN)とは異なり、SDPがインバウンド接続を受け取ることはありません。アウトバウンドのみの接続で応答することで、ネットワークとアプリケーションの両方のインフラストラクチャが見えなくなり、結果として、攻撃できなくなります。
     
  3. ネットワークセグメンテーションではなく、アプリケーションセグメンテーション – 企業は従来、複雑なネットワークセグメンテーションでネットワークでユーザ(または感染)の水平移動を制限する必要がありました。このアプローチも十分に有効なものでしたが、細かいセグメンテーションとは言えず、常にメンテナンスが必要でした。SDPではネイティブのアプリケーションセグメンテーションが可能で、1対1ベースでアクセスをコントロールできます。結果として、より細かいセグメンテーションが可能になり、ITチームの作業がはるかに容易になりやります。
     
  4. インターネットの安全な利用 – ユーザがあらゆる場所に分散し、アプリケーションがデータセンタの外に移動している今、組織は、ネットワーク中心の考え方から脱却する必要があります。セキュリティをユーザがいる場所に移動し、インターネットを新しい企業ネットワークとして活用する必要があります。SDPは、ユーザのネットワークへのアクセスではなく、インターネット経由のユーザからアプリケーションへの接続を保護することに重点を置いています。

SDPは、アーキテクチャの観点でも、ネットワーク中心のソリューションとは根本的に異なります。SDPは100% SD(Software-Defined)であるため、アプライアンスの導入や管理に伴う企業のオーバーヘッドを排除できます。SDPの採用は、VPNやDDoS保護、グローバルロードバランシング、ファイアウォールなどのアプライアンスを必要としないため、インバウンドスタックの簡素化にもつながります。Cloud Security Alliance(CSA)は、初期のSDPアーキテクチャダイアグラム(下図)を作成しましたが、SDPの進化に伴い、ガートナーがこのテクノロジのマーケットガイドを作成し、ゼロトラストネットワークアクセス(ZTNA)として定義しました。ガートナーは「ガートナーZTNAマーケットガイド」で、2つの主要ZTNAアーキテクチャモデルを紹介しています。

 

what is software defined perimeter

SDPには多くのユースケースがありますが、ほとんどの組織は、次の4つのいずれかの分野から開始することを選択します。

VPNの代替手段
ほとんどの組織が、VPNの使用の削減または廃止を検討をしています。VPNは、ユーザにとっては遅く、セキュリティリスクが存在し、管理が困難であるため、ガートナーは、「60%の企業が2023年までにリモートアクセスVPNのほとんどを廃止し、ZTNA(SDP)を採用するだろう」と予測しています。

安全なマルチクラウドへのアクセス
マルチクラウドとはその名の通り、複数のクラウドコンピューティングサービスを単一の環境で利用することです。多くの組織が、WorkdayやOffice 365、さらにはAWSやAzureのインフラストラクチャサービスなどを利用しており、開発やクラウドストレージなどにクラウドプラットフォームを利用している場合もあります。これらの環境の保護をSDP/ZTNAの第一歩とする組織が多いのは、SDPであれば、特定のクラウドやネットワークに縛られることなく、また、ユーザが接続する場所やアプリケーションがホスティングされている場所に関係なく、ポリシーベースですべての接続を保護できるためです。

サードパーティリスクの低減
ほとんどのサードパーティユーザに過剰な特権アクセスが付与されていることで、セキュリティギャップが生まれています。SDPは、外部のユーザがネットワークへのアクセスを手に入れるのを防止し、許可されたユーザだけが使用を許可されたアプリケーションにアクセスできるようにすることで、サードパーティのリスクを大幅に軽減します。ユーザは、自分にアクセスが許可されていないアプリケーションを見ることもできません。

合併・買収にあたっての迅速な統合
従来型の方法による合併・買収では、IT統合に数年を要し、ネットワークのコンバージェンスや重複するIPの解決などの信じられないほど複雑なプロセスを経る必要があります。SDPは、このプロセスを簡素化して合併・買収の成功に必要な時間を短縮し、直ちにビジネスに価値をもたらします。

SDP/ZTNAテクノロジの詳細を知るには、市場をリードするZTNAサービスであるZPAを体験するのが近道です。ZPAを無料で7日間体験できます!

Cybersecurity Insidersの2019年ゼロトラスト導入レポート

レポート全文を読む

ネットワークアーキテクト向けZTNA導入ガイド

ガイドを読む

リーダーに求められるゼロトラストネットワークアクセス(ZTNA)戦略

ホワイトペーパーを読む(英語)

SDPとVPNの比較

ブログを読む(英語)