SDPとVPNの違いとは

ソフトウェア定義の境界(SDP)とは

ソフトウェア定義の境界(SDP)は、ユーザーのアイデンティティーに基づいてコンテキストに応じた信頼を付与し、内部アプリケーションへのアクセスを許可するセキュリティ システムです。データ センターに集約されている従来のセキュリティ システムとは異なり、SDPはクラウドを通じて提供されるため、場所にとらわれずに適用できます。エンド ユーザーからリソースへのアクセス可否をビジネス ポリシーに基づいて決定し、クラウド ファーストおよびモバイル ファーストの組織を保護するうえで重要な役割を果たします。

SDPの概念は、2007年、米国国防情報システム局(DISA)で考案されました。基盤となるのは「Need-to-Knowの原則」であり、さまざまな基準に基づいて絶えず監視、調整を行いながら信頼を付与します。SDPを利用すると、アプリケーション インフラストラクチャーをインターネット上で不可視化し、ネットワークベースのサイバー攻撃(DDoS、ランサムウェア、マルウェア、サーバー スキャンなど)のターゲットとなる攻撃対象領域を減らすことが可能です。

クラウド セキュリティ アライアンス(CSA)はこの概念に注目し、設立から間もない段階でSDPフレームワークの開発に着手しました。当時はまだ新しい概念でしたが、2011年、Googleは早くもこれを取り入れ、独自のSDPソリューションであるGoogle BeyondCorpを開発しています。最近では、場所を問わない働き方への移行の流れの中でSDPを導入し、エンドポイント、クラウド、アプリケーションのセキュリティを刷新する企業が増えています。

SDPの仕組み

1. 暗黙の信頼の排除：従来のネットワーク セキュリティはユーザーに過剰な信頼を付与しています。しかし、SDPにおいては信頼の獲得が求められます。つまり、アプリケーションへのアクセスは、認証されたユーザーが、そのアプリケーションの使用に関して個別に承認を受けている場合にのみ許可されます。その場合でも、アプリケーションへのアクセス権のみが付与され、ネットワークにはアクセスできません。
2. インバウンド接続の排除：仮想プライベート ネットワーク(VPN)とは異なり、SDPはインバウンド接続を受け取ることがありません。アウトバウンドのみの接続で応答することにより、ネットワークとアプリケーション インフラストラクチャーをインターネット上で不可視化または秘匿化し、攻撃を不可能にします。
3. アプリケーションのセグメンテーション：これまで、ユーザー(または感染要素)によるラテラル ムーブメントを防ぐには、複雑なネットワーク セグメンテーションが必要でした。このアプローチも十分に機能していましたが、きめ細かなセグメンテーションを行うことができないうえ、定期的なメンテナンスも必要でした。SDPは、ネイティブ アプリケーション セグメンテーションによってアクセス制御の範囲を1対1にまで限定し、きめ細やかなセグメンテーションを実現して、IT部門による管理の負荷を大幅に削減します。
4. インターネットの安全な活用：ユーザーはあらゆる場所に分散し、アプリケーションはデータ センター以外に移行しているため、組織はネットワーク中心の考え方から脱却しなければなりません。セキュリティをユーザーのもとに移行する必要があります。これはインターネットを企業ネットワークとして活用することを意味します。SDPは、ユーザーから組織のネットワークへの接続ではなく、インターネットを通じたユーザーからアプリケーションへの接続を保護することに重点を置いています。

SDPは、アーキテクチャーの観点からもネットワーク中心のソリューションとは根本的に異なります。アプライアンスの展開および管理にかかる企業のオーバーヘッドを排除できるほか、VPN、DDoS対策、グローバル負荷分散、ファイアウォール アプライアンスへの依存を低減でき、インバウンド スタックの簡素化につながります。

SDPのユース ケース

SDPには多くのユース ケースがありますが、多くの組織で以下の4つのいずれかが出発点になっています。

マルチクラウド アクセスの保護

多くの組織では、WorkdayとMicrosoft 365、およびAWSやAzureのインフラストラクチャー サービスを組み合わせることで、マルチクラウド モデルを活用しています。また、開発やクラウド ストレージなどにクラウド プラットフォームを使用する場合もあります。SDPは、ユーザーの接続元やアプリケーションのホスティング場所によらず、ポリシーに基づいて接続を保護できるため、こうした環境を保護するために多くの企業で導入されています。

サードパーティーのリスク低減

ほとんどのサードパーティー ユーザーには、過剰な特権アクセスが付与されており、これが企業のセキュリティ ギャップを生んでいます。SDPは、外部ユーザーがネットワークへのアクセス権を持たないようにし、許可されたユーザーだけが使用を許可されたアプリケーションにアクセスできるようにすることで、サードパーティーのリスクを大幅に軽減します。

M&Aに伴う統合の加速

従来、M&Aに伴うITシステムの統合は、ネットワークの統合や重複するIPアドレスの処理を伴う非常に複雑なプロセスとなり、数年単位の時間を要することもありました。SDPを用いることで、このプロセスを簡素化して所要時間を大幅に節約し、M&Aを成功に導き、ビジネス上の価値を速やかに生み出すことができます。

VPNのリプレース

VPNはユーザー エクスペリエンスを妨げたり、セキュリティ リスクを生んだりするほか、管理も難しいため、多くの組織がVPNの使用を廃止または縮小しようとしています。SDPは、リモート アクセス機能を改善することで、こうしたVPN特有の問題に直接対処します。

事実、Cybersecurity Insidersによると、41%の組織はセキュア アクセスのインフラストラクチャーを再考するなかでSDPを検討しています。そうした組織の多くはハイブリッドなIT環境を必要としており、4分の1はSaaSを実装しています。

SDPの仕組みとユース ケースについては以上です。次は仮想プライベート ネットワーク(VPN)について見てみましょう。

仮想プライベート ネットワーク(VPN)とは

仮想プライベート ネットワーク(VPN)は、クライアントがインターネット トラフィックに接触することなくサーバーへのインターネット接続を確立できるようにするための、暗号化されたトンネルです。このVPN接続により、ユーザーのIPアドレスが隠され、パブリックWi-Fiネットワークやモバイル ホットスポット、ChromeやFirefoxなどのパブリック ブラウザーからでも、インターネットや企業ネットワーク リソースへのアクセス時にオンライン プライバシーが確保されます。

ポイント ツー ポイント トンネリング プロトコル(PPTP)として知られるVPNの最初のバージョンが登場する以前、2台のコンピューター間で情報を安全にやり取りするには有線接続が必要でしたが、これは非効率的で、大きな規模になると非実用的でした。

暗号化規格の開発が進み、安全なワイヤレス トンネルを構築するための特注ハードウェアの要件が進化するなかで、PPTPはやがて今日のVPNサーバーに進化しました。ワイヤレスで利用できるため、安全なワイヤレス情報転送を必要とする企業は、VPNによって労力とコストを削減できました。ここから、Cisco、Intel、Microsoftなどの多くの企業が、独自の物理的VPNサービスやソフトウェア/クラウドベースのVPNサービスの構築に乗り出しました。

VPNの仕組み

VPNは、ユーザーからインターネットへの標準的な接続を使用し、ユーザーをデータ センター内のアプライアンスにリンクする暗号化された仮想トンネルを構築します。このトンネルは転送中のトラフィックを保護し、Webクローラーを使用してマルウェアを展開する脅威アクターによってユーザーまたはエンティティーの情報が盗まれることを防ぎます。VPNに使用される最も一般的な暗号化アルゴリズムの1つが、転送中のデータを保護するために設計された対称ブロック(シングルキー)暗号であるAdvanced Encryption Standard (AES)です。

ほとんどの場合、認証されたユーザーのみがVPNトンネルからトラフィックを送信できます。VPNの種類やベンダーによっては、トラフィックのトンネル通過とハッカーに対する保護を維持するために、ユーザーによる再認証が必要となる場合があります。

企業によるVPNの活用方法

リモート勤務のユーザー、安全でない可能性のあるモバイル デバイスやその他のエンドポイントを使用するユーザーを保護する手段として、多くの組織がVPNを使用しています。これによって、従業員にWindowsまたはMacのノートパソコンを支給して、必要に応じて在宅勤務ができるようにするといったことが可能になります。もちろん、コロナ禍を経た今、この考え方は広く普及しています。

組織はVPNを導入して、リモート ユーザーが自宅、カフェ、ホテルなどの保護されていないネットワークから組織のリソースに安全にアクセスできるようにしています。ほとんどのインターネット サービス プロバイダー(ISP)は、ホーム ネットワークを通過する機密性の低いデータを保護するには十分なセキュリティ プロトコルを備えています。しかし、機密データに関してはホームWi-Fiのセキュリティ対策だけでは十分に保護できないため、組織はセキュリティを強化するために複数のVPNプロトコルを組み合わせて使用することになります。

VPNを使用すると、ルーターからデータ センターへのデフォルトのトラフィック フローを遮断し、代わりに暗号化されたトンネルから送信できるため、データを保護し、リモート勤務のユーザーからのインターネット アクセスを保護し、組織の攻撃対象領域を縮小できます(ただし、排除はできません)。

SDPとVPNの違い

SDPとVPNの真の違いは、その接続方法にあります。VPNはIPアドレスとネットワークを中心としており、ユーザーのデバイスをネットワークに接続します。一方、SDPはネットワークではなく、許可されたユーザーと許可されたアプリケーション間での安全な接続を提供します。

SDPソリューションでは、デバイスからネットワークへのインバウンド接続を受信するのではなく、ユーザーとアプリケーション間でインサイドアウト接続が確立されます。このインサイドアウト接続により、アプリケーションへのアクセスをネットワークから切り離しながら、アプリケーションのIPがインターネットに露出しないようにします。ユーザーがネットワークにアクセスできないため、攻撃対象領域を最小限に抑えられる一方、アプリケーションに高速かつダイレクトにアクセスできるため、ネットワークに関連するレイテンシーを伴わずに、VPNよりもはるかに優れたユーザー エクスペリエンスを実現できます。

VPNはユーザー エクスペリエンスを妨げたり、セキュリティ リスクを生んだりするほか、管理も難しいため、多くの組織がVPNの使用を廃止または縮小しようとしています。SDPは、セキュア リモート アクセス機能を改善することで、こうしたVPN特有の問題に直接対処します。

SDPとゼロトラスト ネットワーク アクセス(ZTNA)

ZTNAモデルはセキュリティ フレームワークとして広く知られるようになってきましたが、これがSDPと同様の原則に基づいていることはあまり知られていません。実は、ZTNAはSDPの原則や機能を利用しているのです。いずれの手法にも内部ネットワークは存在せず、ユーザーはリクエストの背後にあるコンテキスト(ユーザー、デバイス、アイデンティティーなど)を検証できる場合にのみリソースにアクセスできます。

このような高水準のセキュリティの実現を支援するべく、さまざまなベンダーがZTNAフレームワークを提供し、組織のネットワーク、データ、クラウド リソースの確実な保護を約束しています。しかし、そうしたフレームワークの多くは、従来のアプライアンスに無理やり合わせて作られたクラウド セキュリティ プラットフォームです。ひどい場合には、ネットワーク ベンダーが、セキュリティ分野に参入するためにセキュリティ モジュールを後付けしています。

こういったプラットフォームでは、クラウド上に構築されたクラウド専用のプラットフォームのような拡張性、柔軟性、そして最も重要な安全性を担保できません。

ZscalerとSDPおよびZTNA

Zscaler Zero Trust Exchange™には、SDPの原則に基づいて構築された業界で唯一の次世代ZTNAプラットフォームであるZscaler Private Access™ (ZPA)が含まれています。ZPAは、最小特権の原則を適用して、現在のハイブリッド ワーカーのプライベート アプリケーションへの接続とセキュリティを再定義し、不正アクセスやラテラル ムーブメントを排除しながら、オンプレミスまたはパブリック クラウドで実行されているプライベート アプリケーションへのセキュアな直接アクセスをユーザーに提供します。

Zscaler Private Accessにより、以下のようなことが実現します。

• ハイブリッド ワーカーの生産向上：ユーザーは自宅、オフィス、その他のどこにいても、プライベート アプリケーションに高速かつシームレスにアクセスできます。
• データ侵害のリスク軽減：アプリケーションを攻撃者から不可視化すると同時に、最小特権アクセスを適用して、攻撃対象領域の最小化やラテラル ムーブメントの防止を効果的に実現します。
• 最も高度な攻撃の阻止：これまでになかったプライベート アプリケーション保護によって、侵害されたユーザーやアクティブな攻撃者のリスクを最小限に抑えます。
• ゼロトラスト セキュリティの拡張：最も包括的なZTNAプラットフォームでアプリ、ワークロード、IoTにゼロトラスト セキュリティを拡張し、プライベート アプリケーション、ワークロード、OT/IIoTデバイスに最小特権アクセスを適応できます。

運用の複雑さを軽減：クラウド ネイティブのプラットフォームによって、クラウドファーストの環境における拡張、管理、構成が困難な従来のVPNを排除できます。