好きな所から読む
新たな境界モデル「SDP(Software Defined Perimeter)」とは?
SDPはゼロトラスト環境においてソフトウェア上に新たな境界を作りながら、コントローラーが中心となって制御と管理を行います。制御する機能と管理する機能でコントローラが別れており、データ通信を行う接続チャネルも通信のやりとりが終わった時点で消滅し、新たな接続要求が発生するまで接続は再開しません。
従来の主流なセキュリティ対策ではファイアウォールやIPS/IDSなどでネットワークの境界を監視するものでした。しかし、昨今ではgmail、Yahooメールやオンラインストレージのような外部にあるサーバーでデータを保管するクラウドサービスの普及により境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになりました。ゼロトラストとは、「完全に信頼できるものはなにひとつ無い」という考え方を根底にしたセキュリティ対策モデルのことで、ネットワークの境界の内側か外側というその場所に関係なくすべてのリソースに安全にアクセスできること、すべての通信ログの管理、デバイスの検証と認証、最低限必要な権限しか付与しないなどの原則に基づきます。
SDPは、 ネットワークを経由した様々な脅威からソフトウエアやハードウェア、ユーザーの情報を守るための技術で、内部と外部という境界ではなく、ゼロトラスト環境においてソフトウェア上に新たな境界を作りながら、ユーザーやデバイスごとにデータなどへのアクセス状態をすべてチェックし、コントローラーが中心となって制御と管理を行います。制御する機能と管理する機能でコントローラが別れており、データ通信を行うセキュリティ保護された接続チャネルも通信のやりとりが終わった時点で消滅し、新たな接続要求が発生するまで接続は再開しません。そのため、不正アクセスのリスク軽減やネットワーク内の異常を素早く検知できます。また、SDPは今後さらに利用が増えるクラウドサービスにも非常に相性が良いです。
従来のファイアウォールなどのような境界部分に装置を設置し、社外と社内を明確に分けた境界線のセキュリティ対策では、いかに不正アクセスやマルウェアを侵入させないかといった点に、対策が重点的に置かれていました。ですが、サイバー攻撃の多様化や社外からのアクセス機会の増加により、社内ネットワークへ脅威の侵入を防ぐのが困難になっています。同時に、働き方の多様化、モバイルやクラウドの普及もあり、社外でモバイルデバイスからクラウドサービスへのアクセスをする機会が増え、接続元や接続先が多種多様となり、社内と社外という物理的な環境で境界線を敷くメリットは薄れてきました。
現在では、いかにサイバー攻撃や脆弱性の発見といったセキュリティインシデントの被害を最小化するかといった点に考えが変わりつつあります。SDPは厳しいアクセス制御と通信の可視化により、セキュリティインシデントの予防と最小化の両面からアプローチが可能です。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
SDPは従来のVPN接続より安全だといえるか
SDPの方が安全です。以下の機能を持っているため、従来のVPNよりもセキュリティレベルが確実に上がっています。
| 内容 | 効果 |
| ネットワーク状況は外部に非公開 |
|
| 安全性が確認されていないアクセス以外はブロック | |
| シングル・パケット方式でのデータ通信 | |
| 通信経路は一連のやりとりが終わった段階で消滅 |
SDPとリモートアクセスVPNにおいての大きな違いは認証のタイミングにあります。VPNではトンネリングの際に1度だけ、ユーザーIDとパスワードや2要素認証を用いられた認証が行われるのに対し、SDPではトンネリング接続前後と接続後の通信中の3つの段階で検証や認証が行われます。これにより正しいアクセスのみを正しいデータへ導くことが可能になります。
VPNでは一度接続したネットワークにおいては全体をアクセス可能します。1人のユーザーが複数のレベルでのネットワークアクセスが必要な場合には、それぞれのVPNへのアクセス権を持ち、それによりそれぞれのネットワーク全体へのアクセスが可能になりますが、SDPではネットワークを共有するのではなく、ユーザー1人ひとりに対して個別にネットワークへの接続が確立され、ユーザーやデバイスを個別に検証する仕組みです。
VPN接続が抱える課題
VPNはセキュリティ上安全な通信が行われるために、「トンネリング」「カプセル化」「認証」「暗号化」によって情報が守られるようになっています。データの送受信のために仮想上のトンネルを作り、暗号化したデータをカプセルの中に入れて鍵をかけて保護し、送受信者の双方が正しい相手であることが承認されることで、セキュリティが保たれる仕組みになっています。VPNはデータを外側から可視できないように仮想のトンネルを送信者と受信者の間に作って通信をしています。
そのVPNが抱える課題は、脆弱性と通信の不安定性にあります。
脆弱性
VPNは不正アクセスを許しやすく、サイバー攻撃やマルウェア感染といった被害が拡大しやすい傾向にあります。従来の境界線型のセキュリティ対策の場合、いかに不正アクセスやマルウェアの侵入を防ぐかといった点が重視されていました。「社内からのアクセス=安全」、「社外からのアクセス=危険」といった考え方だったからです。
一旦ネットワークで認証されてしまうとそのユーザーがどの場所からでもアクセスしやすいように、広くVPNゲートウェイが公開されているからです。そのため、攻撃者からすると侵入口がわかりやすいため、不正アクセスが成功する確率が高くなります。
VPN製品により品質の差は存在し、安全性を確保するために用いられている暗号化やプロトコルなどにその差は露呈し、特に無料や低コストである場合には品質レベルは低く、容易にハッキングされる可能性が高まります。
VPNプロバイダーが提供するサーバーを通してネットワークに接続されることでセキュリティが確保されていますが、通信自体の安全性がいくら高くてもそのサーバーがハッキングされてしまえば、VPNの利用価値は喪失し、そこにあるユーザーの情報が漏えいする結果につながります。
VPNではマルウェア感染やサイバー攻撃の侵入を受けた後、いかに被害を抑えるかといった対策はやや不十分でした。そのため、一度社内ネットワークに侵入されると自由に動けるため、被害が拡大する傾向にあります。
通信が不安定
ユーザーが社外からアクセスを行う際に必ずVPNゲートウェイを経由してから、企業が保有するデータセンターやアプリケーションにログインします。たとえばVPNを使用していない場合、ウエブサイトを閲覧するためにはデバイスからウェブサーバーに通信することでウエブサイトが表示されますが、VPNを導入している場合には、ウェブサーバーへの通信の他にもう一つVPNサーバーを通す必要が出てくるわけです。VPNゲートウェイは特定の拠点間を1:1でつなぐため、通常は1か所の設置になります。
そのため、ユーザー数、ユーザーのアクセス地点、VPNゲートウェイ、社内ネットワーク、データファイルの位置が遠い場合は、複数のネットワークの利用や遠回りの経路を辿る必要がありました。遠回りの通信経路での利用になった場合、通信速度の低下や通信が途切れるといった通信障害、通信コストの増大などのデメリットが起きました。また、コストを抑えて無料や低コストのVPNを利用していると、アクセスが集中しやすい時間帯は通信速度が遅くなるなど通信障害を起こして業務の遅延にもつながります。
SDPを構成する2つのコンポーネントとは
SDPホストとSDP コントローラーの2つのコンポーネントが、データ通信の制御と管理を行い、さらにSDPホストは接続元となるInitiating-SDP ホストと接続先のAccepting-SDP ホストの2つがあります。SDPコントローラーで認証やアクセス制御などのすべての通信の管理が行われ、そのための接続をコントロール(制御)チャネルといいます。Initiating-SDP ホストはコントロールチャネルを経由してAccepting-SDP ホストの情報が伝わり、それによってアクセスが可能になります。そしてこの部分での通信経路をデータチャネルといいます。
SDP コントローラー
SDPコントローラは、外部などの認証情報と連携してユーザーのデバイス認証やID認証を行い、どのSDPホストと通信を行うか、全てのアクセスを一元管理します。サーバー、アプリケーションが持っていたアクセス権の制限管理もSDPコントローラーが行うため、設定変更による煩雑さが軽減されます。ユーザー数増減によるデバイス機器の増減やクラウドサービスの利用増加にも柔軟に対応可能です。
また、外部からはSDPコントローラーのネットワーク状況が見えず、アプリケーションサーバーから接続要求が来ない限り、ユーザーに接続要求を出さないため、攻撃者による不正アクセス侵入のリスクを大幅に軽減できます。
Port-Knocking 方式による接続がカギ
Port-Knocking (ポートノッキング)方式とはファイアウォールによってポートを開く方法です。決められたポート番号に正しい順番でポートをノック(接続要求)したときのみにアクセスが許可され、初めてファイアウォールはポートを開きます。ですが、従来のPort-Knocking 方式は、ログイン時にIDやパスワードをコピーして不正侵入を行うリプレイ攻撃や一連のデータを破壊するノック・シーケンスに脆さを抱えていました。
SDPではそれらの課題を克服するために以下のようなことを行いました。
- ランダムで選んだ16バイトのデータを挿入し、同じパケットが来たら接続を中断
- シングル・パケットにし、なりすまし攻撃と解析を防ぐ
上記の対策によって、SDPコントローラーのセキュリティ性確保とDDos攻撃のリスク軽減に成功しました。
SPA(Single Packet Authorization)
SPAは「単一パケット認証」とも呼ばれ、ポートノッキング方式の進化版のようなものでもあります。SDPのセキュリティを強化している要素で、接続前認証(authenticate-before connect)を実現するための1つとなっています。SDPでのアクセスにおいて、接続を確立するためにはSPAを使用して接続元と接続先両方のユーザーやデバイス機器からの認証が要求され、許可された場合のみに通信が開始され、そのサービスが開始されます。SPAで通過できない場合にはそれ以降の処理がされないため、DDoSやなりすまし、不正なデバイスから保護されたリソースへのアクセスなどを防止することが可能になります。
SDP ホスト
Initiating-SDP ホストがユーザーが使用するデバイス機器、Accepting-SDP ホストは利用したいクラウドサービスだと認識してください。
Initiating-SDP ホスト
SDPコントローラーに接続する依頼元です。主にユーザー認証やデバイス機器の認証を行います。ハードウェアやソフトウェアなど登録情報をSDPコントローラーに送ります。アクセスが許可された場合のみ、許可されたネットワーク情報とともにVPNの接続要求を送り、Accepting-SDP ホストで通信が可能になります。
Accepting-SDP ホスト
クラウド上のアプリケーションにログインする接続先です。Initiating-SDP ホストでAccepting-SDP ホストが持つ本人認証とデバイス機器の認証がクリアできないと、SDPコントローラーに接続できません。Initiating-SDP ホストからVPNの接続要求が来ない限り、通信を開始できません。
SDPのアクセス開始手順
SDPは以下の順序で通信アクセスを開始します。
- Accepting-SDP ホストがSDPコントローラーとの接続を確立
- Initiating-SDP ホストがSDPコントローラーと接続を確立
- SDPコントローラーが、本人認証とデバイス認証を確認
- SDPコントローラーが、Accepting-SDP ホストの存在を確認
- SDPコントローラーが、Accepting-SDP ホストに接続要求を依頼
- SDPコントローラーが、アクセス可能なAccepting-SDP ホストの情報をInitiating-SDP ホストに通知
- Initiating-SDP ホストがAccepting-SDP にVPN接続を依頼
- 通信開始
SDPがオンラインになると、接続先となるAccepting-SDPホストはSDPコントローラーとVPN接続を行い、次に接続元となるInitiating-SDPホストもSDPコントローラーとVPN接続を行います。SDPコントローラーに登録されているユーザー情報を送信すると、コントローラーは受け取った情報から認証を行って、それが認証されると接続先のAccepting-SDPホストが存在するかチェックします。Accepting-SDPホストのが存在が確認できると、接続先のAccepting-SDPホストに接続元のInitiating-SDPホストから接続要求が行われ、接続先のAccepting-SDPホストのIPアドレスなどのネットワーク情報を接続元のInitiating-SDPホストに通知します。接続元のInitiating-SDPホストは、受け取ったネットワーク情報を基に接続先Accepting-SDPホストにVPN接続を依頼し、通信が開始されます。
接続先となるAccepting-SDPホストはIPアドレスなどのネットワーク情報が隠されていて、直接的に攻撃を受けることがなく、また、コントローラーはどのホストとどのホストを接続可能にするかを管理しています。接続元のInitiating-SDPはコントローラの認証を通らないと接続先のネットワーク情報が得られません。
TLS(Transport Layer Security)
SDPでは通信開始までに行われる数回にに及ぶ検証や認証と、認証されたユーザーのみシステムへのアクセスを制限するRBAC(Role Based Access Control)に基づいたプロセスにより不正なアクセスを排除することが可能です。さらにクライアントとSDPコントローラー間やクライアントとSPDゲートウェイ間の通信は相互TLS(Mutual TLS)により安全性が確保され、悪意ある攻撃の侵入を防ぎます。TLSは、国際標準化団体であるインターネット技術タスクフォース(IETF)によって提案されたセキュリティプロトコルで、安全に通信をするためのセキュリティプロトコルであるSSL(Secure Sockets Layer)の進化版のようなもので、現在SSLと言われているものの中にはTLSを指している場合もあります。インターネット上での通信内容を暗号化して通信させるためのプロトコルです。個人情報やクレジットカード情報などの重要なデータを暗号化して通信の安全性が守られます。HTTPSのウエブサイトの場合には必然とTLSを利用していることになります。TLSの仕組みとしては、暗号化でデータを隠し、通信する双方が正しいことを認証し、データの整合性を図ります。相互TLSとは、接続元クライアントと接続先サーバーが相互に信頼できることを保証するためにTLSを双方同時に行うことです。
SDPを実装する4つのメリットとは?
クラウドとの相性が良い、短納期低コストでの納入が可能、リアルタイムでのセキュリティ監視など4つのメリットがあります。
クラウドとの親和性が高い
SDPはインターネット上とプライベートネットワーク両方での利用が可能です。
そのため、ベンダーが不特定多数の企業や個人向けにクラウドサービスを提供しているパブリッククラウドや自社専用のクラウド環境を構築するプライベートクラウド、どちらでも利用することができます。
そしてクラウドの管理コンソールを使用することにより、複数のネットワークリソースのすべてのポリシーをクラウドで一元管理することができるようになります。追加ユーザーのセッティングなどもVPNに比べてはるかにシンプルで簡単になります。
セキュリティコストを削減できる
SDPはVPNと違い、ネットワーク接続で経由するためのゲートウェイを何台も購入する必要がありません。VPNの場合は特定の拠点間を1:1でつないでネットワーク実現をする仕組みのため、広範囲に支店や店舗を展開している企業は、地域ごとに必要最大数のVPNゲートウェイを購入しライセンスやネットワークの増強などをしなければなりませんでした。ライセンスの更新も必要です。
SDPの場合は1つ導入すれば、全てのアプリケーションやデータファイルがクラウド上での利用となります。また以下の機能が付いているため、複数のセキュリティツールを導入する必要がありません。
また、SDPではハードウエアの購入は必要なく、SDPコントローラーやSDPホストの各コンポーネントはサービスとして提供されますので、SDP構築にあたり専門的な知識も必要ありません。
| 種類 | 機能内容 | 導入効果 |
| 統合化された多要素認証 |
|
|
| サーバーの隔離 |
|
|
| SDPコントローラーの個別構築 |
|
|
| 可視化 |
|
|
| 各機能がサービスとして提供 |
|
|
短期間での実装が可能
実装に特別なツールの購入は必要ありません。ホスティングサーバーにコントローラーやゲートウェイを構築でき、既に自社で導入しているクラウドサービス、各種サーバー、スマートフォンやノートPCなど、業務で必要となる製品には問題なく実装可能ですので、非常に短時間での実装が可能です。ただし、工場で製品を製造している製造業の場合は各種機器が導入されており、影響が出る可能性もあるため、SDPの導入前に一度確認することをおすすめします。
接続をリアルタイムで可視化
Initiating-SDP ホストで本人認証とデバイス機器の認証がクリアできないと、SDPコントローラーに接続できません。接続を許可された場合には専用のSDPダッシュボードで、「誰が、どのデバイス機器で、いつ、アクセス要求を求めてきたか」ユーザーや利用端末、アプリケーションの挙動が、リアルタイムでわかります。
また、ゼロトラストモデルであるため、ユーザーの行動を監視するだけでなく、アクセス権の付与も最小限に留めます。閲覧範囲を限定することで、外部の信頼性の低いWebサイト閲覧による情報流出や社員のデータ持ち出しを防ぎます。
進化したサイバー攻撃から保護したいならSDPを用いるべき!
パスワードリスト型攻撃や脆弱性を狙ったサイバー攻撃を防ぎます。
クレデンシャル詐欺への対処
クレデンシャル詐欺はパスワードリスト型攻撃とも呼ばれ、攻撃者がIDやパスワードを盗み出して様々な場面で悪用することです。個人消費者をターゲットにしている企業の場合は、従業員の個人情報だけでなく顧客の個人情報を保護しなければなりません。クレジットカードやインターネットバンキングの悪用を防ぐためです。
SDPを導入していない従来の接続方法では、デバイスやユーザーが信頼できるものかどうか確認される前にアプリケーションサーバーへ接続されてしまい、ユーザーIDとパスワードなどでログインしてから多要素認証が行われます。そのため接続された時点でネットワークへの不正なアクセスを防ぐことができずにクレデンシャル情報が盗み出されてしまう可能性があります。
SDPを導入すれば、接続前に多要素認証が行われ、ユーザーやデバイス機器の信頼性を検証し、登録されていないアクセスはVPN接続の要求がされず、許可されたデバイスとユーザー以外は承認済みのサーバーに接続できないため、アプリケーションやデータファイルへのログインができません。攻撃者にとって個人情報を盗み出すことが非常に困難になるため、企業としても安心できます。
外部からの脆弱性攻撃を排除
サーバーを隔離することで脆弱性を狙った攻撃者からの攻撃を回避できます。SDPの接続手順として、まずユーザーのデバイスとSPDコントローラー間で多要素認証が行われ、その際アプリケーションサーバーはSDPゲートウェイで隔離されています。認証されて正しいアクセスであると認証された場合にのみ、SDPコントローラー経由でその情報が伝達されて初めてSDPゲートウェイとクライアント間の通信が確立されます。SDPが許可していないアクセスは全て拒否されるため、アプリケーションやデータファイルへのログインができません。
サーバーやアプリケーションの脆弱性を狙った攻撃は非常に厄介で、特にシステム管理者やベンダーが把握していない未知の脆弱性を突かれた場合は、非常に対応が難しくなります。脆弱性の特定や修復作業に時間がかかるだけでなく、修正プログラムを配布する前に攻撃を受けるゼロデイ攻撃を受ける可能性も高いため、被害が大きくなります。サーバーを隔離することで、セキュリティインシデントの予防と被害を最小化できます。
サーバーの悪用を防げる
SDPはアプリケーションサーバーとは別で多要素認証を行ってデバイス機器の信頼性を検証したあと、ユーザー認証をクリアして初めて接続が可能になります。つまり、デバイス機器とユーザーについての信頼性を別々で検証し、どちらもクリアしないと先に進めません。
従来の場合は、ユーザーの信用性を確認する前にアプリケーションサーバーに接続します。最初の接続時に攻撃者は不正侵入して、サーバーやアプリケーション上の脆弱性を調べることも可能です。
攻撃者側からすると情報を集めやすく罠を仕掛けやすい環境であるため、セキュリティインシデントが起きやすくなります。SDPの場合は最初の段階から多要素認証を行うので、不正アクセスの侵入リスクを大幅に軽減することが可能です。
| SDPの接続方式 | 従来の接続方式 | |
| 順番 |
|
|
まとめ:ゼロトラスト環境でも安心の境界モデルVPN
SDPは、今後のクラウドサービスの利用増加に対応したVPNモデルです。従来のVPNで課題だった不正アクセスやサイバー攻撃へのリスク軽減、通信の不安定性を解消しています。
また、SDPコントローラーがアクセス権を一元管理するため、煩雑な設定変更の手間やコストの削減にもメリットがあります。従来のVPNに比べても、クラウドサービスがより利用しやすくなっているので、企業の在宅勤務やリモートワークは今後も導入が加速するでしょう。
